圖為LG在台推出的Nexus 5手機。

獨立安全研究人員Bogdan Alecu在上周於羅馬尼亞舉行的DefCamp安全會議上指出,Android平台上有一可能帶來阻斷式服務攻擊(DDoS)的簡訊(SMS)漏洞,它影響了所有的Android 4.x版本,包括代號為KitKat的最新版Android 4.4。

Alecu所發現的漏洞是藏在專門用來廣播緊急事件的Class 0簡訊服務,該服務又稱為Flash SMS,這類簡訊會直接顯示在螢幕上,且不會被自動儲存,使用者在讀取後可選擇儲存或放棄它。

根據Alecu的說法,直接連續傳送30個Class 0予Android裝置,簡訊程式就會當機,然後手機自動重開機,重開機後就算廣播程式會重新啟動,但網路卻無法運作。如果使用者啟用了SIM卡的PIN碼保護機制,那麼重開機後的手機則不會出現電信訊號。

假設使用者在不知不覺的情況下受到攻擊,那麼可能不會意識到網路或電信訊號不通的問題,也許會讓手機功能停擺許久。

Alecu說,他在一年多以前便通知Google,但直到今年7月才收到Google的回覆,而且不確定Google是否已經修復了該漏洞,或者是有任何的修復時程表。他已在執行Android 4.1~Android 4.3的Galaxy Nexus與Galaxy 4等裝置上測試了該攻擊,而且連最新的Android 4.4或Nexus 5手機也受到影響。

Alecu亦建議Android用戶可自Google Play安裝由另一行動資訊安全研究人員Michael Mueller所開發的Class0Firewall,該程式主要就是用來杜絕Alecu所提出的Flash簡訊漏洞,甫於上周上架供用戶免費下載。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容