拨号器漏洞要提高警惕
消费直击
目前多款Android手机遭遇远程擦除漏洞的消息不胫而走,黑客通过短信、QR码或NFC将恶意USSD代码发送到带有漏洞的手机中,会立即打开拨号器,并触发手机执行恢复出厂设置指令,清除手机上的所有数据。目前多个品牌手机都有类似漏洞发生,本文针对这一现象进行揭秘和报道。
读者诉苦 莫名其妙手机复位
许先生发微博向我们求助,说自己的HTC One X前几天上网的时候,突然自动重启,然后手机里面所有的应用程序和数据瞬间消失。刚开始以为是系统启动故障,可是反复开关机数次依旧如此。由于通讯录和短信等数据非常重要,所以许先生抱着最后的希望把手机送到售后服务点,工程师检查后表示硬件没问题,从现象来看应该是复位操作将手机恢复到出厂状态,而根据他自己回忆,手机自动重启之前没有异样,只是点开了网页中的一个链接。难道蹊跷在这里?
深入调查 链接是元凶
我们找到许先生最后登录的网站,为保险起见,用电脑模拟手机打开了那个网页,里面没有任何显示,但地址栏却悄悄发生了变化,网址变成了“tel: *2767*3855#”。对于手机玩家来说,后半部分“*2767*3855#”这个字符串再熟悉不过,它就是格式化命令,通常手机出现速度过慢或者假死的情况,用这条USSD命令可以恢复到出厂状态。
通过查看源代码,我们确认了元凶。Android系统的原生浏览器往往支持TEL协议,可以调用拨号命令,心怀不轨者就是利用这个漏洞,通过网页、短信、二维码、NFC等方式传播恶意代码,一旦USSD命令被激活,就会自动打开拨号器并触发手机恢复到出厂设置,更要命的是整个过程无法中断或取消。
防范措施很简单
原本以为,这只是个别厂商的疏漏,没想到用其他品牌的多款手机一测试,都有这种情况发生,绝对不是个例。目前包括三星、HTC、摩托罗拉、索尼、联想、小米,甚至采用塞班系统的诺基亚手机都无一幸免,不过苹果iPhone手机没有中招,看来在此恶意代码上iOS系统的安全性的确要高人一筹。
大家可以先自我诊断,用手机原生浏览器登录网站http://go.icpcw.com/d/iimind.htm,如果自动显示IMEI串号或者提示拨打号码有误,表明存在漏洞,如果显示*#06*或者无提示,则可以安心了。目前三星已经开始推送升级补丁,修补漏洞,会等使用者确认后再激活USSD命令,那么其他尚未升级的手机如何防范呢?可以使用第三方拨号软件,例如点心拨号、触宝拨号等,它们由于不具备USSD命令权限,所以相对安全,如果动手能力强的话,可以更改ROM里的拨号软件,当然你也可以使用像UC这样的第三方浏览器,它会自动过滤特殊字符串,避免数据恢复原厂设置,另外建议平时就要养成勤备份的好习惯。
