Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
FOSS News 舊版 Android 系統上有控制碼認證不全的漏洞

舊版 Android 系統上有控制碼認證不全的漏洞

舊版 Android 系統上存有控制碼認證不全的漏洞,這本來被指稱是 Samsung 系列手機的問題,但事實上目前市面多數的 Android 手機都有這樣的問題。只要是使用 Ice Cream Sandwich (version 4.0.x),或是更早的 Android 系統的智慧型手機,則多半存有這樣的漏洞。Google 對這個問題已經做出了因應,其動手更改了 Android 4.1.1 (4.1.x "Jelly Bean") 版本之後的撥號軟體程式碼,所以 4.1.1 版本之後的 Android 系統上並不存有這樣的問題。然而,目前市面上流通 Android 4.1.x 之後的裝置並不多,以出貨時的狀態估計,僅佔整體數量不到 1.2%,所以消費者要解決這樣的問題,首先要看您的手機供應商是否有提供作業系統更新至 4.1.x 其後版本的服務。若沒有,則可以自力救濟選用以下二款 Google Play 上提供的免費 Apps,來處理這個問題。

舊版 Android 系統上的漏洞是,撥號程式在執行一些由外部而來的控制碼時,並沒有經過嚴格的認證程序,無論這些控制碼是由手機上的虛擬鍵盤輸入,或是直接匯入某些網頁資訊,或是 QR codes,都可能導致這樣的狀況。多數的控制碼是無害的,例如輸入 *#06# 這組字串,只會讓手機顯示該裝置專屬的國際移動設備辨識碼 (International Mobile Equipment Identity number, IMEI),可是其他的控制碼,卻有可能導致 SIM 卡被鎖卡且無法嗣後解鎖等等不可預期的狀況。目前網路 上流傳 Samsung 系列的 Android 手機,能輸入一段毋須認證的控制碼,就讓手機系統的各項配置恢復到出廠時預設狀態 ,並一併刪去使用者在手機上儲存的各項資料。HTC 系列手機也被指稱有著類似的問題。

所以最釜底抽薪的解決方式,就是探詢您的手機供應商是否有此一漏洞的更新解決方案,或是一鼓作氣將您的手機系統升級到 Android 4.1.x 之後的版本。然而,若是前述的選項並不存在,或是您並不想為了這個漏洞大費周章的去升級整個作業系統的話,則可以參考 TelStop 與 NoTelURL 這二款在 Google Play 軟體市集上能免費下載的 App!此二款程式能夠阻斷 Android 系統外部資訊匯入後的自動撥號動作,所以能一定程度阻絕舊版 Android 系統上這樣的安全漏洞。


相關網址:

  1. 舊版 Android 控制碼的問題幾乎影響到所有的 Android 手機製造商
    https://www.h-online.com/open/news/item/Android-control-code-issue-affects-almost-all-manufacturers-1720298.html
  2. Android 手機:惡意的 USSD 呼叫能危害到 SIM 卡的正常功能
    https://www.h-online.com/security/news/item/Android-smartphones-USSD-calls-can-kill-SIM-cards-1719230.html
  3. TelStop 與 NoTelURL App 的下載與說明網址
    https://play.google.com/store/apps/details?id=org.mulliner.telstop
  4. https://play.google.com/store/apps/details?id=com.voss.notelurl



OSSF Newsletter : 第 205 期 3D 除錯新視界:xDIVA 專案報導

Category: FOSS News