北京時(shí)間10月22日早間消息���,卡耐基梅隆大學(xué)“公開漏洞數(shù)據(jù)庫”(CERT)上周五表示����,AT&T和Verizon對LTE網(wǎng)絡(luò)的配置存在漏洞�,可能會導(dǎo)致數(shù)百萬部手機(jī)遭遇竊聽����、數(shù)據(jù)欺詐�,以及亂收費(fèi)等風(fēng)險(xiǎn)�。
這些網(wǎng)絡(luò)中的Android設(shè)備風(fēng)險(xiǎn)最大,因?yàn)樵贚TE網(wǎng)絡(luò)中�,Android系統(tǒng)“缺乏適當(dāng)?shù)氖跈?quán)許可模式”�����。研究人員指出��,最新發(fā)現(xiàn)的這些漏洞會影響每一部Android設(shè)備���。
T-Mobile發(fā)言人表示�,T-Mobile的用戶此前也受到影響����,但目前問題已經(jīng)解決。此外�����,蘋果產(chǎn)品并未受到影響���。
這一發(fā)現(xiàn)最初來自韓國學(xué)術(shù)界和信息安全研究人員����。LTE技術(shù)基于包交換,而非傳統(tǒng)的電路交換��。這種新的數(shù)據(jù)傳送方法導(dǎo)致了新一類的攻擊�,尤其是針對會話發(fā)起協(xié)議(SIP)的攻擊。目前�����,這一協(xié)議被廣泛用于語音通話和即時(shí)通信服務(wù)中����。
研究人員已發(fā)現(xiàn)一種方法,利用SIP協(xié)議的工作方式去進(jìn)行攻擊�。攻擊者可以獲得免費(fèi)的帶寬,去從事數(shù)據(jù)密集型活動��,例如視頻通話����,同時(shí)不產(chǎn)生額外成本。在某些情況下���,攻擊者可以建立多個(gè)SIP會話�,從而發(fā)動拒絕服務(wù)攻擊。
CERT表示�,這些LTE網(wǎng)絡(luò)都存在一到兩個(gè)這樣的問題。不過�,目前沒有證據(jù)表明,有黑客利用這些漏洞實(shí)際發(fā)動過攻擊����。
T-Mobile和Verizon的網(wǎng)絡(luò)已被確認(rèn)存在風(fēng)險(xiǎn)�。研究人員沒有對AT&T的網(wǎng)絡(luò)進(jìn)行全面測試,但他們認(rèn)為�����,AT&T的網(wǎng)絡(luò)很可能存在風(fēng)險(xiǎn)�。
利用這樣的漏洞,惡意的Android應(yīng)用可以在用戶不知情的情況下偷偷撥打電話��,從而給用戶造成額外的話費(fèi)�,甚至對用戶展開竊聽。研究人員指出�,所有Android版本都存在風(fēng)險(xiǎn)。
谷歌已表示���,將在11月的月度安全更新中為Nexus設(shè)備修復(fù)這一問題���,但谷歌并未確認(rèn)����,哪些Android版本受到了影響�����。目前也不清楚����,其他受影響的Android設(shè)備將于何時(shí)獲得補(bǔ)丁,因?yàn)檫@取決于設(shè)備廠商和運(yùn)營商的情況��。
小編推薦閱讀
