Android爆出broadAnywhere新漏洞,5.0以外版本手機都有危險!

Android爆出broadAnywhere新漏洞,5.0以外版本手機都有危險!

10月甫發布的最新Android 5.0版本,日前修復了一項高危險漏洞,惡意應用程式可以利用該漏洞,偽造任意內容、任意來源的手機簡訊,同時導致手機死當重啟,甚至可以刪除用戶的所有資料。這項漏洞被官方定義的Android ID為 Bug 17356824,而網友則稱為broadAnywhere。

這項消息由網友RETME發現,這位網友就是之前發現LaunchAnywhere 漏洞的同一個人。他研究Lolipop的原始碼發現google在5.0上修復了一個高危漏洞,而利用這個漏洞可以發送任意廣播:不僅可以發送系統保護級別的廣播、還可以偽裝發送詐騙簡訊,簡直就是之前 LaunchAnywhere 漏洞的broadcast版本,所以就暫時稱它為broadAnywhere。

Android爆出broadAnywhere新漏洞,5.0以外版本手機都有危險!

這個漏洞產生的原因,是因為Settings系統應用將自己的PendingIntent傳給不可信的第三方程式,第三方程式可修改PendingIntent參數,然後交還給系統執行。利用這個漏洞,第三方程式可以發送任意廣播,還可以調用其他應用程式的內部功能,給系統和使用者應用造成全面威脅。

雖然Android 5.0版已經將這個漏洞修補,但依然會影響所有Android 5.0版本之外的手機。關於漏洞的技術原理有興趣的可以去他的網站上看相關的分析,在這裡簡單說明這個漏洞會造成的危害:

1.手機端的DoS攻擊(可使手機崩潰)

該系統推播漏洞會造成手機系統拒絕服務,就相當於推播訊息滿出來時別人無法進入,手機用戶不能正常存取記憶體,甚至無法上網,最終造成手機當機,無法使用。

2.偽造任意來源和內容的簡訊

攻擊者利用這一系統推播漏洞會在手機中偽造任意內容的簡訊,極有可能利用這一漏洞傳播大量詐騙簡訊。

3.清除手機資料

利用該漏洞,惡意程式可傳送com.google.android.c2dm.intent.RECEIVE推播,Android系統將會被恢復至出廠設定,手機中包括照片、影片、通訊錄、簡訊等重要資料可能被徹底清除。

Google有針對這個漏洞進行說明,不過一般使用者只能等Google推出安全更新,以及不要從第三方程式商店下載安裝任何來源不明的App。

 

資料來源:Retme的未來道具研究所

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
肥貓
1.  肥貓 (發表於 2014年11月19日 11:13)
就算升5.0,仍然會是廣告一堆
詐騙沒辦法鑽漏洞,就光明正大的來
想要騙人去買能夠用5.0的硬體,也不是這樣
發表回應
謹慎發言,尊重彼此。按此展開留言規則