行動手機系統的安全漏洞,大多能透過系統更新來防堵,不過近日一間資訊安全公司發現來自 SIM 卡的超級漏洞,駭客只要發出含有惡意代碼的 SMS 短訊,手機收到短訊後可執行不同指令,包括報告所在位置、IMEI、控制手機傳輸數據、發出假訊息、打電話、自行停用 SIM 卡等。這個漏洞估計已存在 2 年之久,被超過 30 個國家地區的駭客所利用。

這個超級漏洞由資訊安全公司 AdaptiveMobile Security 研究員發現,讓電訊商發送指示、短訊、加值服務的 SIM 卡功能「S@T Browser」存在缺陷,駭客可發動「SIMjacker」攻擊,在這個內建於 SIM 卡上的軟體進行各種指令。由於它並非依存手機系統,而是內建於 SIM 卡,因此 iPhone、部分品牌的 Android 手機與帶有 SIM 卡的網路裝置,都有機會被攻擊,而且被入侵之後不會留下任何痕跡。

研究員指此漏洞已被駭客使用了最少 2 年,廣泛被應用於全球 30 個國家地區,包括中東、北非、亞洲與東歐地區。

應對方面,網路供應商可分析可能含有惡意代碼的 SMS 並加以攔截,但這方面存在隱私問題,而且影響地區廣闊,實行難度十分高。目前 AdaptiveMobile Security 已通知兩個世界性行動技術組織 GSM Association SIM Alliance,研究對策以杜絕此類漏洞。

    全站熱搜

    Win Driver Blog 發表在 痞客邦 留言(0) 人氣()