Bizzy Bone - that's why thugs never cry (NEW 2009).mp4
차례:
악의적 인 웹 페이지를 방문했을 때 삼성 안드로이드 기기에서 데이터를 지울 수있는 최근에 공개 된 공격의 변형을 사용하여 SIM 카드를 비활성화 할 수있다.
베를린 공과 대학의 전기 통신 보안 부서 연구 조교 인 Ravishankar Borgaonkar는 최근 아르헨티나 부에노스 아이레스의 Ekoparty 보안 컨퍼런스에서 원격 데이터 삭제 공격을 시연했다.
이 공격은 iframe 내부에 특별한 공장 초기화 코드가있는 "tel:"URI (uniform resource identifier)를로드하여 웹 페이지에서 시작할 수 있습니다.
삼성 Galaxy를 포함한 여러 삼성 Android 기기 S III, Galaxy S II, Galaxy Beam, S Advance 및 Galaxy Ace는 특수 공장 초기화 코드를 지원했기 때문에 취약한 것으로보고되었습니다.
Borgaonkar는 장치가 해당 페이지에 대한 링크를 자동으로 열도록 강요 될 수 있음을 보여주었습니다 NFC 사용 가능 전화를 불량 NFC 태그에 접촉하거나 QR 코드를 스캔하거나 특수 서비스 메시지에 링크를 포함 시켜서 그러나 공격자는 트위터 피드, SMS 또는 전자 메일 메시지에 링크를 포함시키고 피해자가 수동으로 클릭하도록 속일 수 있습니다.
이 공격에 의해 악용 된 취약점은 Android 주식 다이얼러에 있으며 해결되었습니다 3 개월 전에. Android 소스 저장소의 패치 주석은 다이얼러가 "tel:"URI를 통해 전달 된 특수 코드를 더 이상 실행하지 않도록 수정되었음을 제안합니다.
모바일 사용자는 전화 걸기를 통해 특정 코드를 입력하여 특수 명령을 실행할 수 있습니다 인터페이스.
이러한 코드는 * 및 # 문자로 묶여 있으며 모바일 운영자가 제공하는 서비스 또는 MMI (Man-Machine Interface) 코드에 액세스 할 때 비 구조 보조 서비스 데이터 (USSD) 코드로 알려져 있습니다
모든 기기가 동일한 코드를 지원하는 것은 아니지만 일부는 다소 표준 적입니다. 예를 들어, * # 06 #은 Android 기기의 IMEI (국제 휴대 기기 신원) 번호를 표시하는 거의 범용 코드입니다.
삼성 이외의 다른 제조업체의 일부 기기는 공장 초기화 공격에 취약 할 수도 있습니다. 간단한 Google 검색에서 인기있는 HTC Desire 휴대 전화의 초기화 코드가 반환되었습니다.
공격도 SIM 카드를 죽일 수 있습니다.
초기화 코드 외에도 일부 코드는 위험 할 수 있습니다. Borgaonkar는 프리젠 테이션 중에 SIM 카드를 "죽이기"위해 동일한 공격을 사용할 수 있다고 언급했습니다.
이것은 SIM 카드의 PIN (Personal Identity Number) 번호를 PUK (Personal Unblocking Key), 보스턴의 Northeastern University의 SECLAB에서 근무하는 모바일 보안 연구원 콜린 멀리 너 (Collin Mulliner)는 전자 메일을 통해 화요일에 말했다.
이 코드가 잘못된 PUK로 여러 번 실행되면 SIM 카드가 영구적으로 잠겨져 사용자는 운영자로부터 새로운 것을 얻을 필요가 있다고 Mulliner는 말했다.
iframe에 공장 재설정 코드가있는 "tel:"URI를 사용하는 대신 공격자는 PIN 변경 코드와 잘못된 PUK가있는 iframe을 10 개 가질 수 있습니다 멀린은 악의적 인 웹 페이지에 대해
특정 제조업체의 특정 장치에서만 지원되는 공장 초기화 코드와 달리 대부분의 안드로이드 폰은 SIM 카드 기능으로 표준화되어 있기 때문에 PIN 변경 코드를 지원해야한다고 말했다. "SIM 문제는 제 의견으로는 더 문제가 있습니다."
삼성은 이미 Galaxy S III 장치에 대한 USSD / MMI 코드 실행 문제를 해결했습니다. 삼성은 화요일에 전자 메일을 통해 성명서를 통해 "갤럭시 S III에 영향을 미치는 최근의 보안 문제는 이미 소프트웨어 업데이트에서 해결되었음을 고객에게 확신시키고 싶다"고 밝혔다. "우리는이 문제가 조기 제조 장치에서 분리되었다고 생각하며 현재 사용 가능한 장치는이 문제의 영향을받지 않습니다. 고객이 완벽하게 보호받을 수 있도록 Samsung은 '설정: 장치 정보: 소프트웨어 업데이트'메뉴를 통해 소프트웨어 업데이트를 확인하도록 권장합니다. 다른 갤럭시 모델을 평가하는 과정에 있습니다. "
그러나 SIM 잠금 공격에 취약한 모든 장치가 해당 제조업체의 펌웨어 업데이트를받을 가능성은 거의 없습니다. 대부분의 제조업체가 펌웨어 업데이트를 실행하는 속도가 느리고 많은 전화 모델이 더 이상 지원되지 않으므로 취약성이 계속 남아있는 것으로 알려진 사실입니다.
Mulliner는 TelStop이라는 응용 프로그램을 만들어 보조를 등록하여 공격을 차단합니다. "tel:"URI 처리기.
TelStop이 설치되고 전화에 "tel:"URI가 표시되면 사용자에게 TelStop과 일반 다이얼러 중에서 선택하라는 대화 상자가 표시됩니다. TelStop이 선택되면 응용 프로그램은 "tel:"URI의 내용을 표시하고 악의적 인 내용 일 경우 경고를 표시합니다.
안드로이드는 기업이 아닌 광고에 관한 것입니다
최초의 안드로이드 전화는이 장치가 Google이 모바일에서 발판을 마련하도록 설계되었다는 것을 분명히 나타냅니다 ...
G1은 아이폰은 없지만 안드로이드는 약속했다
대부분의 G1 리뷰어는 아마도 간단히 말해서 소프트웨어가 훌륭하다는 데 동의 할 것이다
안드로이드는 모토로라의 구세주가 될 것인가?
모토로라는 새로운 안드로이드 운영체제를 채택 할 예정이다. 모토로라 핸드셋 사업부를 저장하는 것만으로 충분할 것인가?