Android 出現自動打出電話漏洞 CVE-2013-6272

Android 被發現有關撥打電話相關的漏洞,惡意程式可無須申請撥打電話的權限,即可在後台撥打任意電話,該漏洞被命名為 CVE-2013-6272 。受影響的 Android 版本包括 4.1.1 的 (SDK 16)、4.1.2(SDK 16)、 4.2.2(SDK 17)、4.4.2(SDK 19)。20140710android01
CVE-2013-6272 漏洞使用了 com.android.phone.PhoneGlobals$NotificationBroadcastReceiver.中的臭蟲,最新 Android 4.4.4(KitKat) 已將此問題修正。Curesec 為讓用戶自行檢驗有沒有被影響,已經將它打包成CRT-Lolme.apk。預幹 Android 4.4.2 的 Nexus 4 已證實有問題。安裝此apk時不需特別權限。程式有3個 Test Call 鍵,Android 4.4.2時使用第三個 Test Call SDK=17。結果沒任何警告下就自動撥出電話,測試時撥出的號碼是 31337。

20140710android02在搭載 Android 4.3 的 Galaxy S 上則測試失敗。

20140710android03
現時能升級至 Android 4.4.4 的就只有Nexus 4、Nexus 5、Nexus 7(2012年、2013年版)、Nexus 10。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *