在2014 Black Hat黑帽黑客大会上,两名来自Accuvant的研究员公布了一个存在于运营商控制软件中的严重漏洞,该问题大约影响20亿移动设备。
这对搭档公布的漏洞影响安卓,黑莓以及一小部分的iOS设备,涉及不同运营商制造的设备及模型。
“运营商们将控制软件嵌入移动设备中以便他们能够配置手机接入他们的网络并推送硬件更新通知。”Accuvant的副总裁兼***科学家Ryan Smith解释道。
这次发现的漏洞对于用户来说简直是一场灾难。通过这些设备和运营商,黑客能够利用控制软件中的漏洞安装恶意软件,访问数据,增删或者运行任意应用。清除一个设备的全部数据,甚至远程修改屏幕锁屏的PIN码,以及其他一些敏感操作。
不过Accuvant已经恰当的把他们发现的问题告知了服务提供商来缓解潜在的安全威胁。这些存在漏洞的软件的厂商已经公布了一个补丁来解决这种问题。基带运营商也已经编写了补丁代码,相关运营商也正在进行补丁发布的流程。
“手机用户应当确保他们的设备打上了***的补丁。”Accuvant建议。
如果近期没有补丁发布,用户应当联系他们的运营商来询问是否受该漏洞影响,是否有可用的补丁或者补丁是否已经完成开发。一些组织应当利用他们的MDM平台来确保用户的手机已经使用了***版本的软件。
[via/net-security]