昨天,國外媒體曝光瞭一個存在於安卓手機內的系統高危漏洞:通過訪問惡意網站,安卓手機內的用戶數據可能被故意全部清空。僅僅過瞭不到18小時,國內最大安全廠商360旗下360手機衛士,就已迅速分析、驗證瞭該漏洞,並緊急推出最新升級版,為安卓手機用戶迅速封堵住這個可利用“Tel指令”作惡的安全漏洞。
360安全專傢驗證:存在“tel指令”漏洞的手機正被擦除全部數據
據360安全專傢驗證:當用戶不小心進入到嵌入有惡意代碼的網站時,在其毫不知情的情況下,手機就會被直接擦除所有數據,恢復到出廠狀態。目前360手機衛士最新升級版已經封堵住該漏洞,不會受到該漏洞的危害。而使用360手機衛士自帶的“安全通訊錄”替代系統提供的撥號程序,也可以規避此安全風險。
“安卓系統瀏覽器可以通過訪問一個網址的方式來調用“tel指令”,而且過程中完全不需用戶確認,如果有人惡意制作網址鏈接誘導用戶點擊,就會導致用戶所有數據被刪除。”360安全專傢表示,“這也不排除,有不良開發者通過惡意插件,在用戶不知情的情況下自動訪問惡意網站鏈接,偷偷刪除手機中的數據!”
據360安全專傢介紹,所謂“tel指令”,其實很常見。如在安卓手機原生撥號界面輸入 “*#06#”就可以查看IMEI;但另外一些比較“冷門”的“tel指令”,除瞭專業人士和部分手機發燒友外,一般手機用戶可能就都不太瞭解瞭。如在撥號界面輸入字符“*2767*3855#”,其實可以將手機恢復成出廠設置,即清空所有數據,包括通訊錄、已安裝軟件等。(如未事先備份過重要數據,請勿嘗試恢復出廠設置,這將導致您的個人數據損失。)
據悉,該漏洞被證實已經影響到三星、HTC、摩托羅拉等多個品牌的大量安卓智能手機。截至目前,除三星公司表示將盡快更新固件解決此漏洞外,其他手機廠商尚未回應。360安全專傢建議用戶盡快將360手機衛士升級到最新版,以防范手機重要數據被遠程擦除的風險。
360手機衛士的最新版,具備高效智能的主動防禦(需ROOT權限)功能:一旦發現利用此漏洞的的惡意行為時,360手機衛士會提醒用戶“註意!為您攔截到可疑的危險操作,該操作將會清空聯系人、刪除全部已安裝軟件。該操作利用瞭系統電話程序的指令漏洞,360手機衛士可以時刻保護你遠離漏洞威脅。”此外,如果用戶安裝瞭360手機衛士裡自帶的360安全通訊錄,因為沒有使用安卓原生的撥號軟件,自然也可以規避此安全風險。
Orignal From: 安卓驚曝tel漏洞 360手機衛士火速升級
留言列表
