好可怕的漏洞!可以远端控制全球超过20亿台移动设备

2014-08-09 15:16:12来源: ithome
  
资安业者Accuvant Labs的两名研究人员Mathew Solnik与Marc Blanchou本周在拉斯维加斯举行的黑帽大会(Black Hat)上指出,全球有超过20亿的行动网路装置安装了含有漏洞的远端管理程式,让骇客能够藉以取得权限在装置上安装程式或存取机密资讯。

此一讲题为「全球规模的行动网路攻击」(Cellular Exploitation on a Global Scale),展示的是电信营运商为了远端控制行动装置并基于「开放行动联盟装置管理」(Open Mobile Alliance Device Management,OMA-DM)协定所导入的特定软体含有安全漏洞而产生的风险,被点名的则是由Red Bend所开发的vDirect Mobile客户端装置管理软体。

OMA-DM为一装置管理协定,可用来管理手机、平板电脑、笔电、M2M,甚至是汽车等各种可透过行动网路连网的装置,全球的电信营运商几乎都会在所销售的手机中安装基于该协定的软体,以用来进行远端的软体或韧体更新。

Solnik与Blanchou表示,行动营运商在这类的软体中部署了某些隐藏的控制功能,他们透过逆向工程来分析嵌入的基频与程式,找出潜藏的控制功能并了解其运作原理,然后挖掘出当中的一些漏洞,撰写出概念性验证程式,并展示如何破解上锁的萤幕,远端执行程式,以及越狱。

↓ Accuvant Labs安全研究人员展示如何远端替萤幕解锁。



Accuvant之所以锁定由Red Bend所开发的vDirect Mobile客户端装置管理软体,是因为全球由电信业者所售出的手机中,有7~9成安装该软体,同时Red Bend自己也宣布全球有超过20亿的装置、上百家制造商与行动营运商使用该公司的软体。

Red Bend则事先于7月底发出声明指出,Accuvant可能会在8月初展示vDirect Mobile装置管理软体的旧有漏洞,该公司在6月中取得相关报告后便着手修补,目前所有的新版皆已有所改善。(编译/陈晓莉)

关键字:漏洞  远端控制

编辑:北极风 引用地址:http://www.eeworld.com.cn/xfdz/2014/0809/article_35822.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
漏洞
远端控制

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved