CERT近日發(fā)布了一個漏洞說明，美國主要無線運營商Verizon Wireless和AT&T存在網(wǎng)絡(luò)漏洞，會對接入網(wǎng)絡(luò)中的所有安卓版本(也包括Android 6.0，又名棉花糖)用戶的安全性和個人隱私造成損害?？赡茉斐蓴?shù)以萬計安卓用戶的手機設(shè)備遭受竊聽、數(shù)據(jù)欺騙以及不知情的過高計費等問題。

[[153059]]

波及所有的安卓版本

從目前來看，處于這些網(wǎng)絡(luò)中的所有版本的安卓設(shè)備都較為危險。但目前沒有好的解決辦法，因為安卓系統(tǒng)在 LTE網(wǎng)絡(luò)中“沒有合適的認(rèn)證許可模塊”。

據(jù)研究者稱，該漏洞影響了所有的安卓版本，包括Android 6.0在內(nèi)。而T-Mobile的用戶同樣也受到影響，但是據(jù)T-Mobile所稱，該問題已經(jīng)被解決。蘋果用戶目前并未受影響。

LTE的安全問題

LTE，也被稱為4G網(wǎng)絡(luò)，它是將蜂窩網(wǎng)絡(luò)從以前的電路交換網(wǎng)絡(luò)變換到目前使用的分組交換網(wǎng)絡(luò)，根據(jù)當(dāng)前的一份研究報告摘要表明，

這種更新?lián)Q代的變換，也增加了新的攻擊向量產(chǎn)生的可能性。

這份研究論文的作者也是第一個“分析關(guān)于VoLTE(基于IMS的語音業(yè)務(wù))的安全性問題”的團隊成員，這個團隊之前分別分析研究了美國和韓國的五大VoLTE運營商。

CERT 報告中提到，分組交換以及ip協(xié)議中，特別是會話發(fā)起協(xié)議(SIP)，可能會導(dǎo)致出現(xiàn)一些在上一代網(wǎng)絡(luò)中沒出現(xiàn)過的新的攻擊類型。造成的影響是，遠程的攻擊者在網(wǎng)絡(luò)中可以建立一個p2p網(wǎng)絡(luò)，直接從其他手機竊取數(shù)據(jù)，或者偽造手機號碼進行通話。一個惡意安卓手機軟件也可以在用戶不知情的情況下，自行撥打電話。

研究者已經(jīng)發(fā)現(xiàn)一種方法，利用SIP協(xié)議的原理，通過偽造電話號碼進行通話和發(fā)送文本信息。同樣，對于攻擊者來說，也可以獲取到免費帶寬，以進行更多的行動(像視頻通話)且不需要任何費用。在同樣的環(huán)境中，攻擊者能夠同時建立多個SIP會話，并借此對網(wǎng)絡(luò)進行 DOS攻擊。

面臨的威脅

基于以上的信息，用戶目前面臨著以下的威脅，

1、通信信道遭受竊聽;

2、被利用對安卓手機設(shè)備接入網(wǎng)絡(luò)進行DOS攻擊;

3、由此產(chǎn)生高昂的通話費用。

各方反應(yīng)

谷歌：

談及到此事時，一位谷歌發(fā)言人表示，谷歌將會對Nexus設(shè)備進行加固，將其作為十一月份安全更新計劃中的一部分，但是目前尚不確認(rèn)哪一個安卓版本受到影響。

AT&T 以及Verizon：

目前，AT&T 以及Verizon還沒有正式回應(yīng)該問題。