現時市面上有不少智能手機都有為用戶尋找失機的「Find My Phone」功能,雖然此功能對用戶而言的確有一定的作用,但其風險與各種漏洞大多都未有被廠商正視,繼 Apple 早前的「Find My iPhone」漏洞被黑客利用後,Samsung 手機日前亦被發現有零時漏洞 (Zero-day),若被黑客利用,用戶手機隨時可被鎖上及響鈴。
黑客可輕易鎖上目標 Samsung 手機
Samsung 手機的「Find My Phone」功能提供裝置鎖上、一分鐘響鈴、以地理位置定位、清空裝置資料.查閱通話紀錄、SIM 卡更換通知等遙距操作功能。上述遙距保安功能並不會自動啟用,但若然用戶有為其 Galaxy 裝置向 Samsung 登記,此服務就將會自動啟用。
據美國國家標準技術研究所 (National Institute of Standards and Technology,NIST) 指,由於 Samsung 手機並不會對遙距控制的要求作出合法性的檢查,因此黑客可以肆意向目標用戶裝置發出 DoS 攻擊。
以下為兩則由埃及安全研究員 Mohamed A. Baset 對此漏洞作出實驗的結果。
由上述影片可見,此攻擊對黑客而言的確毫不困難,隨着 Samsung 智能手機近年在市場上大受歡迎,各位 unwire.pro 讀者都要小心了。
Source:Computerworld