多个厂商的超过百万台安卓设备容易遭到AT命令集攻击
由美国佛罗里达大学和纽约州立大学石溪分校组成的研究团队日前公布多个移动设备存在的AT命令攻击弱点。
AT命令是上世纪开发的短串命令集合用于通过移动网络控制调制解调器的传输例如拨号或者更改相关参数等。
而现在的移动设备都包含调制解调器用于连接移动网络,AT命令虽然已经问世多年但当前依然还在被使用中。
部分AT命令可能存在弱点易被攻击:
值得注意的是国际电信机构早已标准化AT命令集并强制设备支持,但是多个厂商也会额外的添加自定义命令。
研究团队发现部分厂商自定义的AT命令存在弱点可被利用,例如用来绕过锁屏界面和绕过安全检查机制等等。
所幸这些存在弱点的AT命令集需要通过USB连接设备才可利用,这意味着攻击者必须物理接触设备才可攻击。
另外如果想要成功利用AT命令集漏洞还需要开启USB调试模式,如果没有开启调试模式那么也不能成功利用。
涉及多个厂商和固件、存在安全隐患:
正如上文所提攻击者想要成功实施攻击还需要USB连接,因此理论上AT命令集弱点并不会引起大规模的攻击。
但潜在AT命令隐患就是被攻击者用来从事商业间谍行为,这种针对性的攻击用来盗取目标设备的机密资料等。
研究团队称通过USB 连接后可以成功绕过安卓系统安全机制、执行屏幕解锁操作、安装恶意软件实施监控等。
诸如华硕、谷歌、HTC、华为、联想、LG、摩托罗拉、三星、索尼、中兴以及LineageOS固件均存在此问题。
关闭USB调试是个好习惯:
安卓系统的USB调试功能本身就存在较高的危险,开启此功能后即便不适用AT命令也可以绕过屏幕锁定密码。
而各种乱七八糟的管家助手等均可实现静默安装功能,即设备通过USB 连接电脑在不提示的情况下安装应用。
因此对于普通用户来说如果不经常使用各种管家助手那就不要开启USB 调试,开启后设备的威胁会急剧上升。
目前研究团队也已经将AT命令集相关信息通报给厂商,预计后续部分厂商会发布新版固件对弱点进行修复等。