Broadpwn漏洞来袭:Android和iOS设备均中招
- A
日前,据安全研究人员发现,Android和iOS设备嵌入的博通Wi-Fi芯片上存在某种漏洞,攻击者能够利用该漏洞在设备上执行代码,而无需用户的任何交互。
该漏洞被命名为“Broadpwn”,漏洞编号CVE-2017-9417,目前使用博通BCM43xx系列的Wi-Fi芯片的手机厂商包括谷歌(Nexus)、三星、HTC和LG,他们在大量的移动设备中使用了这款芯片。
安全研究人员对Android安全补丁进行了逆向工程,当用户从连接网络处接收长度不准确的WME (服务质量)信息元素时,漏洞就会被触发。
该漏洞存在于博通的固件代码中,可以导致远程代码执行漏洞,允许处于设备Wi-Fi范围内的攻击者向目标设备发送并执行代码,更有甚者还能通过部署恶意代码,在无需受害者同意的情况下完全控制设备,在受害者不知情的情况下安装银行木马、勒索软件、恶意广告等恶意程序。
不过,iPhone用户不用过于惊慌,目前苹果方面已经在最新的iOS 10.3.1中修复了该漏洞,只需要用户升级固件就能避免;但Android可就不那么幸运了,尽管谷歌已经在今年四月份的安全性修正中推出了修复更新,但很多Android手机受其品牌商限制还直接通过谷歌官方推送的补丁进行漏洞修复。
这就要求还没有收到Android安全补丁的用户最好只连接足以信任的Wi-Fi网络,同时禁用Wi-Fi自动连接功能,最好不要去主动连接不受信任的Wi-Fi热点。
当然,连接不安全的Wi-Fi、黑客用于钓鱼的Wi-Fi热点等可能导致的后果是非常严重的,不管有没有曝出此次的Broadpwn漏洞,对比,央视315和其他电视栏目已经做过太多的科普工作。
不过,话说回来,国内外都在试点和推出公共Wi-Fi,比如说欧洲的第一棵电子树除了能够为智能手机提供充电功能,还能提供Wi-Fi热点;印度方面也曾制定了一个名为“数字乡村”的计划,将村子里的电线杆将会成为Wi-Fi网络热点;中国移动也于日前在江苏徐州试点了智能灯杆,除了能够为智能手机和汽车进行充电,同样也能连接无线WIFI免费上网。
而在诺顿日前进行的一项调查中,得出过这样的一个结论:大多数人无法是无法抗拒免费Wi-Fi的,即便它并不安全。
更多公共Wi-Fi热点的出现也就意味着其安全性受到了考验,毕竟李鬼Wi-Fi热点作案的可能性也就随着增大了,因此笔者在这里有必要提醒诸位用户,最好还是随时关闭设备Wi-Fi自动连接功能,毕竟智能设备在进入有Wi-Fi的区域后会自动扫描,并连接没有密码的网络,会大大增加用户误连钓鱼Wi-Fi的几率。
