這兩天最轟動的新聞, 應該就是快速幫 Samsung Android(4.0.4以前版本)回復原廠設定, 可以遠端幫有需要的朋友做重置.
如果 Windows 也有這種功能, 對維修電腦的 MIS 應該也是一大福音. (可以遠端一鍵重灌, 想起來就很美好)~ XD
避免網頁重置的暫時解法
先講避免此問題的解法, 最好的當然是升級到 Android 4.0.4 以上, 不行的話, 可以先安裝下述 Apps 避免:
加裝撥號程式 - Dialer One 或 TelStop.
Dialer One 功能:
- 系統自動開啟撥號程式, 沒有預設撥號程式時, 會讓使用者挑選撥號程式, 另外 Dialer One 不會自動撥出號碼
TelStop 功能:
- 攔截 tel: 開頭的連結, 避免此漏洞.
一組電話號碼網頁幫 Samsung Android(4.0.4以前版本)回復原廠設定
快速說明可見此篇: 在網頁中崁入一行code就可以讓你的Samsung galaxy 做Factory Reset(回復原廠設定), 下述節錄自此篇:
到底是哪行code呢?其實就是一組神秘電話號碼…
<frame src='tel:*2767*3855%23' />
這行code會讓你的手機自動播出 *2767*3855# ,也就是Galaxy手機回復原廠設定的USSD code。
影片 Demo
可以於下述影片, 直接快轉到 10分鐘的位置看 Demo
下述轉載自此篇: 研究:USSD指令可遠端破壞Android手機資料與SIM卡
研究人員在展示中表示,使用USSD指令可以在三秒內將手機恢復為出廠狀態,並將記憶卡格式化。問題可能來自Android系統的撥號程式,他發現今年六月Android團隊就發現該問題並加以修正,更新至4.0.4版的GALAXY S3也修補好該漏洞。
在 ekoparty資安會議中,研究人員Ravi Borgaonkar利用USSD(Unstructured Supplementary Service Data)指令攻擊三星的一款Android手機GALAXY S3,刪除該手機及記憶卡內的資料,並表示還有USSD指令可以破壞SIM卡。
Ravi Borgaonkar在展示中使用網頁連結,但其連結內容實際上為撥號指令(tel:),因此當使用者開啟該連結時,手機會自動開啟撥號程式、輸入USSD指令並執行。一般手機在連結該USSD指令之後,必須經由使用者按下「撥號」按鈕,但展示中的手機卻自動完成撥號動作。
研究人員在展示中表示,使用USSD指令可以在三秒內將手機恢復為出廠狀態,並將記憶卡格式化。Ravi Borgaonka表示,還有指令可以讓SIM卡失效,而且除了網路連結之外,簡訊、QR Code、NFC等方式都可以傳輸並自動開啟該指令,他建議使用者關閉這些通訊方式或其自動載入功能。
根據媒體報導,三星多款手機均受此漏洞影響。一位紐西蘭的電視編輯Dylan Reeve在部落格中表示,他擁有的HTC One X及Motorola Defy一樣受到該漏洞影響,部分媒體報導Sony Xperia也有機種受到影響。
Dylan Reeve認為,問題可能來自Android系統的撥號程式,他發現今年六月Android團隊就發現該問題並加以修正,更新至4.0.4版的GALAXY S3也修補好該漏洞,會等使用者確認再撥出USSD指令。
對於尚未更新韌體的機種,Dylan Reeve建議使用者加裝一款撥號程式Dialer One,當系統自動開啟撥號程式時,如果使用者沒有預設撥號程式時,會先讓使用者挑選撥號程式,而且Dialer One不會自動撥出號碼。另外也有一個程式TelStop專門攔截tel:開頭的連結,可以避免該漏洞的影響。
USSD為GSM系統所使用的一種通訊協定,使用者透過手機撥號程式輸入特定USSD指令之後,可以取得系統服務商提供的服務,例如查詢預付卡餘額等,也用於查詢手機內部資訊,如*#06#可以查詢手機IMEI碼。部分手機廠商使用自定USSD指令對手機做特殊設定或操作,例如恢復為出廠設定、開啟工程模式等。(編譯/沈經)