Chinaunix首页 | 论坛 | 博客
  • 博客访问: 398052
  • 博文数量: 42
  • 博客积分: 1181
  • 博客等级: 少尉
  • 技术积分: 602
  • 用 户 组: 普通用户
  • 注册时间: 2012-02-28 22:19
文章分类

全部博文(42)

文章存档

2012年(42)

分类: 网络与安全

2012-09-30 21:21:47

原文: http://blog.vis.tw/?p=79&variant=zh-cn

前一篇文章提到关于 USSD 的漏洞, 但是很无奈的, 这不是 Samsung 专有的漏洞. 理论上只要支援 USSD 指令的手机都会受到影响, 我们来谈一下它的原理吧!!
首先, 什么是 USSD(Unstructured Supplementary Service Data), USSD 是用户端(手机)与通信服务提供商服务器沟通的一种协定. 例如大家最常知道的 IMEI 码.(在手机上按 *#06# 会跳出 IMEI 码)如下图:

其他关于 USSD 的细节可以参考 wikipedia 中 .

接下来有写手机开发商为了方便或是总总原因会有些内部测试用的 USSD , 例如回复原厂设定等等的. 加上许多智慧型手机会将网页语法中的

1

以电话号码的方式播打, 于是乎就很容易理解了, 如果我的网页代码是

1

那你的手机就会很直接地播出 *#06# , 然后在萤幕上显示出你手机的 IMEI 码.
所以预防的方法也很简单, 如果我有一个程式可以在网页中收到类似代码时先将他拦截, 在收到类似的 url 之前都先问我要不要播号, 问题其实就解决了!!
网络上有很多测试的网页, 大家可以去搜寻看看, 如果不信任的话可以试试看我自己写的测试网页. 我测试网页代码如下:

1
2
3

在 google play 上也有很多过滤的 tool 了, 我自己用的是 .
Auto-Reset Blocker执行的时候不需要特殊的权限.

安装完后再回到刚刚的测试网页会弹出要用哪个软件播号, 请将默认选为 Auto-Reset Blocker.

之后遇到类似的网页时他会将所有的 USSD 代码读出来, 我们再决定要不要播号!


阅读(4777) | 评论(0) | 转发(0) |
0

上一篇:Java 0-day

下一篇:没有了

给主人留下些什么吧!~~