CERT近日發布了一個漏洞說明，美國主要無線運營商Verizon Wireless和AT&T存在網絡漏洞，會對接入網絡中的所有安卓版本(也包括Android 6.0，又名棉花糖)用戶的安全性和個人隱私造成損害。可能造成數以萬計安卓用戶的手機設備遭受竊聽、數據欺騙以及不知情的過高計費等問題。

[[153059]]

波及所有的安卓版本

從目前來看，處于這些網絡中的所有版本的安卓設備都較為危險。但目前沒有好的解決辦法，因為安卓系統在 LTE網絡中“沒有合適的認證許可模塊”。

據研究者稱，該漏洞影響了所有的安卓版本，包括Android 6.0在內。而T-Mobile的用戶同樣也受到影響，但是據T-Mobile所稱，該問題已經被解決。蘋果用戶目前并未受影響。

LTE的安全問題

LTE，也被稱為4G網絡，它是將蜂窩網絡從以前的電路交換網絡變換到目前使用的分組交換網絡，根據當前的一份研究報告摘要表明，

這種更新換代的變換，也增加了新的攻擊向量產生的可能性。

這份研究論文的作者也是第一個“分析關于VoLTE(基于IMS的語音業務)的安全性問題”的團隊成員，這個團隊之前分別分析研究了美國和韓國的五大VoLTE運營商。

CERT 報告中提到，分組交換以及ip協議中，特別是會話發起協議(SIP)，可能會導致出現一些在上一代網絡中沒出現過的新的攻擊類型。造成的影響是，遠程的攻擊者在網絡中可以建立一個p2p網絡，直接從其他手機竊取數據，或者偽造手機號碼進行通話。一個惡意安卓手機軟件也可以在用戶不知情的情況下，自行撥打電話。

研究者已經發現一種方法，利用SIP協議的原理，通過偽造電話號碼進行通話和發送文本信息。同樣，對于攻擊者來說，也可以獲取到免費帶寬，以進行更多的行動(像視頻通話)且不需要任何費用。在同樣的環境中，攻擊者能夠同時建立多個SIP會話，并借此對網絡進行 DOS攻擊。

面臨的威脅

基于以上的信息，用戶目前面臨著以下的威脅，

1、通信信道遭受竊聽;

2、被利用對安卓手機設備接入網絡進行DOS攻擊;

3、由此產生高昂的通話費用。

各方反應

谷歌：

談及到此事時，一位谷歌發言人表示，谷歌將會對Nexus設備進行加固，將其作為十一月份安全更新計劃中的一部分，但是目前尚不確認哪一個安卓版本受到影響。

AT&T 以及Verizon：

目前，AT&T 以及Verizon還沒有正式回應該問題。