全球領(lǐng)先網(wǎng)絡(luò)安全解決方案提供商Check Point® 軟件技術(shù)有限公司的威脅情報(bào)部門 Check Point Research 披露了三星、華為、LG、索尼及其他基于 Android 操作系統(tǒng)的手機(jī)存在安全漏洞，導(dǎo)致用戶容易受到高級(jí)網(wǎng)絡(luò)釣魚攻擊。
 
受影響的 Android 手機(jī)使用無(wú)線 (OTA) 配置，支持蜂窩網(wǎng)絡(luò)運(yùn)營(yíng)商由此將網(wǎng)絡(luò)特定設(shè)置部署到接入其網(wǎng)絡(luò)的新手機(jī)。但 Check Point Research 發(fā)現(xiàn)，OTA 配置行業(yè)標(biāo)準(zhǔn) - 開放移動(dòng)聯(lián)盟客戶端配置 (OMA CP) 采用有限的身份驗(yàn)證方法。遠(yuǎn)程代理能夠利用這一點(diǎn)偽裝成網(wǎng)絡(luò)運(yùn)營(yíng)商，并向用戶發(fā)送欺詐性 OMA CP 消息。該消息誘使用戶接受惡意設(shè)置，例如，通過(guò)黑客擁有的代理服務(wù)器傳輸其互聯(lián)網(wǎng)流量。
 
研究人員確定，由于某些三星手機(jī)沒有對(duì) OMA CP 消息發(fā)件人進(jìn)行真實(shí)性檢查，因此最容易受到這種形式的網(wǎng)絡(luò)釣魚攻擊。只需用戶接受 CP，惡意軟件即可安裝，無(wú)需發(fā)件人證明其身份。
 
華為、LG 和索尼手機(jī)確實(shí)設(shè)有一種身份驗(yàn)證方式，但黑客只需收件人的國(guó)際移動(dòng)用戶識(shí)別碼 (IMSI) 便可“確認(rèn)”其身份。攻擊者能夠通過(guò)各種方式獲取受害者的 IMSI，包括創(chuàng)建一個(gè)惡意 Android 應(yīng)用，以在其安裝后讀取手機(jī) IMSI。此外，攻擊者還可以偽裝成網(wǎng)絡(luò)運(yùn)營(yíng)商向用戶發(fā)送短信，并要求他們接受 PIN 保護(hù)的 OMA CP 消息，從而繞過(guò)對(duì) IMSI 的需求。如果用戶隨后輸入提供的 PIN 碼并接受 OMA CP 消息，則無(wú)需 IMSI 即可安裝 CP。
 
Check Point 軟件技術(shù)公司安全研究員 Slava Makkaveev 表示：“鑒于 Android 設(shè)備日益普及，這是一個(gè)必須解決的嚴(yán)重漏洞問題。如果沒有更強(qiáng)大的身份驗(yàn)證方式，惡意代理將很容易通過(guò)無(wú)線配置發(fā)起網(wǎng)絡(luò)釣魚攻擊。當(dāng)收到 OMA CP 消息時(shí)，用戶無(wú)法分辨其是否來(lái)自可信來(lái)源。在點(diǎn)擊‘接受’后，他們的手機(jī)將很可能遭到攻擊者的入侵。”
 
3 月，研究人員向受影響的廠商披露了研究結(jié)果。三星在其 5 月安全維護(hù)版本 (SVE-2019-14073) 中提供了針對(duì)此網(wǎng)絡(luò)釣魚攻擊的修復(fù)程序，LG 于 7 月發(fā)布了他們的修復(fù)程序 (LVE-SMP-190006)，華為計(jì)劃將針對(duì) OMA CP 的 UI 修復(fù)程序納入新一代 Mate 系列或 P 系列智能手機(jī)中。索尼拒絕承認(rèn)該漏洞的存在，稱其設(shè)備遵循 OMA CP 規(guī)范。
 
Check Point SandBlast Mobile 能夠防止中間人和網(wǎng)絡(luò)釣魚攻擊，進(jìn)而保護(hù)設(shè)備免遭此類惡意 OMA CP 消息的侵害。更多信息，請(qǐng)?jiān)L問 https://www.checkpoint.com/products/mobile-security/
 
如欲了解有關(guān)此研究的更多詳情，請(qǐng)?jiān)L問我們的博客：
https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones

標(biāo)簽： Android漏洞 SMS釣魚攻擊 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。