Android手机存安全性漏洞遭揭露!资安业者公布新型恶意攻击手法
文/记者刘惠琴
资安业者 Check Point 近日发布一份最新研究报告称,三星、华为、LG、Sony及其他Andro
id作业系统的手机存在安全性漏洞,导致使用者容易受到进阶网络钓鱼攻击。
受影响的Android手机采用无线更新技术(over-the-air provisioning,OTA provisioning
),透过此配置,电信业者能将网络特定设置部署到新连接至网络的手机。经 Check Point
Research 分析发现,OTA产业标准-开放行动联盟用户端配置(Open Mobile Alliance Cl
ient Provisioning,OMA CP)采用有限的身份验证方法,远端代理能利用这一点伪装成电
信业者,并向使用者发送假OMA CP讯息,以此诱骗使用者装置接受恶意软件的下载安装,如
透过骇客手中的代理服务器传输网络流量。
研究人员指出,某些三星手机没有对OMA CP讯息寄件者进行真实性检查,因此最容易受到此
形式的网络钓鱼攻击。意味着,手机使用者一旦在不知情的状况下,接受由骇客伪装假冒代
理的电信业者发送的 OMA CP 身份验证方式,恶意软件即可安装于用户手机内,且无需寄件
者证明其身份。
华为、LG和Sony手机虽然设有一种身份验证方式,但骇客只需收件人的IMSI(Internationa
l Mobile Subscriber Identity,国际移动用户辨识码)便可“确认”其身份。攻击者能够
透过各种方式获取受害者的识别码,包括建立一个恶意Android应用程式,在安装后读取手
机的识别码。
此外,攻击者还可以伪装成电信业者向使用者传送短信,要求他们接受PIN码保护的OMA CP
,绕过对IMSI的要求;如果使用者随之输入提供的PIN码并接受此讯息,则无需识别码即可
安装OMA CP。
Check Point研究人员Slava Makkaveev表示:“考量到Android装置的普遍性,这是一个必
须解决的严重漏洞。如果没有更安全的身份验证方式,恶意代理就能轻松透过无线装置发起
网络钓鱼攻击。当收到OMA CP讯息时,使用者无法分辨其是否来自可信任来源。在点击‘接
受’后,手机很可能遭到攻击者骇入。”
Check Point 进一步指出,今年3月已向受此安全性漏洞影响的相关手机厂商公布研究结果
。三星已于5月份向用户推送的安全维护版本(SVE-2019-14073)中,提供了针对此网络钓
鱼攻击的修复程式。LG 已于7月发布了修复程式(LVE-SMP-190006),华为计画把OMA CP的
UI修复程式纳入新一代Mate系列或P系列智慧型手机中。Sony 拒绝承认该漏洞存在,表示其
装置遵循OMA CP规范。
https://3c.ltn.com.tw/m/news/37990
心得:
这表示安卓手机在接受ota同时可能收到假的意思吗?
那一般使用者有办法去避免吗?
不然感觉有点可怕耶.....
身为三星使用者涩涩发抖>A<