Check Point软件技术有限公司的威胁情报部门Check Point Research透露,三星,华为,LG,索尼和其他基于Android的手机存在安全漏洞,使用户容易受到高级网络钓鱼攻击。
受影响的Android手机使用空中(OTA)调配,蜂窝网络运营商可以通过这种方式将特定于网络的设置部署到加入其网络的新手机上。但是,Check Point Research发现OTA供应的行业标准,即开放移动联盟客户端供应(OMA CP),包括有限的身份验证方法。远程代理可以利用它伪装成网络运营商,并向用户发送欺骗性的OMA CP消息。该消息诱使用户接受恶意设置,例如,通过黑客拥有的代理服务器路由其Internet通信。
研究人员于三月份向受影响的供应商披露了他们的发现。三星在其5月的安全维护版本(SVE-2019-14073)中包含了针对此网络钓鱼流程的修复程序,LG在7月发布了其修复程序(LVE-SMP-190006),华为计划将针对OMA CP的UI修复程序包括在内。下一代Mate系列或P系列智能手机。索尼拒绝承认该漏洞,并表示其设备遵循OMA CP规范。
关研究人员确定某些三星手机最容易受到这种网络钓鱼攻击,因为它们没有针对OMA CP消息发件人的真实性检查。用户只需要接受CP,即可安装恶意软件,而发件人无需证明其身份。
相关新闻三星Galaxy A51将于明天在印度发布:所有您需要知道的是什么是网络保险,以及为什么需要一小时的OnePlus列出了当前和未来设备中相机功能的改进华为,LG和索尼电话确实具有身份验证的形式,但是黑客只需要收件人的国际移动用户身份(IMSI)即可“确认”其身份。攻击者可以通过多种方式获得受害者的IMSI,包括创建一个恶意Android应用程序,该应用程序会在安装手机后读取其中的IMSI。攻击者还可以通过向用户发送冒充网络运营商的文本消息并要求他们接受受密码保护的OMA CP消息来绕过对IMSI的需求。如果用户随后输入提供的PIN码并接受OMA CP消息,则可以在没有IMSI的情况下安装CP。
Check Point Software Technologies安全研究员Slava Makkaveev说:“鉴于Android设备的普及,这是一个必须解决的关键漏洞。”“如果没有更强大的身份验证形式,恶意代理很容易通过空中资源调配发起网络钓鱼攻击。当用户收到OMA CP消息时,他们将无法识别它是否来自受信任的来源。通过点击“接受”,他们很可能会让攻击者进入手机。
