检查点警告Android网络钓鱼攻击

安全研究人员警告说，在大多数领先的基于Android的手机的方式涉及大多数领先的基于Android的手机的漏洞都会让用户处于高级网络钓鱼攻击的风险。

缺陷可能会使Android手机的估计有25亿美元的活跃用户公开到网络钓鱼攻击，虽然一些顶级供应商最近发布了修复，但并非所有Android用户都涵盖了这么多仍然有风险。

受影响的Android手机使用空中（OTA）配置，允许移动网络运营商将特定于网络的网络的设置部署到加入其网络的新手机。但是，检查点研究人员发现，OTA供应的行业标准，开放式移动联盟客户端配置（OMA CP）包括有限的认证方法。

这可以利用自定义 - 工程师短信短信，使攻击者能够摆在网络运营商并向用户发送欺骗OMA CP消息。

该消息显示为更新，旨在欺骗用户接受可操作设置，例如，可以通过黑客拥有的代理服务器路由所有Internet流量。

只需要单个SMS消息来获得对设备的电子邮件的完全访问权限，用户无法验证流氓SMS和建议的更新源自他们的网络载体或来自攻击者。

研究人员还发现，连接到蜂窝网络的任何人都可以通过这些攻击来定位，不仅是连接到Wi-Fi网络的用户。

他们发现某些三星手机最容易受到这种形式的网络钓鱼攻击，因为它们没有对OMA CP消息的发件人的真实性检查。用户只需要接受要安装的恶意软件的CP请求，而无需向发送者证明其身份。

“鉴于Android设备的普及，这是一个必须解决的重要漏洞，”检查点软件技术的安全研究员Slava Makaveev说。

“如果没有更强大的身份验证，那么恶意药剂很容易通过空中供应来启动网络钓鱼攻击。当用户收到OMA CP消息时，它们无法辨别是否来自可信源。通过点击“接受”，他们很好地让攻击者进入他们的手机，“他说。

华为，LG和Sony手机确实有一种身份验证检查，但攻击者只需要收件人的国际移动用户身份（IMSI）“确认”他们的身份。

研究人员表示，攻击者可以以各种方式获得受害者的IMSI，包括创建一个Rogue Android应用程序，一旦安装了一个电话的IMSI。攻击者还可以通过向用户发送攻起作为网络运营商的文本消息并要求它们接受PIN受保护的OMA CP消息来绕过IMSI的需求。如果用户输入其PIN（个人识别号码）并接受OMA CP消息，则可以在没有IMSI的情况下安装CP。

然而，研究人员于2019年3月向受影响的Android电话供应商披露了他们的调查结果，并回应了几个Android手机供应商。

Samsung在其MAS安全维护版本（SVE-2019-14073）中包含了修复，LG于7月发布了修复（LVE-SMP-190006），华为计划在下一代Mate系列中包括OMA CP的修复程序P系列智能手机。索尼表示其设备遵循OMA CP规范。