Check Point Research 一項調查指,部分 Android 手機在 OTA provisioning 的過程中未能有效驗證身份,不法份子可偽裝成網絡營運商發送釣魚短訊,涉及三星、華為、LG、SONY 等品牌。
Check Point 指,OTA provisioning 會被網絡營運商使用,為新加入網絡的手機發放網絡設定。然而,由於 OTA provisioning 的行業標準制訂機構「開放行動聯盟用戶端配置(Open Mobile Alliance Client Provisioning,OMA CP)」採用了有限的身份驗證方法,不法之徒夠利用這一點偽裝成網絡營運商,並向使用者發送詐騙性 OMA CP 消息,利誘使用者接受惡意設置,如通過駭客擁有的代理伺服器傳輸其互聯網流量。
研究人員證實,由於某些三星手機沒有對 OMA CP 消息寄件者進行真實性檢查,因此最容易受到這種形式的網絡釣魚攻擊。只需使用者接受 CP (用戶端配置),惡意軟件即可安裝,無需寄件者證明其身份。
華為、LG 和 SONY 手機確實設有一種身份驗證方式,但駭客只需收件者的國際流動使用者識別碼 (IMSI) 便可「確認」其身份。攻擊者能夠通過各種方式獲取受害者的 IMSI,包括創建一個惡意 Android 應用程式,以在其安裝後讀取手機 IMSI。 此外,攻擊者還可以偽裝成網絡營運商向使用者傳送簡訊,並要求他們接受 PIN 保護的 OMA CP 消息,從而繞過對 IMSI 的需求。 如果使用者隨後輸入提供的 PIN 碼並接受 OMA CP 消息,則無需 IMSI 即可安裝用戶端配置。
廠商已推出修補程式
Check Point 軟體技術公司安全研究員 Slava Makkaveev 表示:「鑒於 Android 設備日益普及,這是一個必須解決的嚴重漏洞問題。如果沒有更強大的身份驗證方式,惡意代理將很容易通過無線配置發起網絡釣魚攻擊。當收到 OMA CP 消息時,使用者無法分辨它是否來自可靠來源。在點擊 『接受』後,他們的手機將很可能遭到攻擊者的入侵。 」
3 月,研究人員向受影響的廠商披露了研究結果。 三星在其 5 月安全維護版本 (SVE-2019-14073) 中提供了針對此網絡釣魚攻擊的修復程式,LG於7月發佈了他們的修復程式 (LVE-SMP-190006),華為計劃將針對 OMA CP 的 UI 修復程式納入新一代 Mate 系列或 P 系列智慧手機中。 SONY 拒絕承認該漏洞的存在,稱其設備遵循 OMA CP 規範。
(新聞稿)
Check Point Reseach – Advanced SMS Phishing Attacks Against Modern Android-based Smartphones