中文繁體版   English   星期六 ,12月 14日, 2019 (台北)
登入  申请试用  MY DIGITIMES236
 
taitra
活动+

Check Point Research揭露Android手机安全性漏洞

  • 吴冠仪/台北

Check Point Software Technologies Ltd.的威胁情报部门Check Point Research表示,三星、华为、LG、Sony及其它Android操作系统的手机存在安全性漏洞,导致使用者容易受到进阶网络钓鱼攻击。

受影响的Android手机采用无线更新技术,透过此配置,电信业者能将网络特定设置部署到新连接至网络的手机。但Check Point Research发现,OTA产业标准-开放行动联盟用户端配置采用有限的身分验证方法,远程代理能利用这一点伪装成电信业者,并向使用者发送假OMA CP讯息,以此诱骗使用者接受恶意设置,如透过黑客手中的代理服务器传输网络流量。

研究人员指出,某些三星手机没有对OMA CP讯息寄件者进行真实性检查,因此最容易受到此形式的网络钓鱼攻击—只需要使用者接受OMA CP,恶意软件即可安装,且无需寄件者证明其身分。

华为、LG及Sony手机虽然设有一种身分验证方式,但黑客只需收件人的IMSI(International Mobile Subscriber Identity,国际移动用户辨识码)便可「确认」其身分。攻击者能够透过各种方式获取受害者的识别码,包括建立一个恶意Android应用程序,在安装后读取手机的识别码。此外,攻击者还可以伪装成电信业者向使用者传送简讯,要求他们接受PIN码保护的OMA CP,绕过对IMSI的要求;如果使用者随之输入提供的PIN码并接受此讯息,则无需识别码即可安装OMA CP。

Check Point研究人员Slava Makkaveev表示,考量到Android装置的普遍性,这是一个必须解决的严重漏洞。如果没有更安全的身分验证方式,恶意代理就能轻松透过无线装置发起网络钓鱼攻击。当收到OMA CP讯息时,使用者无法分辨其是否来自可信任来源。在点击接受后,手机很可能遭到攻击者骇入。

Check Point行动威胁防御解决方案能够防止中间人和网络钓鱼攻击,进而保护装置免遭此类恶意OMA CP讯息的危害。