Check Point Research揭露Android手机安全性漏洞

Check Point Software Technologies Ltd.的威胁情报部门Check Point Research表示，三星、华为、LG、Sony及其他Android操作系统的手机存在安全性漏洞，导致使用者容易受到进阶网络钓鱼攻击。

受影响的Android手机采用无线更新技术，透过此配置，运营商能将网络特定设置部署到新连接至网络的手机。但Check Point Research发现，OTA产业标准－开放移动联盟用户端配置采用有限的身份验证方法，线上代理能利用这一点伪装成运营商，并向使用者发送假OMA CP信息，以此诱骗使用者接受恶意设置，如透过黑客手中的代理服务器传输网络流量。

研究人员指出，某些三星手机没有对OMA CP信息寄件者进行真实性检查，因此最容易受到此形式的网络钓鱼攻击—只需要使用者接受OMA CP，恶意软件即可安装，且无需寄件者证明其身份。

华为、LG及Sony手机虽然设有一种身份验证方式，但黑客只需收件人的IMSI(International Mobile Subscriber Identity，国际移动用户识别码)便可「确认」其身份。攻击者能够透过各种方式获取受害者的识别码，包括建立一个恶意Android应用程序，在安装后读取手机的识别码。此外，攻击者还可以伪装成运营商向使用者传送简讯，要求他们接受PIN码保护的OMA CP，绕过对IMSI的要求；如果使用者随之输入提供的PIN码并接受此信息，则无需识别码即可安装OMA CP。

Check Point研究人员Slava Makkaveev表示，考量到Android装置的普遍性，这是一个必须解决的严重漏洞。如果没有更安全的身份验证方式，恶意代理就能轻松透过无线装置发起网络钓鱼攻击。当收到OMA CP信息时，使用者无法分辨其是否来自可信任来源。在点击接受后，手机很可能遭到攻击者骇入。

Check Point移动威胁防御解决方案能够防止中间人和网络钓鱼攻击，进而保护装置免遭此类恶意OMA CP信息的危害。