Check Point Research揭露Android手机安全性漏洞
Check Point Software Technologies Ltd.的威胁情报部门Check Point Research表示,三星、华为、LG、Sony及其他Android操作系统的手机存在安全性漏洞,导致使用者容易受到进阶网络钓鱼攻击。
受影响的Android手机采用无线更新技术,透过此配置,运营商能将网络特定设置部署到新连接至网络的手机。但Check Point Research发现,OTA产业标准-开放移动联盟用户端配置采用有限的身份验证方法,线上代理能利用这一点伪装成运营商,并向使用者发送假OMA CP信息,以此诱骗使用者接受恶意设置,如透过黑客手中的代理服务器传输网络流量。
研究人员指出,某些三星手机没有对OMA CP信息寄件者进行真实性检查,因此最容易受到此形式的网络钓鱼攻击—只需要使用者接受OMA CP,恶意软件即可安装,且无需寄件者证明其身份。
华为、LG及Sony手机虽然设有一种身份验证方式,但黑客只需收件人的IMSI(International Mobile Subscriber Identity,国际移动用户识别码)便可「确认」其身份。攻击者能够透过各种方式获取受害者的识别码,包括建立一个恶意Android应用程序,在安装后读取手机的识别码。此外,攻击者还可以伪装成运营商向使用者传送简讯,要求他们接受PIN码保护的OMA CP,绕过对IMSI的要求;如果使用者随之输入提供的PIN码并接受此信息,则无需识别码即可安装OMA CP。
Check Point研究人员Slava Makkaveev表示,考量到Android装置的普遍性,这是一个必须解决的严重漏洞。如果没有更安全的身份验证方式,恶意代理就能轻松透过无线装置发起网络钓鱼攻击。当收到OMA CP信息时,使用者无法分辨其是否来自可信任来源。在点击接受后,手机很可能遭到攻击者骇入。
Check Point移动威胁防御解决方案能够防止中间人和网络钓鱼攻击,进而保护装置免遭此类恶意OMA CP信息的危害。