Check Point Research揭露Android手機安全性漏洞

2019 年 09 月 17 日

全球網路安全解決方案廠商Check Point的威脅情報部門Check Point Research表示,三星、華為、LG、Sony及其他Android作業系統的手機存在安全性漏洞,導致使用者容易受到進階網路釣魚攻擊。

受影響的Android手機採用無線更新技術(Over-the-air Provisioning, OTA Provisioning),透過此配置,電信業者能將網路特定設置部署到新連接至網路的手機。但Check Point Research發現,OTA產業標準-開放行動聯盟用戶端配置(Open Mobile Alliance Client Provisioning, OMA CP)採用有限的身份驗證方法,遠端代理能利用這一點偽裝成電信業者,並向使用者發送假OMA CP訊息,以此誘騙使用者接受惡意設置,如透過駭客手中的代理伺服器傳輸網路流量。

研究人員指出,某些三星手機沒有對OMA CP訊息寄件者進行真實性檢查,因此最容易受到此形式的網路釣魚攻擊—只需要使用者接受OMA CP,惡意軟體即可安裝,且無需寄件者證明其身份。

華為、LG和Sony手機雖然設有一種身份驗證方式,但駭客只需收件人的IMSI(International Mobile Subscriber Identity,國際移動用戶辨識碼)便可「確認」其身份。攻擊者能夠透過各種方式獲取受害者的識別碼,包括建立一個惡意Android應用程式,在安裝後讀取手機的識別碼。此外,攻擊者還可以偽裝成電信業者向使用者傳送簡訊,要求他們接受PIN碼保護的OMA CP,繞過對IMSI的要求;如果使用者隨之輸入提供的PIN碼並接受此訊息,則無需識別碼即可安裝OMA CP。

Check Point研究人員Slava Makkaveev表示,考量到Android裝置的普遍性,這是一個必須解決的嚴重漏洞。如果沒有更安全的身份驗證方式,惡意代理就能輕鬆透過無線裝置發起網路釣魚攻擊。當收到OMA CP訊息時,使用者無法分辨其是否來自可信任來源。在點擊『接受』後,手機很可能遭到攻擊者駭入。

Check Point在3月向受影響的廠商公佈研究結果。三星在其5月安全維護版本(SVE-2019-14073)中提供了針對此網路釣魚攻擊的修復程式,LG於7月發佈了修復程式(LVE-SMP-190006),華為計畫把OMA CP的UI修復程式納入新一代Mate系列或P系列智慧型手機中。Sony拒絕承認該漏洞存在,表示其裝置遵循OMA CP規範。

標籤
相關文章

羅德史瓦茲TopSec Mobile具語音加密功能

2012 年 03 月 13 日

MIPS將於CCBN展出聯網和行動解決方案

2012 年 03 月 21 日

QuickLogic平行相機介面支援Android

2013 年 05 月 24 日

凌華工業行動運算產品適用零售/物流業

2014 年 04 月 21 日

凌華平板電腦搭載德州儀器雙核心處理器

2014 年 11 月 25 日

安立知解決方案支援CTIA/WFA測試計畫

2019 年 12 月 02 日
前一篇
節能省時又安全 V2X/IoT落實智慧交通應用
下一篇
聯發科提供NASA黑客松參賽選手最新AI培訓課程
最新文章

愛德萬測試推出ACS Gemini開發者平台

2024 年 12 月 13 日

芝程推出生成式AI機器人結合體徵感測功能

2024 年 12 月 13 日

BV助大同獲台電60MW冬山儲能專案認證

2024 年 12 月 13 日

ROHM/台積公司建立戰略合作夥伴關係

2024 年 12 月 13 日

晶睿通訊2024全球安防排名14位

2024 年 12 月 13 日