Android手機存安全性漏洞遭揭露!資安業 - 手機討論
By Tom
at 2019-09-14T14:06
at 2019-09-14T14:06
Table of Contents
Android手機存安全性漏洞遭揭露!資安業者公布新型惡意攻擊手法
文/記者劉惠琴
資安業者 Check Point 近日發佈一份最新研究報告稱,三星、華為、LG、Sony及其他Andro
id作業系統的手機存在安全性漏洞,導致使用者容易受到進階網路釣魚攻擊。
受影響的Android手機採用無線更新技術(over-the-air provisioning,OTA provisioning
),透過此配置,電信業者能將網路特定設置部署到新連接至網路的手機。經 Check Point
Research 分析發現,OTA產業標準-開放行動聯盟用戶端配置(Open Mobile Alliance Cl
ient Provisioning,OMA CP)採用有限的身份驗證方法,遠端代理能利用這一點偽裝成電
信業者,並向使用者發送假OMA CP訊息,以此誘騙使用者裝置接受惡意軟體的下載安裝,如
透過駭客手中的代理伺服器傳輸網路流量。
研究人員指出,某些三星手機沒有對OMA CP訊息寄件者進行真實性檢查,因此最容易受到此
形式的網路釣魚攻擊。意味著,手機使用者一旦在不知情的狀況下,接受由駭客偽裝假冒代
理的電信業者發送的 OMA CP 身份驗證方式,惡意軟體即可安裝於用戶手機內,且無需寄件
者證明其身份。
華為、LG和Sony手機雖然設有一種身份驗證方式,但駭客只需收件人的IMSI(Internationa
l Mobile Subscriber Identity,國際移動用戶辨識碼)便可「確認」其身份。攻擊者能夠
透過各種方式獲取受害者的識別碼,包括建立一個惡意Android應用程式,在安裝後讀取手
機的識別碼。
此外,攻擊者還可以偽裝成電信業者向使用者傳送簡訊,要求他們接受PIN碼保護的OMA CP
,繞過對IMSI的要求;如果使用者隨之輸入提供的PIN碼並接受此訊息,則無需識別碼即可
安裝OMA CP。
Check Point研究人員Slava Makkaveev表示:「考量到Android裝置的普遍性,這是一個必
須解決的嚴重漏洞。如果沒有更安全的身份驗證方式,惡意代理就能輕鬆透過無線裝置發起
網路釣魚攻擊。當收到OMA CP訊息時,使用者無法分辨其是否來自可信任來源。在點擊『接
受』後,手機很可能遭到攻擊者駭入。」
Check Point 進一步指出,今年3月已向受此安全性漏洞影響的相關手機廠商公佈研究結果
。三星已於5月份向用戶推送的安全維護版本(SVE-2019-14073)中,提供了針對此網路釣
魚攻擊的修復程式。LG 已於7月發佈了修復程式(LVE-SMP-190006),華為計畫把OMA CP的
UI修復程式納入新一代Mate系列或P系列智慧型手機中。Sony 拒絕承認該漏洞存在,表示其
裝置遵循OMA CP規範。
https://3c.ltn.com.tw/m/news/37990
心得:
這表示安卓手機在接受ota同時可能收到假的意思嗎?
那一般使用者有辦法去避免嗎?
不然感覺有點可怕耶.....
身為三星使用者澀澀發抖>A<
--
煮火鍋啦^Q^
https://i.imgur.com/SVReyo1.jpg
--
Sent from my SM-G975F
○ PiTT // PHJCI
--
文/記者劉惠琴
資安業者 Check Point 近日發佈一份最新研究報告稱,三星、華為、LG、Sony及其他Andro
id作業系統的手機存在安全性漏洞,導致使用者容易受到進階網路釣魚攻擊。
受影響的Android手機採用無線更新技術(over-the-air provisioning,OTA provisioning
),透過此配置,電信業者能將網路特定設置部署到新連接至網路的手機。經 Check Point
Research 分析發現,OTA產業標準-開放行動聯盟用戶端配置(Open Mobile Alliance Cl
ient Provisioning,OMA CP)採用有限的身份驗證方法,遠端代理能利用這一點偽裝成電
信業者,並向使用者發送假OMA CP訊息,以此誘騙使用者裝置接受惡意軟體的下載安裝,如
透過駭客手中的代理伺服器傳輸網路流量。
研究人員指出,某些三星手機沒有對OMA CP訊息寄件者進行真實性檢查,因此最容易受到此
形式的網路釣魚攻擊。意味著,手機使用者一旦在不知情的狀況下,接受由駭客偽裝假冒代
理的電信業者發送的 OMA CP 身份驗證方式,惡意軟體即可安裝於用戶手機內,且無需寄件
者證明其身份。
華為、LG和Sony手機雖然設有一種身份驗證方式,但駭客只需收件人的IMSI(Internationa
l Mobile Subscriber Identity,國際移動用戶辨識碼)便可「確認」其身份。攻擊者能夠
透過各種方式獲取受害者的識別碼,包括建立一個惡意Android應用程式,在安裝後讀取手
機的識別碼。
此外,攻擊者還可以偽裝成電信業者向使用者傳送簡訊,要求他們接受PIN碼保護的OMA CP
,繞過對IMSI的要求;如果使用者隨之輸入提供的PIN碼並接受此訊息,則無需識別碼即可
安裝OMA CP。
Check Point研究人員Slava Makkaveev表示:「考量到Android裝置的普遍性,這是一個必
須解決的嚴重漏洞。如果沒有更安全的身份驗證方式,惡意代理就能輕鬆透過無線裝置發起
網路釣魚攻擊。當收到OMA CP訊息時,使用者無法分辨其是否來自可信任來源。在點擊『接
受』後,手機很可能遭到攻擊者駭入。」
Check Point 進一步指出,今年3月已向受此安全性漏洞影響的相關手機廠商公佈研究結果
。三星已於5月份向用戶推送的安全維護版本(SVE-2019-14073)中,提供了針對此網路釣
魚攻擊的修復程式。LG 已於7月發佈了修復程式(LVE-SMP-190006),華為計畫把OMA CP的
UI修復程式納入新一代Mate系列或P系列智慧型手機中。Sony 拒絕承認該漏洞存在,表示其
裝置遵循OMA CP規範。
https://3c.ltn.com.tw/m/news/37990
心得:
這表示安卓手機在接受ota同時可能收到假的意思嗎?
那一般使用者有辦法去避免嗎?
不然感覺有點可怕耶.....
身為三星使用者澀澀發抖>A<
--
煮火鍋啦^Q^
https://i.imgur.com/SVReyo1.jpg
Sent from my SM-G975F
○ PiTT // PHJCI
--
Tags:
手機
All Comments
By Emma
at 2019-09-17T03:46
at 2019-09-17T03:46
By Joseph
at 2019-09-19T17:26
at 2019-09-19T17:26
By Olivia
at 2019-09-22T07:06
at 2019-09-22T07:06
By Franklin
at 2019-09-24T20:46
at 2019-09-24T20:46
By Joseph
at 2019-09-27T10:26
at 2019-09-27T10:26
By Skylar DavisLinda
at 2019-09-30T00:06
at 2019-09-30T00:06
By Hedy
at 2019-10-02T13:47
at 2019-10-02T13:47
By Dorothy
at 2019-10-05T03:27
at 2019-10-05T03:27
By Edward Lewis
at 2019-10-07T17:07
at 2019-10-07T17:07
By Elizabeth
at 2019-10-10T06:47
at 2019-10-10T06:47
By Andrew
at 2019-10-12T20:27
at 2019-10-12T20:27
By Susan
at 2019-10-15T10:07
at 2019-10-15T10:07
By Emily
at 2019-10-17T23:47
at 2019-10-17T23:47
By Leila
at 2019-10-20T13:27
at 2019-10-20T13:27
Related Posts
15k上下手機
By Carolina Franco
at 2019-09-14T13:42
at 2019-09-14T13:42
紅米note7 BL解鎖問題
By Elvira
at 2019-09-14T13:32
at 2019-09-14T13:32
門市人員的話術?
By Tom
at 2019-09-14T12:56
at 2019-09-14T12:56
京東買一加7
By Linda
at 2019-09-14T12:31
at 2019-09-14T12:31
玻璃貼電鍍後的效果可以持續多久
By Elvira
at 2019-09-14T12:23
at 2019-09-14T12:23