[新聞] Android手機存安全性漏洞遭揭露！資安業者公布新型惡意攻擊手法

看板MobileComm (行動通訊)作者peterlin495 (專業果粉O'_'O)時間6年前 (2019/09/14 14:06)推噓5(6推 1噓 11→)

留言18則, 13人參與討論串1/1

Android手機存安全性漏洞遭揭露！資安業者公布新型惡意攻擊手法文／記者劉惠琴資安業者 Check Point 近日發佈一份最新研究報告稱，三星、華為、LG、Sony及其他Andro id作業系統的手機存在安全性漏洞，導致使用者容易受到進階網路釣魚攻擊。受影響的Android手機採用無線更新技術（over-the-air provisioning，OTA provisioning ），透過此配置，電信業者能將網路特定設置部署到新連接至網路的手機。經 Check Point Research 分析發現，OTA產業標準－開放行動聯盟用戶端配置（Open Mobile Alliance Cl ient Provisioning，OMA CP）採用有限的身份驗證方法，遠端代理能利用這一點偽裝成電信業者，並向使用者發送假OMA CP訊息，以此誘騙使用者裝置接受惡意軟體的下載安裝，如透過駭客手中的代理伺服器傳輸網路流量。研究人員指出，某些三星手機沒有對OMA CP訊息寄件者進行真實性檢查，因此最容易受到此形式的網路釣魚攻擊。意味著，手機使用者一旦在不知情的狀況下，接受由駭客偽裝假冒代理的電信業者發送的 OMA CP 身份驗證方式，惡意軟體即可安裝於用戶手機內，且無需寄件者證明其身份。華為、LG和Sony手機雖然設有一種身份驗證方式，但駭客只需收件人的IMSI（Internationa l Mobile Subscriber Identity，國際移動用戶辨識碼）便可「確認」其身份。攻擊者能夠透過各種方式獲取受害者的識別碼，包括建立一個惡意Android應用程式，在安裝後讀取手機的識別碼。此外，攻擊者還可以偽裝成電信業者向使用者傳送簡訊，要求他們接受PIN碼保護的OMA CP ，繞過對IMSI的要求；如果使用者隨之輸入提供的PIN碼並接受此訊息，則無需識別碼即可安裝OMA CP。 Check Point研究人員Slava Makkaveev表示：「考量到Android裝置的普遍性，這是一個必須解決的嚴重漏洞。如果沒有更安全的身份驗證方式，惡意代理就能輕鬆透過無線裝置發起網路釣魚攻擊。當收到OMA CP訊息時，使用者無法分辨其是否來自可信任來源。在點擊『接受』後，手機很可能遭到攻擊者駭入。」 Check Point 進一步指出，今年3月已向受此安全性漏洞影響的相關手機廠商公佈研究結果。三星已於5月份向用戶推送的安全維護版本（SVE-2019-14073）中，提供了針對此網路釣魚攻擊的修復程式。LG 已於7月發佈了修復程式（LVE-SMP-190006），華為計畫把OMA CP的 UI修復程式納入新一代Mate系列或P系列智慧型手機中。Sony 拒絕承認該漏洞存在，表示其裝置遵循OMA CP規範。 https://3c.ltn.com.tw/m/news/37990 心得: 這表示安卓手機在接受ota同時可能收到假的意思嗎？那一般使用者有辦法去避免嗎？不然感覺有點可怕耶..... 身為三星使用者澀澀發抖>A< -- 煮火鍋啦^Q^ https://i.imgur.com/SVReyo1.jpg

-- Sent from my SM-G975F ○ PiTT // PHJCI -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.27.136 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1568441178.A.B2B.html ※ 編輯: peterlin495 (42.73.27.136 臺灣), 09/14/2019 14:11:02

→

f396761440

09/14 14:22, 6年前 , 1^F

09/14 14:22, 1^F

推

antiyahoo

09/14 14:22, 6年前 , 2^F

09/14 14:22, 2^F

推

losel

09/14 14:28, 6年前 , 3^F

09/14 14:28, 3^F