Check Point 揭露安全性漏洞 众 Android 手机易遭钓鱼攻击

Halo，这里是加速器小编的报道~

Check Point Software Technologies Ltd. 的威胁情报部门 Check Point Research 表示，三星、华为、LG、Sony 及其他 Android 作业系统的手机存在安全性漏洞，导致使用者容易受到进阶网路钓鱼攻击。  受影响的 Android 手机采用无线更新技术（over-the-air provisioning，OTA provisioning），透过此配置，电信业者能将网路特定设置部署到新连接至网路的手机。但 Check Point Research 发现，OTA 产业标准－开放行动联盟用户端配置（Open Mobile Alliance Client Provisioning，OMA CP）采用有限的身份验证方法，远端代理能利用这一点伪装成电信业者，并向使用者发送假 OMA CP 讯息，以此诱骗使用者接受恶意设置，如透过骇客手中的代理伺服器传输网路流量。 研究人员指出，某些三星手机没有对 OMA CP 讯息寄件者进行真实性检查，因此最容易受到此形式的网路钓鱼攻击 — 只需要使用者接受 OMA CP，恶意软体即可安装，且无需寄件者证明其身份。  华为、LG 和 Sony 手机虽然设有一种身份验证方式，但骇客只需收件人的 IMSI（International Mobile Subscriber Identity，国际移动用户辨识码）便可「确认」其身份。攻击者能够透过各种方式获取受害者的识别码，包括建立一个恶意 Android 应用程式，在安装后读取手机的识别码。此外，攻击者还可以伪装成电信业者向使用者传送简讯，要求他们接受 PIN 码保护的 OMA CP，绕过对 IMSI 的要求；如果使用者随之输入提供的 PIN 码并接受此讯息，则无需识别码即可安装 OMA CP。 Check Point 研究人员 Slava Makkaveev 表示：「考量到 Android 装置的普遍性，这是一个必须解决的严重漏洞。如果没有更安全的身份验证方式，恶意代理就能轻松透过无线装置发起网路钓鱼攻击。当收到 OMA CP 讯息时，使用者无法分辨其是否来自可信任来源。在点击『接受』后，手机很可能遭到攻击者骇入。」 Check Point 在 3 月向受影响的厂商公布研究结果。三星在其 5 月安全维护版本（SVE-2019-14073）中提供了针对此网路钓鱼攻击的修复程式，LG 于 7 月发布了修复程式（LVE-SMP-190006），华为计划把 OMA CP 的 UI 修复程式纳入新一代 Mate 系列或 P 系列智慧型手机中。Sony 拒绝承认该漏洞存在，表示其装置遵循 OMA CP 规范。  

biubiu免费加速器将不断推出海外手游相关的新情报与精彩的游戏攻略，还请小伙伴们随时留意biubiu游戏加速器官网讯息与报导。