安全公司CheckPoint研究人员发现Android手机用户遭遇一种高端网络钓鱼攻击手法,让攻击者可诱使用户变更其手机设置,进而劫持手机流量,包括三星、LG、华为及Sony手机都可能受害。
这波攻击是利用电信商将网络设置大规模部署到其用户手机上的无线更新(over the air provisioning,OTA provisioning)技术。研究人员指出,OTA provisioning的产业标准OMA CP(Open Mobile Alliance Client Provisioning)只有很基本的验证方法,使接到更新短信的手机无法验证,传来的设置是来自电信商或是外部攻击者。
Checkpoint研究人员发现主要Android手机企业包括三星、LG、华为和Sony的手机,都可能接受安全性有疑虑的设置,使手机流量被导向攻击者控制的服务器。其中三星手机因为允许未验证的OMA CP消息,进一步提高用户风险。
研究人员指出,攻击者只要准备一台GSM调制解调器,可以是10美元的USB设备或包含GSM调制解调器的手机,就可发送二进制SMS消息,而利用简单的脚本程序或市售软件即可撰写OMA CP。黑客可以针对特定对象发送定制化消息,也可以大量发送网络钓鱼连接。
利用OMA CP消息可无线变更手机设置,像是多媒体消息的消息服务器、Proxy服务器地址、浏览器网页及书签、邮件服务器位置或是同步通讯录、行程表的目录服务器IP等。
研究人员测试主要Android手机包括Huawei P10、LG G6、Sony Xperia XZ Premium和Samsung Galaxy S9,并发送包含变更Proxy服务器设置的OMA CP消息。其中三星手机完全没有验证OMA CP,只要手机接收,就能达到变更目的。针对华为、LG或Sony手机,如果只要经由植入恶意程序或到市面购买查询工具,即可取得用户IMSI(International Mobile Subscriber Identity,国际移动用户识别码),就能发动网络钓鱼攻击。再不然就冒充电信企业,要受害者接收OMA CP消息来完成变更设置目的。
在经厂商通报后,三星已在5月发布安全公告SVE-2019-14073,LG于7月发出LVE-SMP-190006公告修补,华为预计在最新一代Mate或P系列手机加入更新的UI。Sony则尚未见修补。OMA标准组织以Open-7587编号关注本漏洞。