Android短信网络钓鱼可以隐秘启用恶意设置

 
来自多家供应商的Android智能手机，包括三星，华为，LG和索尼，都容易受到高级类型的攻击，可以通过短信息改变设备设置。
糟糕的演员可以利用弱点来发送看似来自移动运营商的通知，并诱骗用户接受看起来像网络特定的配置。这可以指示设备通过恶意代理路由流量。
移动运营商可以通过开放移动联盟客户端供应(OMA CP)协议向客户终端传递消息。它使用无线(OTA)通信，并且需要收件人的最小交互。
规格问题:Check Point的研究人员发现，移动运营商(OTA)配置流程缺乏强大的身份验证机制，可以验证来自网络运营商而非未授权方的消息。
例如，在第二代蜂窝技术(2G)中，终端和网络之间没有相互认证;只有手机需要这样做，而运营商不需要对终端进行身份验证。
但是，这种威胁并不取决于蜂窝网络的类型。研究这个问题的研究人员之一Slava Makkaveev告诉BleepingComputer，这是OMA CP协议中的规范问题，它允许在不进行身份验证的情况下发送配置消息。
如果存在认证机制，则它基于国际移动订户身份(IMSI)号码，该号码对于蜂窝网络的每个用户是唯一的。
受欢迎的手机品牌:研究人员发现，三星，华为，LG和索尼的手机占据了Android手机市场50%以上的份额，可以通过弱认证的配置信息接收恶意设置。研究人员在今天发布的一份报告中表示，“三星手机通过允许未经身份验证的OMA CP消息来复合这一点。”
要进行攻击，威胁行为者需要GSM调制解调器(价格约10美元)或以调制解调器模式运行的电话发送二进制消息，以及编写OMA CP的简单脚本。
OTA配置消息可用于更改手机上的以下设置：
•MMS消息服务器
•MMS消息服务器
•代理地址
•浏览器主页和书签
•邮件服务器
•用于同步联系人和日历的目录服务器
针对三星手机的攻击者无需进行身份验证即可发送恶意邮件。如果用户接受CP，则将修改电话设置。
对于其他手机，攻击者需要潜在受害者的国际移动用户身份(IMSI)号码来部署与三星手机用户相同的攻击。存在用于获得IMSI号的Sevearal方法。
研究人员表示，OMA CP消息具有可选的安全标头，用于验证配置消息。这需要使用IMSI号进行身份验证。
但是，此检查不会以任何方式帮助用户，因为他们不会看到任何可识别发件人的详细信息。
或者，如果无法获得IMSI号，攻击者可以采用另一种方式部署攻击，但它涉及向受害者发送两条消息。
“第一个是一条短信，声称来自受害者的网络运营商，要求他接受受PIN保护的OMA CP，并将PIN指定为任意四位数字。接下来，攻击者向他发送OMA CP消息使用相同的PIN进行身份验证。只要受害者接受CP并输入正确的PIN，就可以安装此类CP而不管IMSI。
并非所有供应商都发布了补丁
3月份Check Point通知受此漏洞攻击影响的供应商。三星和LG已经推出了适当的解决方案。
华为设备继续受此攻击影响，因为该公司计划修补下一代Mate或P系列智能手机的弱点。
索尼没有承认这一缺陷，因为他们的产品遵循OMA CP规范。