示意圖,Photo by Gilles Lambert on Unsplash (https://unsplash.com/photos/pb_lF8VWaPU)

安全公司Check Point研究人員發現Android手機用戶遭遇一種進階網釣攻擊手法,讓攻擊者可誘使用戶變更其手機設定,進而劫持手機流量,包括三星、LG、華為及Sony手機都可能受害。

這波攻擊是利用電信商將網路設定大規模部署到其用戶手機上的無線更新(Over The Air provisioning,OTA provisioning)技術。研究人員指出,OTA provisioning的產業標準OMA CP(Open Mobile Alliance Client Provisioning)只有很基本的驗證方法,使接到更新簡訊的手機無法驗證,傳來的設定是來自電信商或是外部攻擊者。

Checkpoint研究人員發現主要Android手機業者包括三星、LG、華為和Sony的手機,都可能接受安全性有疑慮的設定,使手機流量被導向攻擊者控制的伺服器。其中三星手機因為允許未驗證的OMA CP訊息,進一步提高用戶風險。

研究人員指出,攻擊者只要準備一台GSM數據機,可以是10美元的USB裝置或包含GSM數據機的手機,就可傳送二進位SMS訊息,而利用簡單的腳本程式或市售軟體即可撰寫OMA CP。駭客可以針對特定對象發送客製化訊息,也可以大量傳送網釣連結。

利用OMA CP訊息可無線變更手機設定,像是多媒體訊息的訊息伺服器、Proxy伺服器位址、瀏覽器網頁及書籤、郵件伺服器位置或是同步通訊錄、行事曆的目錄伺服器IP等。

研究人員測試主要Android手機包括Huawei P10、 LG G6、Sony Xperia XZ Premium和Samsung Galaxy S9,並傳送包含變更Proxy伺服器設定的OMA CP訊息。其中三星手機完全沒有驗證OMA CP,只要手機接收,就能達到變更目的。針對華為、LG或Sony手機,如果只要經由植入惡意程式或到市面購買查詢工具,即可取得用戶IMSI(International Mobile Subscriber Identity,國際移動用戶辨識碼),就能發動網釣攻擊。再不然就冒充電信業者,要受害者接收OMA CP訊息來達成變更設定目的。

在經廠商通報後,三星已在5月發佈安全公告SVE-2019-14073,LG於7月發出LVE-SMP-190006公告修補,華為預計在最新一代Mate或P系列手機加入更新的UI。Sony則尚未見修補。OMA標準組織以Open-7587編號追蹤本漏洞。 


Advertisement

更多 iThome相關內容