Check Point Research揭露Android手機安全性漏洞

Check Point Software Technologies Ltd.的威脅情報部門Check Point Research表示，三星、華為、LG、Sony及其他Android作業系統的手機存在安全性漏洞，導致使用者容易受到進階網路釣魚攻擊。

受影響的Android手機採用無線更新技術，透過此配置，電信業者能將網路特定設置部署到新連接至網路的手機。但Check Point Research發現，OTA產業標準－開放行動聯盟用戶端配置採用有限的身分驗證方法，遠端代理能利用這一點偽裝成電信業者，並向使用者發送假OMA CP訊息，以此誘騙使用者接受惡意設置，如透過駭客手中的代理伺服器傳輸網路流量。

研究人員指出，某些三星手機沒有對OMA CP訊息寄件者進行真實性檢查，因此最容易受到此形式的網路釣魚攻擊—只需要使用者接受OMA CP，惡意軟體即可安裝，且無需寄件者證明其身分。

華為、LG及Sony手機雖然設有一種身分驗證方式，但駭客只需收件人的IMSI(International Mobile Subscriber Identity，國際移動用戶辨識碼)便可「確認」其身分。攻擊者能夠透過各種方式獲取受害者的識別碼，包括建立一個惡意Android應用程式，在安裝後讀取手機的識別碼。此外，攻擊者還可以偽裝成電信業者向使用者傳送簡訊，要求他們接受PIN碼保護的OMA CP，繞過對IMSI的要求；如果使用者隨之輸入提供的PIN碼並接受此訊息，則無需識別碼即可安裝OMA CP。

Check Point研究人員Slava Makkaveev表示，考量到Android裝置的普遍性，這是一個必須解決的嚴重漏洞。如果沒有更安全的身分驗證方式，惡意代理就能輕鬆透過無線裝置發起網路釣魚攻擊。當收到OMA CP訊息時，使用者無法分辨其是否來自可信任來源。在點擊接受後，手機很可能遭到攻擊者駭入。

Check Point行動威脅防禦解決方案能夠防止中間人和網路釣魚攻擊，進而保護裝置免遭此類惡意OMA CP訊息的危害。