头条: Meizu认为16速充电... 诺基亚手机在Andro... 铁匠:几千人住在... 李白崛起,2刀1脆... 罗永豪没能创业,... 光荣游戏3杀至999元,使用若干分...

你赢了三星、华为、LG和索尼Android手机的短信攻击吗?

时间:2019-09-06 12:55:27

来源:中国证券网

小心点!

只要发一条短信,你就可以轻易地欺骗你,让你改变手机的关键配置。

每当您在手机中插入新的sim卡并连接到网络时,操作员服务就会自动发送消息。

你注意到这个消息了吗?

相信我,大多数用户从来不想太多,只要他们能够顺利地连接互联网。

但这样的信息也是隐藏的危机。

omacp中的漏洞

最近,一种针对Android智能手机的高级攻击已经出现,它只需要一条短信就可以改变手机的设置,以防恶意攻击。

移动运营商可以通过移动电话客户端配置(ota)协议,向用户发送消息,从而使用无线(omacp)通信来配置移动网络。协议中的一个漏洞正是允许黑客未经认证就将配置信息发送给用户。

运营商发送的信息似乎会诱使用户接受特定的网络配置,从而执行远程恶意代理。

那你为什么会收到假短信呢?这可以追溯到整个过程中缺乏有效的认证机制。

终端和网络之间没有相互认证,只有手机用户需要向运营商发送认证信息,但用户无法确认运营商的身份是否正确。

在这次攻击中,冒名顶替的黑客使用远程代理在用户的手机上设置新的设置,并将所有互联网流量路由到攻击者的控制下。

此外,任何连接到移动网络的人都可能成为此类网络钓鱼攻击的目标。这意味着攻击者可以控制的手机范围更广。

更危险的是,攻击是先进的,但不需要任何特殊设备,任何人都可以用10美元购买gsm调制解调器发送假omacp消息,并进行大规模的网络钓鱼攻击。

脆弱的手机品牌

三星(Samsung)、华为(Huawei)、LG(LG)和索尼(Sony)共占Android手机市场的50%以上,在这场攻击中受到了大规模影响。

Ota配置消息可用于更改电话上的下列设置:MMS服务器代理地址浏览器主页和书签邮件服务器目录服务器,用于同步联系人和日历

对于三星手机,攻击者甚至不需要认证就可以发送恶意短信。如果用户接受cp,手机设置就会被修改。

对于其他手机,攻击者需要潜在受害者的国际移动用户标识号(imsi)来部署与三星手机用户相同的攻击。

Omacp有一种安全措施,可用于验证IMSI号码,但似乎无助于用户,因为无法识别信息发件人的详细信息。

此外,如果IMSI号码不可用,攻击者仍可以另一种方式进行攻击,这种攻击可以说是无法克服的。

针对这一漏洞,手机供应商也做出了回应。

三星和lg已经找到了合适的解决方案。

华为设备仍容易受到攻击,该公司计划修复下一代Mate或p手机的漏洞。

索尼没有承认这一缺陷,并坚称其产品符合omacp规范。

值得注意的是,即使有了补丁,用户也不应该盲目地信任来自移动运营商或互联网上APN设置的信息,声称他们可以帮助用户解决问题,而这些问题实际上更有可能造成问题。

专题

新闻动态

热点文章