苹果手机发条短信即可远程访问你的所有电子邮件

访客4年前黑客工具1007

2359426095-0.jpg

手机更换新 SIM 卡,首次接入蜂窝 *** 时,运营商服务会自动设置,或向用户发送一条包含接入数据服务所需特定 *** 设置的短信。

手动安装到手机上时,有谁注意过这些所谓的 OMA CP 消息到底包含了什么配置吗?

想必只要移动互联网服务顺畅,没人关心这些短信都是什么内容。

但用户真的应该关注下这些设置,因为安装不可信设置有可能令用户数据隐私面临风险,让远程攻击者得以监视你的数据通信。

移动运营商发送的 OMA CP(开放移动联盟客户端配置)消息包含接入点名称 (APN),还有手机连接运营商移动 *** 和公共互联网服务间网关所需的其他配置信息。

APN 设置信息包含配置 HTTP *** (路由 Web 流量用)的可选字段,但很多运营商使用的是无需设置此字段的透明 *** 。

除了 *** 设置,OMA CP 配置消息还可包含无线 (OTA) 修改下列设置的信息:

  • 彩信 (MMS) 消息服务器
  • *** 地址
  • 浏览器主页和收藏夹
  • 邮件服务器
  • 用于同步联系人和日程的目录服务器等

Check Point 新发布的报告指出,某些设备制造商(包括三星、华为、LG 和索尼)实现的弱身份验证配置消息,可致用户受远程黑客欺骗,将自身设备配置更新为使用恶意黑客控制下的 *** 服务器。

如此一来,攻击者即可轻易拦截目标设备通过其数据运营商服务建立的一些 *** 连接,包括 Web 浏览器和内置电子邮件客户端。

研究人员称,仅需一条短信,你的电子邮件就完全暴露在远程黑客眼前了。

此类攻击中,远程黑客可诱骗用户接受新的手机设置,比如说,路由用户的所有互联网流量,通过自身控制下的 *** 盗取电子邮件。

“更严重的是,只要接入蜂窝 *** 就有可能沦为此类 *** 钓鱼攻击的目标,也就是说,用户都不用连接 Wi-Fi *** ,自己的私密电子邮件数据就会被 *** 攻击者悄悄抽取了。”

然而,就像设置 Wi-Fi 连接 *** 一样,移动数据 *** *** 设置也不是手机上的每个应用都会采用。是否采用该 *** 设置,取决于应用是否被设计成接受该用户配置的 *** 。

而且,该 *** 服务器也不能解密 HTTPS 连接;因此,该技术仅适用于拦截不安全连接。

Check Point 安全研究员 Slava Makkaveev 向媒体透露称:“这是针对电子邮件的新型 *** 钓鱼攻击。因为是个极具特异性的问题,起初还难以分类该漏洞。这可能是到目前为止我见过的针对电子邮件的更先进 *** 钓鱼攻击。”

说回 Check Point 研究人员在配置信息身份验证中发现的漏洞,行业标准建议的 OTA 配置安全规范,并未强制要求运营商采用 USERPIN、NETWPIN 或其他 *** ,合理验证客户端配置 (CP) 消息。

因此,消息接收方(被黑客盯上的目标用户)无法验证该包含新设置的 OMA CP 消息是否源自其 *** 运营商,给攻击者留下了利用该漏洞的机会。

研究人员解释道:“更危险的是,任何人都可以花 10 美元买个 USB 加密狗,[发送虚假 OMA CP 消息],执行大范围 *** 钓鱼攻击。该攻击无需特殊装备即可实施。”

该 *** 钓鱼 CP 消息既可以是高度针对性的,比如在之前先发送专为欺骗特定接收者而特别定制的短信;也可以是广撒网式的,期待至少某些接收者够轻信,不验证真实性就接受 CP 消息。

研究人员已于 2019 年 3 月向受影响安卓手机供应商通报了他们的发现。三星和 LG 分别在其 5 月和 7 月安全维护发布中解决了该问题。

华为准备在下一代 Mate 系列或 P 系列智能手机中修复该问题。索尼则拒绝承认该问题,声称自己的手机设备遵循了 OMA CP 规范。

研究人员建议,即使打上了补丁,用户也不要盲目相信来自移动运营商的消息,不要轻信互联网上声称帮助用户解决数据运营商服务问题的 APN 设置。

Check Point 相关研究成果:

https://research.checkpoint.com/advanced- *** s-phishing-attacks-against-modern-android-based- *** artphones/

标签: 新浪城市网

相关文章

罕见!猪肉也限购:凭身份证购买,限购1公斤!价格几时能下来?

罕见!猪肉也限购:凭身份证购买,限购1公斤!价格几时能下来?

这个猪年着实让猪火了一把,听到限购两个字,我们想到最多的还是房产,没想到的是,猪肉也限购了,小编长这么大,还真是第一次听到,我们来看下相关报道: 广西南宁实施临时干预,限量限价卖猪肉! 据南宁...

凌晨4小时,三个“黑客”疯狂盗转30多万

一个20岁,两个19岁,这个年纪,凭借着自己对计算机技术的爱好,干点什么不好呢。这三个人却瞄准了一个电商平台的购物积分APP。 今年1月24日,杭州某电商公司发现公司账户的钱被转走,根据系统显示,1...

恶意软件假装是来自电信运营商的短信 为黑客攻击Android智能手机打开了大门

恶意软件假装是来自电信运营商的短信 为黑客攻击Android智能手机打开了大门

网络安全研究人员周三警告说,恶意软件假装是来自电信运营商的短信,为黑客攻击Android智能手机打开了大门。 Check Point发布的一份报告描述了一种“新的网络钓鱼攻击”,如果成功,可以让...

网络安全宣传周系列动漫——邮件安全篇

中国邮箱网讯 9月12日消息 电子邮件,人们几乎天天发、天天收。网络信息化时代,电子邮件已经成为常用通信工具,而且也成了企业内部主要的沟通工具。   然而,邮件安全问题也日益突出,逐渐成为电信诈骗、...

公安部:深入打击 “套路贷”,查扣银行账户及第三方支付平台涉案资金

9月3日,公安部在河南郑州召开全国公安机关打击“套路贷”犯罪工作推进会,对全面推进打击“套路贷”违法犯罪活动进行再动员再部署,并公布了公安机关打击“套路贷”犯罪的十起典型案例。 会议要求,全国公安机...

成都十大经典小吃 成都第一名小吃竟然是它

成都十大经典小吃 成都第一名小吃竟然是它

有人这样说:北京人吃面子,图个自尊;上海人吃情调,显示高雅;广州人吃材料,讲究本味;成都人吃味道,图个口感。成都人对吃特别有感情,不管这菜那菜,好吃就是好菜。可以今天开车到郊区双流啃个兔脑壳,明天跑到...