最近,我们“取悦” 了BLEee安全问题的 iPhone用户,但在苹果与苹果之间永恒的争端中,我们几乎不支持任何方面。 Android,如果您的灵魂中有幸存的空间,可以随时告诉Android相关的“重大”新闻。
Check Point Software Technologies的研究人员在实现通过OMA CP( 开放移动联盟客户端供应)协议连接到移动运营商的自动调整机制的实现中, 发现了一个漏洞 (大概在超过50%的基于Android的设备中), 该漏洞使攻击者至少可以替换以下参数设备, 使用网络钓鱼进行中间人攻击 :
- 彩信服务器
- 代理服务器地址;
- 浏览器首页和书签;
- 邮件服务器地址;
- 联系人和日历同步服务器。
OMA CP实施
OMA CP是根据开放移动联盟移动标准使用类似XML的SyncML( 同步标记语言 )开发的OMA设备管理规范数据传输协议。 OMA CP使用WAP无线协议。 从2009年开始,OMA CP的当前版本为1.1。 同时,交换不需要智能手机具有SIM卡或已配置Internet连接。
攻击媒介使用空中(OTA)设置过程,向移动客户端提供数据,移动运营商可通过该过程在连接到蜂窝网络的设备上设置必要的设置。
该标准提供了多种措施来验证来自移动服务运营商的CP消息,但并非所有供应商都实施它们。 同时,这些措施本身并不可靠。
在Android框架内,此协议由omacp.apk实现。
根据这项研究,底层的Android操作系统不使用OMA CP保护机制,而大多数供应商使用OTA身份验证自行解决此问题。 因此,如果您想使用现有的Android设备刷新设备,那么现在就有理由考虑了。
攻击条件和实施
要将恶意的OMA CP消息发送给攻击者,只需拥有GSM调制解调器并使其位于受害者的手中即可。 同时,有针对性的攻击和广播更改设置的请求都是可能的。
NETWPIN验证
除极少数例外情况(下面将讨论有关Samsung的问题)外,通过向设备提供其自己的IMSI(移动订户身份,类似于“这些Internet”上的IP地址的唯一64位设备标识符)来验证来自运营商的消息。
“获取” IMSI有多困难是一个单独的问题,但是至少有以下方法:
- 设备上的恶意应用程序(同时具有清单权限中的权限。READ_PHONE_STATE足够);
- 查看受害者的SIM卡;
- 使用ISMI麦田守望者》模仿移动塔,这需要一定的投资,但这是完全可能的。
在收到CP消息后,不会向用户提供有关发送者的任何信息,而合法性的决定仅由受害者决定。
USERPIN身份验证
即使攻击者没有ISMI,也可以实现以下攻击媒介:
- 代表操作员发送消息,要求应用设置;
- 系统自动向用户请求PIN码;
- 发送带有受用户指定的PIN码保护的设置的CP消息。
特别杰出
如果大多数易受攻击的智能手机使用较弱的OMA SMS身份验证机制,则在研究时(2019年3月),原则上并未在某些三星设备中实施此保护。 攻击者可以简单地发送一条消息,要求设置智能手机,并在用户同意安装的情况下,将应用CP消息中指定的参数。 目前,三星发布了一个安全更新以修复SVE-2019-14073。 因此,如果您不喜欢来自供应商的更新,也不喜欢自定义Android固件,那么最好解决此问题。
有趣的是,三星并不是这种对OMA CP安全性态度的第一个案例:
在Samsung Galaxy S4-S7中,omacp忽略安全限制,这导致使用未经请求的WAP Push SMS消息,从而导致漏洞SVE-2016-6542中的设置未经授权的更改。
对抗
- 最残酷的方式: 禁用omacp应用程序 。 但是,Android的“窗帘”可能会丢失一些通知,这对您可能至关重要。
- 如果您不使用三星和库存的Android(或者突然间拥有未知的中国一日品牌的设备),那么原则上明智地使用您的头就足够了,因为攻击媒介暗示您直接参与。
- 由于这本质上是MitM攻击,因此大多数“指向性”(在关键应用程序级别)的问题都可以使用证书固定来解决,尽管实际上许多业务应用程序都忽略了此方法。
苹果怎么样? 和哲学问题
幸运的是,对于恶意使用(不是,不是您)的Apple用户,这些设备使用带有证书的Apple iOS配置文件机制。 为什么Android设备上未使用类似的保护系统? 这个问题比有趣的多。