最新安卓漏洞允许黑客发送文本攻击，华为、三星、索尼均受波及

9月7日消息，Check Point研究人员发现，大量Android手机存在双因素身份验证漏洞，该漏洞可能令设备遭受到sim交换攻击。

据悉，这些易受攻击的安卓机型包括三星，华为，索尼和LG，这些手机允许攻击者强制获取权限并访问用户信息。

2018年统计数据显示，易受攻击的手机占所有Android手机总数的50％，被利用的技术称为空中配置（OTA），蜂窝网络通常使用它来更新用户电话上的网络设置。因为该技术只需要一个入口即可完成运作，因此它的易用性受欢到广泛欢迎。

那么，攻击者是如何通过网络钓鱼的方式实现攻击的呢？

首先，当出现建议的设置消息时，人们自然倾向于认为它们来自合法的权威机构。但是，由于开放移动联盟客户端配置（OMA CP）协议中包含的行业标准，没有实际的方法来验证它的来源，这种模糊性被攻击者用于钓鱼。

他们发送声称是蜂窝网络的OTP消息，当一个倒霉的用户接受它们时，他们基本等同于同意黑客开放他们的处理信息通道，随之手机会以这种方式被黑客入侵。

在受到攻击后，攻击者可以更改的设置包括浏览器主页和书签、邮件服务器、代理地址等等。构建这种攻击所需的设备并不昂贵，这也使其对更广泛的黑帽黑客具有吸引力。

正如 Check Point 所说：“要发送OMA CP消息，攻击者需要GSM调制解调器（10美元USB加密狗或以调制解调器模式运行的电话）用于发送二进制SMS消息，以及简单的脚本或现成的软件，撰写OMA CP，这整个过程看起来十分省钱。”

上述提到的手机厂商在3月份被告知这些安全漏洞的存在。目前，三星和LG分别在5月和7月发布了补丁，华为计划在下一代Mate系列或P系列智能手机上发布该补丁。

另一方面，索尼尚未对漏洞做出修补，并拒绝一切基于标准措施的修改行为。此外，Check Point的研究人员成功测试了不同机型上存在的漏洞，包括华为P10，索尼Xperia XZ Premium，LG G6和三星Galaxy S9。

值得注意的是，在这些品牌中三星手机最容易受到影响，因为它们完全没有信息真实性检测机制。

参考来源：

hackread

https://www.hackread.com/hackers-can-break-into-android-devices-by-sending-a-text/

-----招聘好基友的分割线-----

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注