Check Point：10亿安卓用户,一条短信就能网络钓鱼攻击

Check Point研究人员发现某些基于Android的现代手机中存在高级网络钓鱼攻击的可能性，

其中包括三星，华为，LG和索尼的模型。在这些攻击中，远程代理可以欺骗用户接受新的电话设置，例如，通过受攻击者控制的代理路由所有的Internet流量。

该攻击向量依赖于称为空中（OTA）供应的过程，该过程通常由蜂窝网络运营商用于将网络特定设置部署到加入其网络的新电话。但是，正如我们所看到，任何人都可以发送OTA配置消息。

OTA供应的行业标准，开放移动联盟客户端供应（OMA CP），包括相当有限的认证方法; 收件人无法验证建议的设置是来自他的网络运营商还是来自冒名顶替者。根据2018年的市场份额数据，我们发现由三星，华为，LG和索尼制造的手机（相当于所有Android手机的50％以上：http：//gs.statcounter.com/vendor-market-share/mobile/全球/）允许用户通过这种经过弱验证的配置消息接收恶意设置。三星手机通过允许未经身份验证的OMA CP消息来复合这一点。

我们在3月向受影响的供应商披露了我们的调查结 三星在其5月份的安全维护版本（SVE-2019-14073）中提供了解决此网络钓鱼流程的修复程序。LG于7月发布了他们的修复程序（LVE-SMP-190006）。华为计划在下一代Mate系列或P系列智能手机中加入针对OMA CP的UI修复。索尼拒绝承认该漏洞，声称他们的设备遵循OMA CP规范。OMA正在将此问题作为OPEN-7587进行跟踪。

攻击流程

要发送OMA CP消息，攻击者需要GSM调制解调器（10美元USB加密狗或以调制解调器模式运行的电话），用于发送二进制SMS消息，以及简单的脚本或现成的软件，撰写OMA CP。

网络钓鱼CP消息可以是狭义目标，例如在定制用于欺骗特定接收者的自定义文本消息之前，或者批量发送，假设至少一些接收者足够轻信接受CP而不挑战其真实性。

OMA CP允许通过空中更改以下设置：

• MMS消息服务器

• 代理地址

• 浏览器主页和书签

• 邮件服务器

• 用于同步联系人和日历的目录服务器

以下方案假设攻击者试图诱骗受害者通过攻击者控制的代理路由所有流量。

未经认证（三星）

为了使用三星手机定位受害者，攻击者可以向他们发送未经身份验证的OMA CP消息，指定他控制的代理。我们强调，攻击者无需进行真实性检查：所有需要的是用户接受CP。

图1：三星用户看到的未经身份验证的CP消息。

使用IMSI进行身份验证

如果攻击者能够使用华为，LG或索尼手机获得潜在受害者的国际移动用户身份（IMSI）数量，他可以发起与三星手机用户一样有效的网络钓鱼攻击。

IMSI是移动网络上每个设备的64位标识符，自GSM和3G以来一直在使用。此号码用于路由，大致相当于计算机网络中的IP地址。一个人的IMSI是伪机密的，但是：

它必须适用于所有网络运营商，因为路由数据或对移动用户的呼叫需要将其电话号码解析为IMSI。

结果，通过商业供应商可以廉价地获得正向和反向IMSI查找（移动号码到IMSI，反之亦然）。

流氓Android应用程序可以通过标准API 

（（TelephonyManager）getSystemService（Context.TELEPHONY_SERVICE））读取用户的IMSI号码.getSubscriberId（）

- 只要应用程序具有权限权限.READ_PHONE_STATE 。在过去三年中发布的所有Android应用程序中，超过三分之一已经需要此权限，因此不会引起任何怀疑。

任何可以查看物理SIM卡的人都会看到刻有或印有ICCID的ICCID，而且ICCID经常与IMSI相匹配！

OMA CP消息具有可选的安全标头，可以验证CP的真实性。当CP使用收件人的IMSI号码进行身份验证时，华为，LG和索尼手机允许安装恶意设置。请注意，这些手机在建议用户安装时不会显示有关CP的任何详细信息; 特别是，CP的发送者没有以任何方式被识别。

图2：Sony用户看到的NETWPIN认证的CP消息。

使用PIN验证

对于无法获得IMSI的潜在受害者，攻击者可以向每个受害者发送两条消息。第一个是文本消息，声称来自受害者的网络运营商，要求他接受受PIN保护的OMA CP，并将PIN指定为任意四位数字。接下来，攻击者向他发送使用相同PIN验证的OMA CP消息。只要受害者接受CP并输入正确的PIN，就可以安装此类CP而不管IMSI。

图3：华为用户看到的经过USERPIN认证的CP消息。

技术背景

供应是为设备提供在其环境中运行所需的设置的过程。OTA配置的主要原始用例是部署特定于运营商的设置，例如运营商的MMS服务中心的地址。企业也使用此工具将电子邮件服务器地址等设置部署到员工的设备。OMA CP是OMA为空中配置设置而维护的两个标准之一，可追溯到2001年，具有2009年的最新规范。

我们的研究表明，OMA CP的安全隐患在十年后仍然具有相关性。Android的基本版本不能处理OMA CP消息，但许多供应商实现都是如此，因为OMA CP是OTA配置的行业标准。其规范允许（但不要求！）CP消息使用USERPIN，NETWPIN或其他使用较少的方法进行身份验证。

任何SMS，无论是文本消息，MMS，语音邮件通知还是其他任何SMS，都作为由短消息传输协议（SM-TP）即GSM 03.40指定的协议数据单元（PDU）发送。包含OMA CP有效载荷的GSM PDU包括：

承载层的 SM-TP报头，指定接收方的电话号码和数据编码方案。

• 传输层的用户数据头（UDH），包括：

• 无线数据报协议（WDP）标头，指定目标端口2948（wap-push）和源端口9200（wap-wsp）。

• 可选的连接消息头：每个PDU的用户数据限制为140个字节，并且必须对较长的消息进行分块。

• 会话层的无线会话协议（WSP）标头，包含身份验证（如果有）。

• 应用层的 WAP二进制XML（WBXML），包含有效负载。

作为演示，我们对Samsung手机的初始（未经身份验证的）概念验证包含以下XML文档作为有效负载，其中字符串指定了突出显示的代理地址和端口号：

图4：OMA CP的XML有效负载。

携带此有效负载的完整OMA CP分为两条物理SMS消息，如下图所示，为两个八位字节串：

图5：OMA CP消息的物理表示。

在WBXML字符串中，代理地址和端口号（使用与XML源中相同的颜色突出显示）包含为以null结尾的ASCII字符串，而在XML模式中定义的字符串，如元素名称和类型的值和名称属性，在WBXML中表示为固定的单字节值。

WBXML有效负载遵循WSP标头，其包括使用接收方的IMSI计算的消息认证代码，作为ASCII十六进制字符串。

结论

我们描述了针对现代Android手机的高级网络钓鱼攻击流程。这种攻击流程使任何拥有廉价USB调制解调器的人都可以诱骗用户在手机上安装恶意设置。为了攻击一些易受攻击的手机，攻击者需要知道受害者的IMSI号码，这些号码可以通过具有READ_PHONE_STATE权限的Android应用程序获得。

我们在华为P10，LG G6，索尼Xperia XZ Premium和一系列三星Galaxy手机（包括S9）上验证了我们的概念验证。

Android安全更新

周二，谷歌发布了Android操作系统媒体框架中两个关键远程代码执行漏洞的修复程序。这些漏洞可能允许远程攻击者执行任意代码。

谷歌9月份的Android安全公告也报告说，它部署了13个关键和高严重性漏洞的修复程序。根据该公告，高通公司（其芯片用于Android设备）也修补了31个漏洞，而Nvidia修复了三个漏洞。

“Android安全公告包含有关影响Android设备的安全漏洞的详细信息。根据谷歌的周二公告，2019-09-05或更高版本的安全补丁级别解决了所有这些问题。“这些问题中最严重的是Media框架组件中的一个关键安全漏洞，它可以使远程攻击者使用特制文件在特权进程的上下文中执行任意代码。”

Android的媒体框架中存在两个关键缺陷（CVE-2019-2176，CVE-2019-2108）。该框架包括支持播放各种常见媒体类型，以便用户可以轻松利用音频，视频和图像。

谷歌表示，这些漏洞“可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码”。

谷歌还发布了其框架中五个高严重性漏洞的修复程序，包括四个特权错误提升（CVE-2019-2123，CVE-2019-2174，CVE-2019-2175，CVE-2019-9254）和一个信息泄露缺陷（CVE-2019年至2103年）。另外还修补了Android操作系统中的六个高严重性缺陷，包括远程代码执行漏洞（CVE-2019-2177），两个特权提示故障（CVE-2019-2115，CVE-2019-2178）和三个信息泄露缺陷（CVE-2019-2179，CVE-2019-2188，CVE-2019-2124）。

转发是对我们最大的鼓励

                                                                                            点个看吧↓

原文始发于微信公众号（红数位）：Check Point：10亿安卓用户,一条短信就能网络钓鱼攻击