针对Android智能机的高等短信垂纶进击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

针对Android智能机的高等短信垂纶进击

申博_安全防护 申博 26次浏览 未收录 0个评论

引见

Check Point的研讨职员观察发明,在如三星(Samsung)、华为(Huawei)、LG和索尼(Sony)等某些品牌的android手机上,高等收集垂纶进击事宜很容易发生。进击者可以经由过程长途代办诳骗用户变动手机设置,截获用户一切的互联网流量。

这类进击要领应用的是一种称为OTA(空中下载)的手艺,收集运营商恰是应用此手艺才能将特定收集设置布置到用户手机上,但是题目在于,任何人都可以发送OTA设置音讯。

OTA设置的行业规范是开放挪动同盟客户端设置(OMA CP),涵盖的认证要领数目有限,收件人没法考证吸收的提议设置是来自官方的收集操纵职员,照样顶替的冒名者。我们发明,三星、华为、LG和索尼等品牌手机(占到了50%以上的安卓手机市场)许可用户经由过程这类弱考证的体式格局吸收歹意设置信息;三星手机还许可未经认证的OMA CP音讯。

我们已于本年三月向受影响的品牌厂商汇报了观察结果。三星在5月份宣布的平安庇护版本(SVE-2019-14073)中涵盖了一个处置惩罚垂纶流程的补丁;LG在7月份宣布了响应补丁(lv – smp -190006);华为设计鄙人一代Mate系列或P系列智能手机中为OMA CP供应UI修复;索尼谢绝认可此破绽的存在,称他们的装备相符OMA CP范例,OMA将此题目的注为OPEN-7587举行跟踪。

进击流程

要发送OMA CP音讯,进击者须要GSM调制解调器(一个10美圆的USB软件狗,或以调制解调器形式运转的手机就行)来发送二进制SMS音讯,以及一个简朴的剧本或现成的软件来构成OMA CP。

收集垂纶CP音讯的目的局限可以很窄,比方在前面加上一条特地用来诳骗特定收件人的定制短信,也可以普遍批量发送。

OMA CP许可经由过程OTA变动以下设置:

· MMS音讯服务

· 代办地点

· 浏览器主页和书签

· 邮件服务

· 用于同步联络人和日历的目次服务

……

我们来假定一下进击者经由过程掌握代办截获用户流量的场景。

无需身份认证(三星)

关于运用三星手机的用户,进击者可以向他们发送未经身份考证的OMA CP音讯,指定到他所掌握的代办。这里须要强调的是,进击者不须要处置惩罚身份考证的题目,用户只须要接收CP即可。

针对Android智能机的高等短信垂纶进击 针对Android智能机的高等短信垂纶进击

图1:三星用户看到的未经身份考证的CP音讯

运用IMSI举行身份考证

假如进击者可以获得华为、LG或索尼手机用户的国际挪动用户识别码(IMSI),也可以提议对三星手机用户一样收集垂纶进击。

IMSI是挪动收集上每一个装备的64位标识符,从GSM到3G都在运用。这个数字用于路由挑选,大抵相当于盘算机收集中的IP地点。一部手机的IMSI是伪秘要的,由于:

· 它必需对一切收集运营商可用,由于路由数据或呼叫到挪动用户须要将其电话号码剖析为IMSI,经由过程一些供应商可以很低价地获得正向和反向IMSI查询(到IMSI的挪动电话号码,反之亦然)。

· 别的,一些地痞Android应用程序可以经由过程规范API读取用户的IMSI号码,条件是应用程序具有权限。permission.READ_PHONE_STATE:

     (TelephonyManager)getSystemService(Context.TELEPHONY_SERVICE)).getSubscriberId()

在过去三年中宣布的一切Android应用程序中,有凌驾三分之一的须要此权限,假如个中搀杂了一些地痞软件,也很难找得出来。

· 任何人只需看一下实体SIM卡,就会看到ICCID被刻录或打印在上面,而且ICCID一般与IMSI婚配。

Agent 1433: 针对Microsoft SQL Server的长途进击

全世界的大小公司都使用Microsoft SQL服务器进行数据库管理。虽然很流行,但是保护力度不够,该DBMS成为黑客的目标。基于Microsoft SQL服务器恶意job的远程攻击已经出现一段时间了,仍然被广泛用于访问工作站。 下图是2019年1月到7月针对Microsoft SQL Server的远程攻击地理分布图,其中攻击主要位于越南(约占16%)、俄罗斯(约占12%)、印度(约占7%)、中国(约占6%)、土耳其(约占5%)和巴西(约占5%)。 攻击描述 Microsoft SQL服务器攻击规模很大

OMA CP音讯具有可选的平安标头,可以考证CP的真实性。当CP经由过程吸收方的IMSI号码举行身份考证时,华为、LG和索尼手机许可装置歹意设置。请注意,这些手机在提议用户装置CP时没有显现任何有关CP的细节;特别是,CP的发送方没有以任何体式格局举行标识。

针对Android智能机的高等短信垂纶进击 针对Android智能机的高等短信垂纶进击

图2:索尼用户看到的经由netwpin考证的CP音讯

运用PIN考证

关于没法获得他们IMSI的那些用户,进击者可以发送两条音讯:第一个是宣称来自收集运营商的文本音讯,请求用户接收一个有PIN庇护的OMA CP,并将PIN指定为恣意四位数字。接下来,进击者向他发送一个运用雷同PIN举行身份考证的OMA CP音讯。只需受害者接收CP并输入准确的PIN,不管IMSI怎样,都可以装置如许的CP。 针对Android智能机的高等短信垂纶进击

图3:向华为用户显现的经由userpin身份考证的CP音讯

手艺背景

OTA设置最最先主如果用于布置运营商的设置,比方运营商的MMS服务中心的地点。企业也运用此东西将电子邮件服务器地点等设置布置到员工的装备。OMA CP是OMA为OTA设置的设置而立下两个规范之一,它可以追溯到2001年,最新的范例则在2009年。

我们的研讨表明,纵然在10年后,OMA CP的平安影响仍然是事关重大的。Android的基础版本不处置惩罚OMA CP音讯,在供应商处启用,由于OMA CP是OTA设置的行业规范。其范例许可(但不请求)CP音讯运用USERPIN,NETWPIN或其他少数要领举行身份考证。

任何SMS,不管是文本音讯、彩信、语音邮件关照或任何其他音讯,都是作为协定数据单位(PDUs)传输的,协定数据单位由短音讯传输协定(SM-TP)指定,即GSM 03.40。包含OMA CP有用载荷的GSM PDUs包含:

承载层的SM-TP头,指定吸收方的电话号码和数据编码方案。

传输层的用户数据头(UDH),包含:

· 无线数据报协定(WDP)报头,指定目的端口2948 (wp -push)和源端口9200 (wp -wsp)。

· 可选的衔接音讯头:每一个PDU的用户数据限制为140字节,较长的音讯必需分块。

· 会话层的无线会话协定(WSP)头,包含身份考证(假如有的话)。

· 应用程序层的WAP二进制XML (WBXML),包含有用负载。

作为演示,我们以三星手机初期(未经身份考证的)举行观点考证,个中包含以下XML文档作为有用负载,凸起显现的字符串示意代办地点和端口号:

 针对Android智能机的高等短信垂纶进击

图4:OMA CP的XML有用负载

照顾此有用载荷的完全OMA CP被拆分为两个物理SMS音讯,如下图所示,为两个八位字节串:

 针对Android智能机的高等短信垂纶进击

图5:OMA CP音讯的物理示意

在WBXML字符串中,代办地点和端口号(运用与XML源中雷同的色彩凸起显现)包含为以null末端的ASCII字符串,而在XML形式中定义的字符串,如元素称号、范例的值、称号属性,示意在WBXML中为牢固的单字节值。

WBXML有用负载遵照WSP头,个中包含音讯身份考证代码,运用吸收方的IMSI作为ASCII十六进制字符串盘算。

结论

我们论述了一种针对当代Android手机的高等收集垂纶进击流程。这类进击流程使任何具有低价USB调制解调器的人都可以欺骗用户在手机上装置歹意设置。为了进击一些易受进击的手机,进击者须要晓得受害者的IMSI号码,这些号码可以经由过程具有READ_PHONE_STATE权限的Android应用程序获得。我们在华为P10,LG G6,索尼Xperia XZ Premium和一系列三星Galaxy手机(包含S9)上举行了考证。

Check Point SandBlast Mobile可防止中心人和收集垂纶进击,协助庇护您的装备免受此类歹意OMA CP音讯的损害。

本文翻译自:https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明针对Android智能机的高等短信垂纶进击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址