(台北12日电)《中时电子报》报道，网路安全解决方案厂商Check Point Software Technologies Ltd.的威胁情报部门Check Point Research表示，三星、华为、LG、索尼及其他安卓作业系统的手机存在安全漏洞，导致使用者容易受到进阶网路钓鱼攻击。

Check Point Research指出，受影响的安卓手机采用无线更新技术(OTA provisioning)，透过此配置电讯业者能将网路特定设置部署到新连接至网路的手机。

但Check Point Research 发现，OTA产业标准－开放行动联盟用户端配置(OMA CP)采用有限的身份验证方法，远端代理能利用这一点伪装成电讯业者，并向使用者发送假OMA CP讯息，以此诱骗使用者接受恶意设置，如透过骇客手中的代理伺服器传输网路流量。

研究人员指出，某些三星手机没有对OMA CP讯息寄件者进行真实性检查，因此最容易受到此形式的网路钓鱼攻击—只需要使用者接受OMA CP，恶意软体即可安装，且无需寄件者证明其身份。

华为、LG和索尼手机虽然设有一种身份验证方式，但骇客只需收件人的国际移动用户辨识码(IMSI)便可确认身份。攻击者能够透过各种方式获取受害者的识别码，包括建立一个恶意安卓应用程式，在安装后读取手机的识别码。

此外，攻击者还可以伪装成电信业者向使用者传送简讯，要求他们接受PIN码保护的OMA CP，绕过对IMSI的要求；如果使用者随之输入提供的PIN码并接受此讯息，则无需识别码即可安装OMA CP。

Check Point研究人员Slava Makkaveev表示：「考量到Android装置的普遍性，这是一个必须解决的严重漏洞。如果没有更安全的身份验证方式，恶意代理就能轻松透过无线装置发起网路钓鱼攻击。当收到OMA CP讯息时，使用者无法分辨其是否来自可信任来源。在点击『接受』后，手机很可能遭到攻击者骇入。」

Check Point在3月向受影响的厂商公布研究结果。三星在其5月安全维护版本（SVE-2019-14073）中提供了针对此网路钓鱼攻击的修复程式，LG于7月发布了修复程式（LVE-SMP-190006），华为计划把OMA CP的UI修复程式纳入新一代Mate系列或P系列智慧型手机中。Sony拒绝承认该漏洞存在，表示其装置遵循OMA CP规范。