網釣簡訊利用OTA散布可變更手機設定,三星、LG等品牌受害

OTA(Over The Air)線上更新技術為智慧型手機廠商用來為其產品發布軟體與組態更新的方法。而資安廠商發現部分手機廠商的Android作業系統存在安全性漏洞,對更新訊息發送來源缺乏有效的身分驗證,導致使用者容易遭受駭客進階網路釣魚攻擊,安裝駭客之惡意程式;或接受駭客的網路參數設定,將網路流量傳送到駭客的代理伺服器。

資安廠商於今年3月向受影響的手機製造商公布研究結果後,三星已經在5月安全維護版本(SVE-2019-14073)中提供了針對此網路釣魚攻擊的修復程式,LG則在7月發布了修復程式(LVE-SMP-190006),華為則計畫把修復程式納入新一代Mate系列或P系列智慧型手機中,至於Sony則拒絕承認該漏洞存在。

 

詳文請見ithome 原文新聞稿