只需一条短信，黑客就能远程访问你的所有电子邮件！专家警告！

当心！只需基于短信的网络钓鱼攻击，就可以轻易地诱使数十亿Android用户更改设备的关键网络设置。

当你在手机中插入新的SIM卡并首次连接到蜂窝网络时，运营商服务会自动配置或向您发送一条消息，其中包含连接到数据服务所需的网络特定设置。

当你在设备上手动安装它时，是否注意到这些消息（技术上称为OMA CP消息）包含哪些配置？如果移动互联网服务运行顺利，大多数用户都不会在意这些。

一个网络安全团队的研究人员告诉The Hacker News，你应该注意一下这些设置，因为安装不受信任的设置可能会使你的数据隐私受到威胁，允许远程攻击者监视你的数据通信。

移动运营商发送包含APN设置的OMA CP（开放移动联盟客户端配置）消息，以及您的电话与运营商的移动网络和公共互联网服务之间的网关建立连接所需的其他设备配置。

对于APN设置，包括一个可选字段，用于配置可以通过它路由Web流量的HTTP代理，但许多运营商使用透明代理，甚至不需要设置此字段。

除了代理设置外，OMA CP设置消息还可以包括更改“空中传送”电话（OTA）上的以下设置的配置：

MMS消息服务器，

代理地址，

浏览器主页和书签，

邮件服务器，

用于同步联系人和日历的目录服务器

Check Point与The Hacker News分享的一份新报告显示，一些设备制造商（包括三星，华为，LG和索尼）实施的弱认证配置消息可以让远程黑客诱导用户更新带恶意攻击的设备设置 -受控代理服务器。

反过来，这可能允许攻击者轻松拦截目标设备通过其数据载体服务（包括Web浏览器和内置电子邮件客户端）进行的某些网络连接。

研究人员表示，“只需一条短信即可获得对您电子邮件的完全访问权限”。

“此外，任何连接到蜂窝网络的人都可能成为此类网络钓鱼攻击的目标，这意味着您无需连接到Wi-Fi网络面临网络攻击者恶意提取的私人电子邮件数据的风险。”

此外，代理服务器将无法解密HTTPS连接; 因此，这种技术仅适用于拦截不安全的连接。

研究人员在2019年3月向受影响的Android手机供应商报告了他们的调查结果。三星和LG分别在5月和7月的安全维护版本中解决了这个问题。

华为计划在下一代Mate系列或P系列智能手机中解决这个问题，而索尼拒绝承认这个问题，并声称他们的手机设备遵循OMA CP规范。

即使在获得补丁后，研究人员也建议用户不要盲目信任来自移动运营商的消息或互联网上提供的声称有助于用户解决数据运营商服务问题的APN设置等消息。

文章翻译自：The Hacker News