专家警告说，仅仅一条短信就可以让远程攻击者访问你的所有电子邮件

每当您在手机中插入新SIM卡并首次连接到蜂窝网络时，运营商服务会自动配置或向您发送一条消息，其中包含连接到数据服务所需的网络特定设置。

在您的设备上手动安装时，您是否注意到这些消息（技术上称为OMA CP消息）包括哪些配置？

嗯，相信我，如果他们的移动互联网服务工作顺利，大多数用户从来不会为此烦恼。

但你应该担心这些设置，因为安装不受信任的设置可能会危及你的数据隐私，让远程攻击者可以监视你的数据通信，一组网络安全研究人员告诉《黑客新闻》。
移动运营商发送OMA CP（Open Mobile Alliance Client Provisioning，开放移动联盟客户端配置）消息，其中包含APN设置和其他设备配置，您的手机需要这些设置才能在运营商的移动网络和公共互联网服务之间建立到网关的连接。

对于APN设置，配置包括一个可选字段，用于配置HTTP代理，该代理可以通过它路由您的web流量，但许多运营商使用透明代理，甚至不需要设置此字段。


除了代理设置外，OMA CP配置消息还可以包括更改“空中传送电话”（OTA）上的以下设置的配置：

• 彩信服务器，
• 代理地址，
• 浏览器主页和书签，
• 邮件服务器，
• 用于同步联系人和日历等的目录服务器。

根据与《黑客新闻》共享的一个新报告检查点，一些设备制造商实施了弱认证的供应消息—；包括三星、华为、LG和索尼—；远程黑客可以利用恶意攻击者控制的代理服务器欺骗用户更新设备设置。
这反过来又可能使攻击者能够轻松拦截目标设备通过其数据载体服务进行的某些网络连接，包括web浏览器和内置电子邮件客户端。

研究人员说：“只需一条短信就可以完全访问你的电子邮件”。

“在这些攻击中，远程代理可以诱骗用户接受新的电话设置，例如，通过攻击者控制的代理将其所有互联网流量路由到窃取电子邮件”。

“此外，任何连接到蜂窝网络的人都可能是这类网络钓鱼攻击的目标，这意味着你不必连接到Wi-Fi网络，就可以获得被网络攻击者恶意提取的私人电子邮件数据”。

然而，就像为Wi-Fi连接设置代理一样，目标设备上安装的每个应用程序都不会使用移动数据网络的代理设置。相反，这取决于哪个应用程序被设计为接受用户配置的代理。

此外，代理服务器将无法解密HTTPS连接；因此，这种技术只适用于拦截不安全的连接。

Check Point的安全研究员斯拉瓦·马克卡维耶夫（Slava Makkaveeve）对《黑客新闻》（Hacker News）说：“这是对我们电子邮件上的网络钓鱼攻击的全新分类”。“一开始很难对漏洞进行分类，因为这是一个深层次的特殊性问题。这可能是我迄今为止见过的针对我们电子邮件的最先进的钓鱼攻击”。

回到研究人员在配置消息验证中发现的弱点检查点，行业标准建议使OTA配置安全的规范并不要求运营商使用USERPIN、NETWPIN或其他方法正确验证CP消息。

因此，消息接收者（目标用户）无法验证具有新设置的OMA CP消息是来自其网络运营商还是骗子，从而为攻击者利用此漏洞提供了机会。

研究人员解释说：“更危险的是，任何人都可以购买价值10美元的USB加密狗（发送虚假OMA CP消息）并执行大规模的网络钓鱼攻击。实施攻击不需要特殊设备”。

“网络钓鱼CP消息可以是狭义的目标，例如，在之前添加一条定制的文本消息以欺骗特定的收件人，也可以批量发送，前提是至少有一些收件人足够容易上当，可以接受CP而不质疑其真实性”。

2019年3月，研究人员向受影响的安卓手机供应商报告了他们的发现。三星和LG分别在5月和7月发布的安全维护版本中解决了这个问题。

华为计划在下一代Mate系列或P系列智能手机上解决该问题，而索尼拒绝承认该问题，称其手机设备遵循OMA CP规范。

即使在获得补丁后，研究人员建议用户不要盲目信任来自移动运营商的消息或互联网上可用的APN设置，这些设置声称可以帮助用户解决数据运营商服务中的问题。