研究人员发现潜在基于短信的网络钓鱼攻击利用Android配置设置发起攻击，可能影响大多数用户。

Check Point Software Technologies公司的安全研究人员Artyom Skrobov和Slava Makkaveev对三星、华为、LG和索尼制造的安卓设备（这些设备占全球智能手机市场的43％以上）进行了研究，他们发现，所有设备都容易受到通过短信的攻击，这些短信包含恶意无线（OTA）客户端配置（CP）设置。

这些研究人员表示，无线运营商通常使用OTA配置“部署网络特定设置到加入其网络的新手机”，但针对此类消息的行业标准包括“相当有限的身份验证方法”。因此，接收方无法验证Android配置消息的真实性，在某些情况下，攻击者只需要使用“GSM调制解调器和简单脚本”就可以发起攻击。

如果攻击者可以诱骗用户安装恶意Android配置设置，则攻击者可以更改与MMS、电子邮件、日历或联系人相关的服务器设置，或通过代理服务器路由所有流量。

这些研究人员在他们的分析中写道：“为了攻击使用三星手机的受害者，攻击者可以向他们发送未经身份验证的OMA（开放移动联盟）客户端配置消息，指定由他控制的代理服务器。我们想强调的是，攻击者无需通过真实性检查：只需要用户接受客户端配置即可。”

研究人员指出，在他们测试的手机中，三星手机是唯一没有验证Android配置消息的手机；华为、LG或索尼手机要求攻击者获得潜在受害者的国际移动用户身份（IMSI）号码（这大致相当于IP地址）或诱骗受害者接受使用PIN的设置码。

Makaveev告诉SearchSecurity，虽然他们只测试了这四家制造商的设备，但很有可能其他Android手机也会受到这种形式的攻击。Makaveev补充说，“运营商应该过滤掉没有合法理由发送CP的用户发送的CP消息”，以降低风险。

研究人员还指出，三星和LG已经发布补丁以保护Android配置流程，华为计划在未来进行修复，但“索尼拒绝承认该漏洞，并声称其设备遵循（开放移动联盟）OMA CP规范”。

针对客户端配置的行业标准由开放移动联盟（一个非盈利标准机构）制定，最新规范是在2009年制定。对于是否正在制定具有更强验证要求的新标准，开放移动联盟没有回应。

研究人员写道：“我们的研究表明，OMA CP的安全隐患即使在十年之后仍然具有相关性。Android的基本版本不能处理OMA CP消息，但很多供应商的部署是这样，因为OMA CP是OTA配置的行业标准。它的规范允许（但不要求！）CP消息使用USERPIN、NETWPIN或其他使用较少的方法进行身份验证。”