Check Point нашла интересную уязвимость Android для фишинговых атак
Одно SMS-сообщение и доступ к вашей электронной почте украден. Команда исследователей Check Point Research, подразделение Check Point Software Technologies, выявила уязвимость в смартфонах базе Android пере которой беззащитны владельцы телефонов Samsung, Huawei, LG и Sony.
Благодаря этому одному сообщению злоумышленник может получить полный доступ к электронной почте жертвы. При этом получатель SMS не может проверить, приходят ли настройки от его сотового оператора или от мошенников.
Самое опасное, что любой может купить USB-ключ за 10 долларов и провести масштабную фишинговую атаку: для нее не требуется специальное оборудование и пользователю совсем не обязательно быть подключенным к Wi-Fi, достаточно сотовой сети.
Смартфоны на базе Android, подверженные уязвимости, используют OTA — обновления, которые попадают на устройство в буквальном смысле «по воздуху», то есть не через кабель, а через Wi-Fi или 3G/4G. Благодаря им операторы сотовой сети могут передавать нужные параметры на новые смартфоны, присоединяющиеся к их сети. Специалисты Check Point Research обнаружили, что принятый отраслевой стандарт для обеспечения OTA включает ограниченные методы аутентификации. Злоумышленники могут удаленно использовать уязвимость, чтобы выдавать себя за операторов связи и отправлять фальшивые сообщения пользователям. Сообщение обманом заставляет пользователей принимать вредоносные настройки, которые, например, могут перенаправлять их интернет-трафик через прокси-сервер, принадлежащий хакеру.
Любой телефон в мире на платформе Android может стать жертвой вредоносного SMS-сообщения и потерять данные своей электронной почты. Samsung, Huawei, LG и Sony производят более 50% всех телефонов Android. По оценкам аналитиков, во всем мире ежемесячно 2,5 миллиарда человек пользуются этими смартфонами. Общая доля Android на рынке мобильных операционных систем в мире составляет 76,08%.
Исследователи определили, что некоторые телефоны Samsung наиболее уязвимы для этой формы фишинг-атаки, поскольку они не имеют проверки подлинности для отправителей сообщений OMA CP. Пользователь должен только принять OMA CP, и вредоносное программное обеспечение будет установлено автоматически.
Производители были предупреждены в марте. Далее Samsung включила исправление, направленное на устранение этого фишингового потока, в свою версию для обеспечения безопасности в мае (SVE-2019-14073), LG – в июле (LVE-SMP-190006), а Huawei только планирует сделать это в следующем поколении смартфонов серии Mate или P. Корпорация Sony отказалась признать уязвимость, заявив, что их устройства соответствуют спецификации OMA CP.