Израильская компания Check Point обнаружила уязвимость смартфонов на платформе Android для фишинговых СМС-атак. До устранения проблема могла затронуть в том числе устройства Samsung, Huawei и LG.
Смартфоны на Android оказались уязвимы для злоумышленников в моменты обновления, сообщили «Ъ» в израильской Check Point. Злоумышленники могли использовать уязвимость, с технической точки зрения выдавая себя за операторов связи и рассылая пользователям фальшивые СМС.
При получении обновления устройства «по воздуху» (over-the-air), для которого требуется только подключение по Wi-Fi или 3G/4G, мобильные операторы могут рассылать на них нужные параметры. Для этого процесса существует стандарт Open Mobile Alliance Client Provisioning (OMA CP), но он использует ограниченные методы аутентификации, подчеркивают исследователи.
Именно эту уязвимость и могли использовать злоумышленники.
Пользователи не имели возможности определить, пришло ли сообщение из доверенного источника, а злоумышленники могли перенаправить трафик через свой прокси-сервер и получать информацию с устройства.
«Злоумышленник легко может начать фишинговую атаку с помощью беспроводной связи. Когда пользователь получает сообщение по протоколу OMA CP, он не может определить, поступило ли оно из доверенного источника или нет. Нажав кнопку “принять”, он вполне может позволить злоумышленнику проникнуть в свой телефон», — поясняет глава представительства Check Point в России и СНГ Василий Дягилев.
По данным компании, уязвимости фактически были подвержены все смартфоны на Android, включая в том числе Huawei, LG и Sony, при этом наиболее уязвимы оказались некоторые смартфоны Samsung, поскольку они не имеют проверки подлинности для отправителей сообщений OMA CP.
Исследователи предупредили производителей в марте, Samsung и LG уже выпустили обновления, Huawei планирует добавить их в следующее поколение смартфонов серии Mate или P, а Sony отказалась признать уязвимость, сообщают в Check Point.
«Компания включила исправление, направленное на устранение этого фишингового потока, в свою версию обновления для обеспечения безопасности в мае», — сообщили в пресс-службе Samsung.
Компания также использует платформу Samsung Knox, которая встраивается во все мобильные устройства на этапе производства и обеспечивает защиту на всех уровнях, от микросхем до системного ПО, приложений и сетевых подключений, заверили в Samsung.
По данным IDC, во втором квартале 2019 года Samsung вернул лидерство по поставкам смартфонов в Россию, отгрузив 7,32 млн устройств, что больше на 3,7% в сравнении с тем же периодом прошлого года. Huawei сократил поставки на 15,1%, до 2,1 млн устройств.
Учитывая, что речь идет о перенаправлении трафика на сервер злоумышленника, похитить могли теоретически что угодно, как минимум данные, к которым дает доступ электронная почта, например коды подтверждения, рассуждает директор Агентства кибербезопасности Евгений Лифшиц.
«Стандарт OMA CP последний раз обновлялся десять лет назад, по всей видимости, действительно пора его проапдейтить. Позиция Sony о том, что они не признают уязвимость и их устройства соответствуют стандарту, не вполне ясна, так как речь об интерфейсе самого стандарта», — отмечает он.
Вряд ли с уязвимостью столкнулось большое количество пользователей, сомневается руководитель аналитического центра Zecurion Владимир Ульянов. Что касается перенаправления трафика, отмечает он, это распространенный случай и большая проблема для открытых сетей, точек доступа Wi-Fi.
Далеко не все устройства под управлением Android подвержены этой уязвимости, указывает консультант Центра информационной безопасности «Инфосистемы Джет» Артур Скок: «Стандарт OMA CP предоставляет способы решения обозначенной проблемы, а в данном случае вопрос, скорее, о халатности со стороны производителей мобильных устройств».
Описанная уязвимость позволяет злоумышленнику осуществить атаку Man-in-the-middle, указывает он. «То есть фактически есть возможность перенаправления всей информации с устройства жертвы на устройство злоумышленника. Далее можно как перехватить конфиденциальную информацию (реквизиты доступа сетевых сервисов), так и внедрить, к примеру, бэкдор для полного контроля уязвимого устройства», — допускает эксперт.
В определенных случаях злоумышленник может подменять пересылаемые данные с целью компрометации жертвы, к примеру, для подмены платежной информации, указав нужный ему счет или номер карты, не исключает Артур Скок.
«Так как основными респондентами обмена OMA SMS являются в основном операторы сотовой связи, то они несут некоторую долю ответственности за использование ненадежных механизмов обмена между ними и устройствами пользователя», — отмечает эксперт, указывая, что решить эту проблему можно повышением требований к аутентификации.