Phishing ohrozuje zariadenia s operačným systémom Google Android, pričom ohrozené môžu byť aj najnovšie modely známych značiek. Potencionálny útočník môže používateľov poľahky prinútiť k inštalácii škodlivých nastavení na ich zariadenia tým, že ich bude vydávať za neškodné aktualizácie sieťovej konfigurácie.
Výskumníci z bezpečnostnej firmy Check Point objavili nový druh pokročilého phishingového útoku, ktorý mieri na telefóny s operačným systémom Android. Trik spočíva v zneužití programovania cez vzdušné rozhranie (over-the-air programming, OTAP), ktorým telekomunikační operátori bežne nastavujú konfiguráciu siete novým zariadeniam. Na vykonanie tohto útoku pritom stačí len GSM modem, ktorý dokáže odosielať binárne SMS správy a jednoduchý skript. Odosielanie phishingových správ môže byť pritom nasadené buď masovo, alebo s vlastným textom pre konkrétne zariadenia. Nová konfigurácia siete umožní útočníkovi napríklad presmerovať všetok internetový prenos z a do telefónu cez proxy server, na ktorom ho bude môcť odpočúvať.
Okrem toho môže meniť domovskú stránku internetového prehliadača a záložky, server MMS správ a e-mailov či adresárový server, ktorý synchronizuje kontakty a kalendár. Za úspechom útoku stojí slabá metóda autentizácie štandardu Open Mobile Alliance Client Provisioning (OMA CP), ktorým sa správy riadia. Príjemca totiž nedokáže overiť či navrhované nastavenia pochádzajú od operátora alebo podvodníka. Chyba sa dá zneužiť kedykoľvek, keď sú telefóny pripojené k sieťam operátora. Bezpečnostná diera sa týka aj najnovších modelov od známych výrobcov ako sú Huawei P10, LG G6, Sony Xperia XZ Premium a Samsung Galaxy S9.
Najzraniteľnejšie boli pritom telefóny od Samsungu, pretože na prijatie podvrhnutej OMA CP správy nebolo potrebné žiadne overenie. Naopak, zariadenia spoločností Huawei, LG a Sony boli relatívne bezpečnejšie, pretože pred prijatím správy požadovali, aby odosielateľ overil pravosť správy poskytnutím IMSI čísla prijímajúceho telefónu. Na získanie tohto čísla však stačí použiť vyhľadávacie služby IMSI čísel, ktoré sú lacno komerčne dostupné. Firma Check Point upozornila dotknutých výrobcov už v marci. Odvtedy, všetky spoločnosti, s výnimkou Sony, vydali opravy alebo plánujú napraviť túto chybu v budúcich vydaniach.
Zdroj: Cybersec