A Check Point Research, divisão de Threat Intelligence da Check Point, acaba de revelar uma falha de segurança nos telefones com sistemas operacionais Android da Samsung, Huawei, LG e Sony, que deixa os utilizadores vulneráveis a ataques de phishing.
Os telefones Android afetados utilizam o provisionamento over-the-air (OTA), pelo qual cada operadora de redes móveis pode disponibilizar funcionalidades de rede específicas a um novo telefone que adira às suas redes. No entanto, a Check Point Research descobriu que o padrão de mercado para o provisionamento OTA, o Open Mobile Alliance Client Provisioning (OMA CP), inclui métodos de autenticação limitados. Agentes remotos podem explorar esta fraqueza para se passarem por operadoras de rede e enviar mensagens OMA CP falsas para os utilizadores. A mensagem engana os utilizadores ao aceitarem configurações maliciosas que podem, por exemplo, direcionar o seu tráfego de internet através de um servidor de proxy controlado pelo atacante.
Os investigadores determinaram que certos telefones Samsung são mais vulneráveis a este tipo de ataque de phishing por não terem um processo de certificação de envio para emissores de mensagens OMA CP. O utilizador só precisa de aceitar o CP e o software malicioso será instalado de imediato sem que o emissor necessite de provar a sua identidade.
Os telefones Huawei, LG e Sony têm uma forma de autenticação, mas os hackers precisam apenas da IMSI (International Mobile Subscriber Identity) do destinatário para “confirmar” sua identidade. Os invasores podem obter o IMSI de uma vítima de várias maneiras, incluindo a criação de um aplicativo Android não autorizado que lê o IMSI de um telefone após a instalação. O invasor também pode ignorar a necessidade de um IMSI enviando ao usuário uma mensagem de texto se passando por operadora de rede e pedindo que ele aceite uma mensagem OMA CP protegida por pinos. Se o usuário digitar o número PIN fornecido e aceitar a mensagem CP do OMA, o CP poderá ser instalado sem um IMSI.
“Dada a popularidade dos dispositivos Android, é uma vulnerabilidade crítica que deve ser tratada”, disse Slava Makkaveev, pesquisador de segurança da Check Point Software Technologies. “Sem uma forma mais forte de autenticação, é fácil para um agente mal-intencionado iniciar um ataque de phishing por meio de provisionamento aéreo. Quando o usuário recebe uma mensagem de CP do OMA, ele não tem como discernir se é de uma fonte confiável. Ao clicar em “aceitar”, é possível que eles deixem um invasor entrar no telefone”.
Os pesquisadores divulgaram suas descobertas aos fornecedores afetados em março. A Samsung incluiu uma correção referente a esse fluxo de phishing na versão Security Maintenance Release de maio (SVE-2019-14073), a LG lançou a correção em julho (LVE-SMP-190006) e a Huawei planeja incluir correções de interface do usuário para o OMA CP no próxima geração de smartphones da série Mate ou da série P. A Sony se recusou a reconhecer a vulnerabilidade, afirmando que seus dispositivos seguem a especificação OMA CP.
