Spreparowany SMS może posłużyć do ataku na smartfona

Atakujący mogą wykorzystać lukę, aby przesłać phishingowy SMS i przejąć ruch sieciowy z urządzenia.

Badacze z Check Point Software Technologies odkryli, że niektórzy producenci smartfonów korzystają z implementacji Open Mobile Alliance Client Provisioning (OMA CP), która pozwala na przesłanie szkodliwego SMS-a, zmieniającego ustawienia internetu na urządzeniach z systemem Android. Ustawienia te dotyczą serwera wiadomości SMS, poczty, ustawienia strony startowej oraz adresów proxy, umożliwiają również na dodawanie kolejnych urządzeń do swojej sieci. Gdy spreparowana wiadomość SMS jest otrzymywana, "operator" prosi w niej użytkownika o zaakceptowanie zmian. Jeśli wyrazi on zgodę, konfiguracja jest wprowadzana i cyberprzestępca zyskuje kontrolę nad ruchem sieciowym użytkownika, co umożliwia na szpiegowanie oraz przeprowadzanie ataków man-in-the-middle.

Co ciekawe, na smartfonach firm Samsung, Huawei, LG oraz Sony nie można sprawdzić, od kogo przychodzi SMS - jest on anonimowy. Android sam w sobie nie zawiera funkcjonalności do obsługi OMA CP, a jego obecność na danym telefonie jest decyzją producenta, który dodaje protokół do swojego firmware. Z tego powodu mogą występować różnice w obsłudze takich SMS-ów. OMA CP wspiera opcjonalne uwierzytelnianie PIN za pomocą IMSI (international mobile subscriber identity), ale w przypadku np. Samsunga firmware umożliwia akceptowanie nieuwierzytelnionych wiadomości. Oznacza to, że praktycznie każdy może wysłać wiadomość z prośbą o zaakceptowanie zmiany ustawień sieciowych do kogokolwiek. Na przetestowanych urządzeniach Huawei, LG i Sony, wiadomości OMA CP wymagały uwierzytelnienia, ale łatwo to obejść. Numery IMSI, służące do identyfikowania użytkowników w sieciach mobilnych, są tylko teoretycznie prywatne. Za pomocą usług związanych z dostarczaniem sieci można zidentyfikować numer IMSI na podstawie numeru telefonu. Ponadto wiele legalnych aplikacji na Androida uzyskuje dostęp do odczytywania IMSI urządzenia, co pozwala hakerom na tworzenie złośliwych aplikacji tylko w celu gromadzenia tych danych.

Nawet jeśli atakujący nie jest w stanie zdobyć IMSI swojego celu, ciągle może przeprowadzić ataki OMA CP za pomocą opcji uwierzytelniania numerem PIN. Wymaga to dwóch wiadomości zamiast jednej. W pierwszej podaje się za operatora, który informuje, że w kolejnej wiadomości zostaną przesłane ustawienia sieci chronione przez numer PIN - numer ten tworzy oczywiście atakujący. Druga wiadomość to wiadomość OMA CP, chroniona przez ten właśnie PIN, który użytkownik musi wprowadzić (i - nie podejrzewając oszustwa - wprowadza), aby zastosować zmiany.

Oczywiście Check Point poinformował o tym świat po fakcie. Samsung wprowadził odpowiednią łatkę do firmware już w maju, LG -w lipcu. Huawei ma zamiar zlikwidować lukę w kolejnej generacji smartfonów Mate oraz P. Sony odmówiło poinformowania, czy wiedziało o luce i twierdzi, że jego urządzenia są zgodne ze specyfikacją OMA CP. Badacze odkryli, że opisane ataki można było przeprowadzić na modelach Huawei P10, LG G6, Sony Xperia XZ Premium oraz urządzaniach Samsung Galaxy, w tym S9. O ile łatki firmware są dostępne dla urządzeń Samsung oraz LG, istnieje wiele telefonów, które nigdy ich nie otrzymają. Check Point sprawdzał możliwość ataku tylko u największych marek na rynku, więc trudno powiedzieć, ile smartfonów jest zagrożonych.

Dlatego jeśli dostaniesz SMS-a z informacją, że w kolejnym przyjdą nowe ustawienia sieci do zaakceptowania, a nie masz stuprocentowej pewności, że jest to wiadomość od operatora, zignoruj ją. Z drugiej strony sam operator powinien w swojej sieci mobilnej blokować dostarczanie wiadomości SMS, korzystających z OMA CP, ale nie pochodzących od niego.

Opisany tu atak jest podobny do metod przeprowadzanych przy użyciu podobnych protokołów na sprzęcie dla konsumentów. Na przykład wiele ruterów i modemów wspiera protokół TR-069, czyli CPE WAN Management Protocol (CWMP). Użytkownicy końcowi nie mają dostępu do jego funkcji, a dostawca sieci korzysta z nich do wprowadzania nowych konfiguracji i aktualizacji firmware. W ciągu kilku ostatnich lat znaleziono w nim parę luk umożliwiających atakującym przejmowanie kontroli nad urządzeniami.