Мобильные телефоны Samsung, Sony, Huawei и LG уязвимы для фишинговой атаки, в ходе которой злоумышленники могут изменить настройки устройства и направить пользовательский трафик через свой прокси.
Об этом сообщили специалисты Check Point, которые выяснили, что версии Android на смартфонах и планшетах указанных производителей плохо проверяют подлинность входящих сообщений с управляющими командами. Часть вендоров уже выпустила заплатки для описанных недостатков.
Как выяснили ИБ-аналитики, проблема заключалась в инструкциях стандарта OMA CP, применяемых для передачи сетевых настроек на группу устройств. Киберпреступники могли подделать эти команды и распространить на целевые устройства, которые приняли бы их без надлежащей проверки. В частности, злоумышленники могли отправить параметры собственного прокси-сервера, предназначенного для перехвата и изменения трафика.
Злоумышленники могут изменить ключевые настройки сети на Android-устройствах:
Конфигурация ОС Android не поддерживает использование OMA CP по умолчанию, однако некоторые сотовые операторы применяют этот протокол для доставки сетевых настроек абонентам. Киберпреступникам достаточно приобрести недорогой GSM-модем и соответствующее ПО для формирования посланий OMA CP, чтобы передать на уязвимые устройства следующие параметры:
Адрес сервера MMS-сообщений.
Адрес прокси-сервера.
URL домашней страницы браузера и список закладок
Адрес почтового узла.
Серверы каталогов для синхронизации контактов и календаря.
Исследователи сообщили, что мобильные телефоны Samsung вообще не содержали проверок легитимности входящих сообщений с инструкциями. Для передачи вредоносных посланий на устройства Sony, Huawei и LG злоумышленникам необходим IMSI-идентификатор абонента. Как подчеркивают ИБ-специалисты, этот номер, привязанный к SIM-карте пользователя, легко выяснить через специализированные сервисы или из баз слитых данных.
Аналитики сообщили производителям о выявленной проблеме. Разработчики Samsung и LG уже выпустили патчи для своих версий Android, а Huawei пообещала закрыть баг в прошивке следующего поколения смартфонов. Представители Sony не планируют исправлять уязвимость, поскольку считают, что работа их продуктов полностью соответствует спецификациям OMA CP.
В мае этого года ИБ-специалисты сообщили, что фишеры размещают на своих сайтах скрипты, имитирующие push-уведомления Android. Злоумышленники маскируют вредоносные ссылки в посланиях о якобы пропущенных звонках, рассчитывая, что пользователь не заметит подвоха и перейдет на вредоносный ресурс.
Источник: https://threatpost.ru/four-horsemen-of-traffic-highjacking-on-android/34001/