Новини

Смартфони Samsung, Huawei, LG і Sony виявилися вразливими для СМС-атак

Стало відомо про те, що значна частина Android-смартфонів вразлива для атак з використанням особливого виду СМС-повідомлень. Фахівці компанії Check Point, що працює в сфері інформаційної безпеки, повідомили про те, що хакери можуть підробляти особливий вид СМС-повідомлень, які зазвичай приходять від операторів зв’язку. В результаті цього налаштування пристроїв можуть автоматично змінюватися таким чином, що всі електронні повідомлення і веб-трафік будуть перенаправлятися на сервер, що знаходиться під контролем зловмисників.  


Уразливість виявлена ​​в механізмі автонастройки для підключення до оператора зв’язку з використанням протоколу OMA CP (Open Mobile Alliance Client Provisioning). Використовуючи вразливість, зловмисники можуть відправляти фішингові СМС-повідомлення, які змінюють настройки мережі на пристроях. Процес відправлення повідомлень по протоколу OMA CP називається «ініціалізація» і відбувається кожного разу, коли новий пристрій підключається до мережі мобільного оператора, а також в моменти, коли оператор зв’язку вносить зміни у внутрішні системи.  

Фахівці Check Point провели власне дослідження, в ході якого за протоколом OMA CP відправлялися «підроблені» СМС-повідомлення з настройками. В результаті було встановлено, що деякі смартфони Samsung, Huawei, LG і Sony приймають нові настройки мережі, навіть якщо СМС-повідомлення приходить від ненадійного джерела.

У звіті говориться, що найпростіше атака такого типу проходить на пристрої Samsung, оскільки смартфони південнокорейської компанії приймають будь-які повідомлення по OMA CP без перевірки і аутентифікації. Пристрої від Huawei, LG і Sony виявилися більш безпечними, оскільки вимагали, щоб відправник СМС-повідомлення OMA CP надав код IMSI, який являє собою якийсь еквівалент IP-адреси в стільникових мережах.

Варто відзначити, що після того, як про проблему дізналися виробники смартфонів, багато хто з них випустили оновлення, що виправляють вразливість. Samsung закрила уразливість в травні, а LG – в липні. Huawei планує ліквідувати вразливість в наступному поколінні смартфонів серій P і Mate. Sony – єдиний виробник, який поки не виправив уразливість. Представники Check Point розповіли про те, що Sony «відмовилася визнати вразливість, наполягаючи на повній відповідності випускаються пристроїв специфікації OMA CP».





Back to top button