Check Point: beveiligingslek maakt Android-smartphones kwetsbaar voor geavanceerde phishing-aanvallen via sms
Bunnik – Check Point Research, de onderzoekstak van Check Point Software Technologies Ltd. (NASDAQ: CHKP), heeft een beveiligingsfout ontdekt in smartphones die met het besturingssysteem van Android werken. Onder meer toestellen van Samsung, Huawei, LG, en Sony kunnen kwetsbaar zijn voor geavanceerde phishing-aanvallen via sms.
De getroffen Android-telefoons maken gebruik van OTA-provisioning (Over The Air), waardoor mobiele netwerkproviders specifieke netwerkinstellingen kunnen implementeren op een nieuwe telefoon die zich bij hun netwerk aansluit. Check Point heeft echter vastgesteld dat de industriestandaard voor OTA – zogeheten Open Mobile Alliance Client Provisioning (OMA CP) – beperkte verificatiemethoden gebruikt. Externe actoren kunnen dit misbruiken door zich voor te doen als netwerkoperator en zodoende misleidende OMA CP-berichten naar gebruikers te sturen. Het misleidende bericht vraagt gebruikers om kwaadaardige instellingen te accepteren die bijvoorbeeld hun internetverkeer omleidt naar een proxyserver van de hacker.
Onderzoekers van Check Point hebben vastgesteld dat bepaalde Samsung-telefoons het meest kwetsbaar zijn voor deze vorm van phishing-aanvallen omdat ze geen authenticatiecontrole hebben op afzenders van OMA CP-berichten. Zodra een gebruiker de CP accepteert, wordt de malware geïnstalleerd zonder dat de afzender zijn identiteit hoeft te bewijzen.
Misleiding via sms
Huawei-, LG- en Sony-telefoons hebben wel een vorm van authenticatie, maar hackers hebben alleen het zogenaamde International Mobile Subscriber Identity-nummer (IMSI) van de ontvanger nodig om hun identiteit te ‘bevestigen’. Hackers kunnen op verschillende manieren het IMSI-nummer van een slachtoffer achterhalen. Eén van de mogelijkheden is een malafide Android-app die het IMSI-nummer van een telefoon leest zodra de app is geïnstalleerd. De aanvaller kan de gebruiker ook gewoon een sms-bericht sturen waarin hij zich voordoet als de netwerkprovider. Het slachtoffer wordt dan gevraagd om een OMA CP-bericht, dat met een pincode is beschermd, te accepteren. Zodra het slachtoffer deze pincode ingeeft, kan de CP worden geïnstalleerd zonder IMSI.
“Gezien de immense populariteit van Android-apparaten, is dit een heel kritiek lek dat zo snel mogelijk moet worden gedicht”, zegt Slava Makkaveev, beveiligingsonderzoeker bij Check Point Software Technologies. “Zonder een strengere vorm van authenticatie, is het voor een hacker gemakkelijk om een phishing-aanval uit te voeren via het Over The Air Provisioning Protocol. Als gebruikers een industriestandaard OMA CP-bericht ontvangen, kunnen zij niet achterhalen of dit afkomstig is van een betrouwbare bron. Door op ‘accepteren’ te klikken, kunnen ze dus evengoed een hacker op hun telefoon binnenlaten.”
Reacties van Samsung, LG, Huawei en Sony
De onderzoekers hebben hun bevindingen eerder dit jaar (maart 2019) aan de getroffen leveranciers bekendgemaakt. Samsung nam een bug fix voor deze phishing op in hun Security Maintenance Release van mei (SVE-2019-14073), LG bracht in juli een bug fix uit (LVE-SMP-190006), en Huawei is van plan om de UI-fixes voor OMA CP in de volgende generatie Mate-serie of P-serie smartphones op te nemen. Sony weigert het beveiligingslek te erkennen door te verklaren dat hun smartphones de internationale OMA CP-specificatie volgen.
Meer informatie over dit onderzoek op de website van Check Point Research:
——————————-
Over Check Point
Check Point Software Technologies Ltd. biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt. plus het meest uitgebreide en intuïtieve beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.