2019/09/09

Androids vulneráveis a alterações de configuração de rede via SMS


Se recebessem um SMS dizendo que era do vosso operador, com uma actualização da configuração da rede, aceitariam instalá-lo? Em caso afirmativo, poderiam estar a ser vítimas de um novo tipo de ataque que tem estado em crescimento.

A maioria dos smartphones Android suporta a configuração remota das definições da rede do operador, seguindo o standard OMA CP (Open Mobile Alliance Client Provisioning), mas o grande problema é que há modelos que nem sequer fazem qualquer tipo de verificação ou autenticação; e outros usam sistemas que são relativamente fáceis de contornar. E com isso, um atacante pode simplesmente enviar uma configuração maliciosa para as vítimas, fazendo-se passar por um SMS enviado pelo seu operador, para obter acesso às suas comunicações.

O OMA CP permite que os operadores - ou neste caso, os atacantes - configurem coisas como: sevidor de mensagens MMS, endereços de proxy, página inicial do browser, servidores de email, sincronização de contactos e calendário, etc. Coisas que facilitam a obtenção de dados das vítimas, assim como espiar o seu tráfego sempre que estejam a utilizar a internet via 3G / 4G.


No caso dos smartphones Android da Samsung, os investigadores da Check Point Research descobriram que a Samsung nem sequer pedia qualquer tipo de autenticação, pelo que bastava a um utilizador dizer que aceitava a instalação de algo que lhe chegou via SMS, e já estava. Noutros fabricantes o processo podia implicar descobrir o código IMSI (coisa que pode ser feita via alguns serviços, ou usando uma app que poderia recuperar os códigos das vítimas e enviá-los para os atacantes); ou convencer a vítima a introduzir um código PIN.

Este último caso nem seria muito problemático, e até poderia contribuir para criar uma falsa sensação de segurança entre as vítimas: primeiro recebendo um SMS a dizer "vai receber uma actualização, terá que utilizar o código "1234" para a validar"; e de seguida a configuração (maliciosa) propriamente dita.

Portanto, por via das dúvidas, recusem qualquer tipo de configuração que vos chegue via SMS. E só no caso de notarem algum problema no acesso à rede, contactem o operador para verificar se efectivamente será necessário fazer qualquer alteração nas configurações.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]