Home / A la une / Une simple faille Android a laissé un milliard de téléphones ouverts aux attaques par phishing

Une simple faille Android a laissé un milliard de téléphones ouverts aux attaques par phishing

À ce stade, vous avez appris ce que sont les attaques de phishing: méfiez-vous des e-mails mal écrits jonchés de fautes de frappe, ne cliquez pas sur les liens suspects et vérifiez le domaine depuis lequel un message a été envoyé.

Mais les attaques de phishing ne se limitent pas aux e-mails – il y a eu également une inondation de comptes Google Agenda. être frappé avec des messages de spam. Maintenant, les chercheurs ont découvert une faille qui, si elle était exploitée par des pirates informatiques, aurait complètement renversé le concept d'attaques de phishing.

Les chercheurs en sécurité de Check Point ont découvert un problème avec les appareils Android qui pourrait permettre aux pirates potentiels d'envoyer de faux messages qui semblaient provenir de fournisseurs de réseau. Le problème concernait les téléphones Android de Samsung, Huawei, LG et Sony.

Les chercheurs ont expliqué que leurs recherches de validation avaient fonctionné sur les téléphones Huawei P10, LG G6, Sony Xperia XZ Premium et Samsung, y compris le S9, lorsqu’ils l’avaient testée. Ils disent que le problème peut avoir touché jusqu'à la moitié des téléphones Android. Il y a plus de 2,5 milliards Les appareils Android utilisés dans le monde entier.

"Il ne lui faut qu'un dongle USB bon marché avec une carte SIM", déclare Slava Makkaveev, chercheur en sécurité à Check Point, qui était à l'origine du travail. "Il existe de nombreux outils logiciels disponibles gratuitement pour générer des SMS de configuration client. C’est suffisant pour envoyer des SMS spécialement conçus et attaquer un téléphone n’importe où dans le monde."

En raison d'une faiblesse dans un processus appelé approvisionnement OTA (Over-the-Air), les chercheurs ont pu envoyer des notifications aux téléphones leur indiquant que de nouveaux paramètres réseau devaient être installés. L'approvisionnement en direct (OTA) est un moyen de télécharger et d'installer du contenu sur un réseau sans fil. Les opérateurs de téléphonie mobile utilisent généralement la technique pour appliquer des modifications aux messages MMS, aux adresses proxy et aux serveurs afin de mettre à jour les e-mails et de synchroniser les contacts et les calendriers.

Les mises à jour envoyées via le provisioning OTA sont fréquemment distribuées à l'aide d'une norme appelée OMA CP (Open Client Alliance Client Provisioning). La norme est régie par l'Open Mobile Alliance – un forum d'entreprises du secteur des télécommunications mobiles qui décident de certaines des normes sous-jacentes utilisées par les réseaux. Selon son site internet le PC OMA est dans la version 1.1.

«Le principal cas d’utilisation original de la fourniture par l’OTA consiste à déployer des paramètres spécifiques à l’opérateur, tels que l’adresse du centre de service MMS de l’opérateur», écrivent les chercheurs en sécurité de Check Point, Makkaveev et Artyom Skrobov, dans un court document de recherche. "Les entreprises utilisent également cette fonctionnalité pour déployer des paramètres tels que les adresses de serveur de messagerie sur les périphériques des employés."

L'attaque était résolument simple. Pour envoyer des messages demandant des modifications des paramètres réseau, il suffit d’un modem GSM. Il peut s’agir d’un téléphone configuré en mode modem ou d’une version à clé USB, qui peut coûter aussi peu que 10 $ (8 £).

Une fois configuré, le modem est utilisé pour envoyer des messages SMS et un script est utilisé pour composer le message OMA CP. Une fenêtre contextuelle apparaît sur l'écran du téléphone pour indiquer que les paramètres doivent être installés. Les utilisateurs auraient deux choix: installer ou annuler. Les invites émises par OTA Provisioning sont celles auxquelles un utilisateur de téléphone est susceptible de faire confiance – elles ressemblent à des mises à jour régulières des paramètres de périphérique – et permettent de cliquer rapidement sur installer.

En installant les "mises à jour", les paramètres pourraient être modifiés pour permettre l'accès aux courriels, messages et paramètres d'un téléphone, indiquent les chercheurs de Check Point. "Les messages de PC de phishing peuvent être ciblés avec précision, par exemple précédés d'un message texte personnalisé conçu pour tromper un destinataire particulier, ou envoyés en vrac, en supposant qu'au moins certains des destinataires soient suffisamment crédules pour accepter un PC sans remettre en cause son authenticité ", Disent Skrobov et Makkaveev.

Sur les téléphones Samsung, les chercheurs pourraient envoyer des messages de mise à jour aux téléphones sans qu'aucune authentification soit nécessaire. Pour que d'autres téléphones soient ciblés, des attaquants potentiels auraient un autre obstacle à surmonter: certains messages OMA CP nécessitent un code PIN pour permettre la modification des paramètres. Les chercheurs disent que cela pourrait être contourné en envoyant un faux message qui semble provenir d’un opérateur réseau et qui contient un code PIN pour une prochaine mise à jour.

Dans quelle mesure le problème pouvait-il être exploité par des pirates informatiques à l'état sauvage? Jusqu'à présent, les entreprises de sécurité ou les utilisateurs du système de sécurité n'ont signalé aucun message de provisioning OTA, ce qui signifie qu'il est peu probable qu'il ait été utilisé. Et maintenant, les fabricants de téléphones ont mis à jour leurs systèmes pour exiger une plus grande approbation de la part des utilisateurs lorsque les paramètres réseau doivent être modifiés.

Check Point a déclaré avoir informé le fabricant du téléphone de son problème en mars et que la plupart des entreprises ont désormais mis en place un correctif. Le correctif de sécurité Samsung SVE-2019-14073 en mai a réglé le problème, de même que le LVE-SMP-190006 de LG en juillet.

La société a annoncé que Huawei incluait des correctifs dans ses prochains smartphones Mate et P – le téléphone Mate 30, qui n'inclura pas les services de Google, devrait sortir le 19 septembre. Seul Sony n'a pas corrigé la faille du code, Point de contrôle dit. Nous avons sollicité les commentaires de toutes les entreprises concernées et mettrons à jour cette histoire lorsque nous en entendrons davantage.

Plus de belles histoires de WIRED

🍔 Un chef de classe mondiale évalue le meilleurs hamburgers végétaliens au Royaume-Uni

😡 TikTok alimente l'Inde épidémie mortelle de discours de haine

Les aliments dont vous aurez vraiment besoin stocks pour le Brexit sans accord

♻️ La vérité derrière le Royaume-Uni les plus grands mythes sur le recyclage

🤷🏼 Comment est Internet toujours obsédé par Myers-Briggs?

📧 Obtenez le meilleures offres technologiques et nouvelles gadgets dans votre boîte de réception

Source

About admin

Check Also

Une heure de code enseignera aux enfants comment utiliser l'IA pour juger qui est «génial» ou non

theodp écrit: En 2003, le PDG de Facebook, Mark Zuckerberg, a fait face à l'expulsion …

Laisser un commentaire