Masz telefon z Androidem? Możesz paść ofiarą hakerów - Wiadomości z Polski i Świata

Izraelska firma Check Point Security ujawniła, że posiadacze telefonów z Androidem mogą z łatwością paść ofiarą ataku hakerskiego w którym hakerzy zyskają dostęp do np. ich maili. Na szczęście można się w prosty sposób przed nim zabezpieczyć.

Android to najpopularniejszy na świecie system operacyjny dla telefonów, tabletów itp. Szacuje się, że korzysta z niego ponad 2,5 miliarda osób. CPS odkryła, że ma jedną istotną wadę, którą hakerzy mogą wykorzystać do tzw. phishingu czyli zdobywania cudzych haseł, dostępu do maili itp.

Niebezpieczeństwo jest związane z wiadomościami konfiguracyjnymi OTA, wysyłanymi przez np. operatorów sieci do nowych klientów czy przez właścicieli firm mających własne serwery e-mail. Android używa w tym celu tzw. OMA CP, który został ostatnio uaktualniony w 2009 roku.

CPS odkryła, że OMA CP ma bardzo słabe zabezpieczenia potwierdzające tożsamość użytkownika, który wysyła wiadomość konfiguracyjną. Może to oznaczać, że haker wykorzysta tą lukę i wyśle fałszywą wiadomość. Użytkownik, który nie zauważy, że ta wiadomość nie pochodzi od jego operatora, może ją zaakceptować. Dzięki temu haker będzie mógł bez jego wiedzy np. uzyskać dostęp do jego skrzynki mailowej czy historii wyszukiwania.
Do przeprowadzenia takiego ataku nie potrzeba wiele. Haker, oprócz potrzebnej wiedzy – którą bez problemu można odnaleźć w internecie – potrzebuje jedynie modemu GSM i dostępnego w sklepach oprogramowania.

Według CPS najbardziej narażone na tego typu ataki są telefony produkcji Samsunga, które nie weryfikują przychodzących wiadomości konfiguracyjnych. Telefony innych firm stosują zabezpieczenia, ale eksperci podkreślają, że mogą one być dla zdolnego hakera jedynie pewnym utrudnieniem a nie przeszkodą nie do pokonania.

Na szczęście przed atakiem łatwo się zabezpieczyć. CPS odkryła to zagrożenie już w marcu i przed poinformowaniem o nim mediów zwróciła się bezpośrednio do producentów telefonów. Samsung i LG już wprowadzili odpowiednie zabezpieczenia w najnowszych aktualizacjach (SVE-2019-14073 w wypadku Samsunga i LVE-SMP-190006 w wypadku LG), więc w ich wypadku wystarczy je zainstalować, o ile nie zostały zainstalowane automatycznie. Huawei ogłosiło, że wprowadzi zabezpieczenia w nowej generacji swoich smartfonów serii Mate i P.

Profilaktycznie, nawet w wypadku posiadania telefonu po aktualizacjach, lepiej podchodzić z ostrożnością do wiadomości konfiguracyjnych od operatora i w razie wątpliwości potwierdzać ich autentyczność.

CPS poinformowała również, że pracuje z Open Mobile Alliance, organizacją ustalającą normy dla przemysłu telekomunikacyjnego, aby stworzyć bardziej systemowe rozwiązanie tego problemu. Twierdzą, że OMA jest chętna do współpracy, ale mimo tego proces ten może trochę potrwać.