Gli smartphone Android prodotti da Samsung, Huawei, LG, Sony e da altri produttori sono affetti fa una grave vulnerabilità che li espone ai più evoluti attacchi di tipo phishing via SMS (o smishing).
Sfruttando questa falla, un attaccante remoto è in grado di modificare le impostazioni di sicurezza del dispositivo target mediante il semplice invio di un messaggio di autoconfigurazione opportunamente modificato.
Indice degli argomenti
Phishing via SMS: i dettagli della vulnerabilità
A scoprire questa grave vulnerabilità sono stati i ricercatori di Check Point secondo i quali la debolezza degli smartphone affetti dalla vulnerabilità risiede nel modulo di aggiornamento Over-the-Air (OTA) utilizzato dagli operatori di rete per impostare automaticamente le specifiche di rete dei nuovi telefonini che entrano a far parte del loro network.
In particolare, gli operatori mobili possono inviare messaggi a un terminale client tramite il protocollo Open Mobile Alliance Client Provisioning (OMA CP) che utilizza la comunicazione via etere (OTA) e richiede un’interazione minima da parte del destinatario.
I ricercatori Check Point hanno stabilito che alcuni cellulari Samsung sono i più vulnerabili a questa forma di attacco phishing via SMS perché non hanno un controllo di autenticità per i mittenti di messaggi OMA CP. L’utente deve solo accettare il CP e il software dannoso verrà installato senza che il mittente debba dimostrare la propria identità.
I cellulari Huawei, LG e Sony, invece, hanno una forma di autenticazione, ma gli hacker hanno bisogno solo dell’International Mobile Subscriber Identity (IMSI, è il codice univoco che viene associato a tutte le utenze di telefonia mobile) del destinatario per “confermare” la propria identità.
I criminal hacker possono ottenere l’IMSI di una vittima in vari modi, inclusa la creazione di un’apposita app Android malevola che, una volta installata, è in grado di leggere l’IMSI del telefono dopo avere ottenuto il permesso di accesso al processo READ_PHONE_STATE.
L’hacker può anche aggirare la necessità di un IMSI inviando all’utente, mediante phishing via SMS, un messaggio di testo come se fosse un operatore di rete e chiedendogli di accettare un messaggio OMA CP protetto da PIN. Se l’utente inserisce il numero PIN fornito e accetta il messaggio OMA CP, il CP può essere installato senza IMSI.
Phishing via SMS: come funziona l’attacco
Per portare a termine un attacco di tipo phishing via SMS, ai criminal hacker basta un modem GSM (acquistabile su Internet a circa 10 dollari) o un telefono in modalità modem per inviare messaggi binari, oltre ad un semplice script per comporre e inviare il messaggio OMA CP al telefono della vittima.
Una volta ottenuto l’accesso allo smartphone della vittima, l’attaccante può sfruttare i messaggi di provisioning OTA per modificare le seguenti impostazioni del telefono:
- indirizzo del proxy
- home page del browser e segnalibri
- server di posta elettronica
- server dei messaggi MMS
- directory del server per la sincronizzazione di contatti e calendario
I consigli per difendersi
Secondo Gabriele Faggioli, AD di P4I, presidente del Clusit e responsabile scientifico dell’Osservatorio Security&Privacy del Politecnico di Milano, “la falla è grave e per l’utente privato l’unica soluzione sarebbe non accettare aggiornamenti dall’operatore, opzione poco praticabile e comunque sconsigliata”.
“Le aziende possono dotarsi di prodotti per proteggersi da attacchi simili, ma sono prodotti destinati più spesso alla fascia Enterprise che alle PMI”, continua l’analista che ci ricorda, una volta di più, “quanto possono essere vulnerabili i nostri dispositivi mobili, quanto possano essere critici i dati che ci conserviamo e quindi quanta attenzione vada posta alla strategia di loro tutela”.
I ricercatori Check Point hanno trasmesso quanto emerso ai diretti interessati lo scorso mese di marzo e nel frattempo i produttori sono intervenuti rilasciando aggiornamenti software per i loro dispositivi.
In particolare, Samsung ha aggiunto una patch per risolvere questo problema nella propria Security Maintenance Release di maggio (SVE-2019-14073), mentre LG ha rilasciato la patch a luglio (LVE-SMP-190006).
Huawei, invece, sta progettando di includere le correzioni dell’interfaccia utente per OMA CP nella prossima generazione di smartphone della serie Mate o della serie P.
Sony, infine, ha rifiutato di riconoscere la vulnerabilità, affermando che i loro dispositivi seguono le specifiche OMA CP.
È dunque importantissimo procedere immediatamente all’aggiornamento del proprio dispositivo, soprattutto se utilizzato in ambito aziendale e produttivo.
“Data la diffusione dei dispositivi Android, questa vulnerabilità è davvero critica e deve essere affrontata subito”, ha dichiarato Slava Makkaveev, Security Researcher di Check Point Software Technologies. “Senza una forma di autenticazione più forte, è facile per un hacker lanciare un attacco phishing via SMS attraverso il provisioning Over-the-Air. Quando l’utente riceve un messaggio OMA CP, non è in grado di capire se proviene da una fonte affidabile. Facendo clic su “Accetta”, potrebbe benissimo far entrare un criminale informatico nel proprio telefono”. Con conseguenze facilmente immaginabili.
Oltre all’aggiornamento del proprio dispositivo è poi opportuno adottare anche alcune buone regole di sicurezza informatica.
Così come per il phishing via e-mail, occorre tenere sempre alta l’attenzione e diffidare di tutti i messaggi che riceviamo sul telefonino e che ci invitano ad accettare e applicare una nuova configurazione del dispositivo.
Abbiamo visto, inoltre, che con un attacco di tipo phishing via SMS i criminal hacker mirano a modificare l’indirizzo del proxy per dirottare il traffico di rete generato dallo smartphone della vittima verso un server di loro proprietà: è dunque utile verificare periodicamente, nelle impostazioni di rete del dispositivo, che il proxy configurato sia effettivamente quello del nostro operatore di telefonia mobile.
