Check Point Software Technologies, en af verdens førende leverandører af cybersikkerhed, har opdaget en ny sikkerhedsbrist, der gør brugere af Android smartphones sårbar overfor SMS-phishingangreb. Sikkerhedsfejlen kan potentielt have ramt alle, der benytter en Android smartphone fra mærker som Samsung, Huawei, LG og Sony. Phishingangreb er, når hackere forsøger at narre godtroende internetbrugere til at frigive deres brugernavn, adgangskode, kreditkort eller netbanksoplysninger, fx i form af sms'er og mails.

De berørte Android telefoner bruger over-the-air (OTA), hvorigennem mobilnetværksoperatører kan distribuere netværksspecifikke indstillinger til en ny telefon, der slutter sig til deres netværk. Check Point Research fandt imidlertid ud af, at industristandarden for OTA, Open Mobile Alliance Client Provisioning (OMA CP), indeholder begrænsede godkendelsesmetoder. Ondsindede fjernagenter kan udnytte dette til at fremstå som netværksoperatører, og sende vildledende OMA CP-meddelelser til brugere. Meddelelsen narrer herigennem brugere til at acceptere ondsindede indstillinger, der for eksempel dirigerer deres internettrafik gennem en proxyserver, der er ejet af en hacker.

Forskere fra Check Point konstaterede, at visse Samsung telefoner er mest sårbare over for denne form for SMS-phishingangreb, idet de ikke har en godkendelsesproces, der afgør om afsenderen af OMA CP-meddelelserne er ægte. Brugeren behøver kun at acceptere CP-meddelelserne, hvorefter den ondsindede software bliver installeret.

Huawei, LG og Sony telefoner har, modsat Samsung, en form for godkendelsesproces. Den kan dog let omgås af hackere, idet hackeren kun har brug for brugerens internationale mobilabonnentsidentitet (IMSI), for at få bekræftet deres identitet og derved omgå godkendelsesprocessen. Hackerne kan tilgå en brugers IMSI på flere forskellige måder, herunder oprette en Android-app, der læser telefonens IMSI, når den er installeret. Hackerne kan ligeledes omgå behovet for en IMSI ved at sende brugeren en tekstmeddelelse, der fremstår som værende fra brugerens netværksoperatør, hvor de beder modtageren om at acceptere en pin-beskyttet OMA CP-meddelelse. Hvis brugeren derefter indtaster det angivne PIN-nummer og accepterer OMA CP-meddelelsen, kan CP'en installeres uden en IMSI.

"Taget populariteten af Android telefoner i betragtning, så er dette en kritisk sårbarhed, der skal løses" sagde Slava Makkaveev, sikkerhedsforsker hos Check Point Software Technologies. "Uden en stærkere form for godkendelsesproces er det for let for en hacker at starte et SMS-phishingangreb gennem OTA. Når brugeren modtager en OMA CP-meddelelse, kan de på ingen måde skelne mellem, om den kommer fra en betroet eller en ondsindet kilde. Ved at klikke på "Accepter" kunne de meget vel lade en hacker komme ind på deres telefon."

Forskerne afslørede deres research til de berørte leverandører i marts. Samsung implementerede en rettelse, der adresserede denne type angreb i deres sikkerhedsudgivelse for maj (SVE-2019-14073), LG frigav deres løsning i juli (LVE-SMP-190006), og Huawei planlægger at inkludere UI-rettelser til OMA CP i næste generation af deres Mate-serie eller P-serie smartphones. Sony nægtede at anerkende sårbarheden og oplyste, at deres enheder følger OMA CP-specifikationen.