Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

MINACCE MOBILE

Phishing via SMS, così gli hacker prendono il controllo degli smartphone Android: che c’è da sapere

Gli smartphone Android prodotti da Samsung, Huawei, LG e Sony sono affetti da una vulnerabilità che li espone ad un attacco di tipo phishing via SMS, consentendo ad un attaccante remoto di modificare le impostazioni del dispositivo per dirottarne il traffico di rete. Ecco i dettagli e i consigli per difendersi

05 Set 2019

Paolo Tarsitano


Gli smartphone Android prodotti da Samsung, Huawei, LG, Sony e da altri produttori sono affetti fa una grave vulnerabilità che li espone ai più evoluti attacchi di tipo phishing via SMS (o smishing).

Sfruttando questa falla, un attaccante remoto è in grado di modificare le impostazioni di sicurezza del dispositivo target mediante il semplice invio di un messaggio di autoconfigurazione opportunamente modificato.

Phishing via SMS: i dettagli della vulnerabilità

A scoprire questa grave vulnerabilità sono stati i ricercatori di Check Point secondo i quali la debolezza degli smartphone affetti dalla vulnerabilità risiede nel modulo di aggiornamento Over-the-Air (OTA) utilizzato dagli operatori di rete per impostare automaticamente le specifiche di rete dei nuovi telefonini che entrano a far parte del loro network.

In particolare, gli operatori mobili possono inviare messaggi a un terminale client tramite il protocollo Open Mobile Alliance Client Provisioning (OMA CP) che utilizza la comunicazione via etere (OTA) e richiede un’interazione minima da parte del destinatario.

Il protocollo, però, contiene metodi di autenticazione limitata che di fatto consentono ai criminal hacker di sfruttare la debolezza per inviare finte notifiche dell’operatore di telefonia mobile e indurre così gli utenti ad accettare quella che sembra una configurazione specifica della rete. In questo modo l’attaccante riesce a instradare il traffico di rete del dispositivo target verso un proxy dannoso.

I ricercatori Check Point hanno stabilito che alcuni cellulari Samsung sono i più vulnerabili a questa forma di attacco phishing via SMS perché non hanno un controllo di autenticità per i mittenti di messaggi OMA CP. L’utente deve solo accettare il CP e il software dannoso verrà installato senza che il mittente debba dimostrare la propria identità.

I cellulari Huawei, LG e Sony, invece, hanno una forma di autenticazione, ma gli hacker hanno bisogno solo dell’International Mobile Subscriber Identity (IMSI, è il codice univoco che viene associato a tutte le utenze di telefonia mobile) del destinatario per “confermare” la propria identità.

I criminal hacker possono ottenere l’IMSI di una vittima in vari modi, inclusa la creazione di un’apposita app Android malevola che, una volta installata, è in grado di leggere l’IMSI del telefono dopo avere ottenuto il permesso di accesso al processo READ_PHONE_STATE.

L’hacker può anche aggirare la necessità di un IMSI inviando all’utente, mediante phishing via SMS, un messaggio di testo come se fosse un operatore di rete e chiedendogli di accettare un messaggio OMA CP protetto da PIN. Se l’utente inserisce il numero PIN fornito e accetta il messaggio OMA CP, il CP può essere installato senza IMSI.

Phishing via SMS: come funziona l’attacco

Per portare a termine un attacco di tipo phishing via SMS, ai criminal hacker basta un modem GSM (acquistabile su Internet a circa 10 dollari) o un telefono in modalità modem per inviare messaggi binari, oltre ad un semplice script per comporre e inviare il messaggio OMA CP al telefono della vittima.

Una volta ottenuto l’accesso allo smartphone della vittima, l’attaccante può sfruttare i messaggi di provisioning OTA per modificare le seguenti impostazioni del telefono:

  • indirizzo del proxy
  • home page del browser e segnalibri
  • server di posta elettronica
  • server dei messaggi MMS
  • directory del server per la sincronizzazione di contatti e calendario

I consigli per difendersi

Secondo Gabriele Faggioli, AD di P4I, presidente del Clusit e responsabile scientifico dell’Osservatorio Security&Privacy del Politecnico di Milano, “la falla è grave e per l’utente privato l’unica soluzione sarebbe non accettare aggiornamenti dall’operatore, opzione poco praticabile e comunque sconsigliata”.

“Le aziende possono dotarsi di prodotti per proteggersi da attacchi simili, ma sono prodotti destinati più spesso alla fascia Enterprise che alle PMI”, continua l’analista che ci ricorda, una volta di più, “quanto possono essere vulnerabili i nostri dispositivi mobili, quanto possano essere critici i dati che ci conserviamo e quindi quanta attenzione vada posta alla strategia di loro tutela”.

I ricercatori Check Point hanno trasmesso quanto emerso ai diretti interessati lo scorso mese di marzo e nel frattempo i produttori sono intervenuti rilasciando aggiornamenti software per i loro dispositivi.

In particolare, Samsung ha aggiunto una patch per risolvere questo problema nella propria Security Maintenance Release di maggio (SVE-2019-14073), mentre LG ha rilasciato la patch a luglio (LVE-SMP-190006).

Huawei, invece, sta progettando di includere le correzioni dell’interfaccia utente per OMA CP nella prossima generazione di smartphone della serie Mate o della serie P.

Sony, infine, ha rifiutato di riconoscere la vulnerabilità, affermando che i loro dispositivi seguono le specifiche OMA CP.

È dunque importantissimo procedere immediatamente all’aggiornamento del proprio dispositivo, soprattutto se utilizzato in ambito aziendale e produttivo.

“Data la diffusione dei dispositivi Android, questa vulnerabilità è davvero critica e deve essere affrontata subito”, ha dichiarato Slava Makkaveev, Security Researcher di Check Point Software Technologies. “Senza una forma di autenticazione più forte, è facile per un hacker lanciare un attacco phishing via SMS attraverso il provisioning Over-the-Air. Quando l’utente riceve un messaggio OMA CP, non è in grado di capire se proviene da una fonte affidabile. Facendo clic su “Accetta”, potrebbe benissimo far entrare un criminale informatico nel proprio telefono”. Con conseguenze facilmente immaginabili.

Oltre all’aggiornamento del proprio dispositivo è poi opportuno adottare anche alcune buone regole di sicurezza informatica.

Così come per il phishing via e-mail, occorre tenere sempre alta l’attenzione e diffidare di tutti i messaggi che riceviamo sul telefonino e che ci invitano ad accettare e applicare una nuova configurazione del dispositivo.

Abbiamo visto, inoltre, che con un attacco di tipo phishing via SMS i criminal hacker mirano a modificare l’indirizzo del proxy per dirottare il traffico di rete generato dallo smartphone della vittima verso un server di loro proprietà: è dunque utile verificare periodicamente, nelle impostazioni di rete del dispositivo, che il proxy configurato sia effettivamente quello del nostro operatore di telefonia mobile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5