Descubren una vulnerabilidad que pone en riesgo a los usuarios de smartphones Android
- Actualidad
Se trata de un fallo de seguridad que provoca que los teléfonos inteligentes Android de marcas como Samsung, Huawei, LG y Sony, sean vulnerables a ataques avanzados de phishing por SMS. La vulnerabilidad, catalogada como crítica, ha sido descubierta por el equipo de investigadores de Check Point.
Check Point ha informado de una fallo de seguridad “en smartphones Android como Samsung, Huawei, LG y Sony y otros dispositivos” con este sistema operativo que deja a los usuarios vulnerables frente a potenciales ataques avanzados de phishing.
Los teléfonos Android afectados utilizan aprovisionamiento por vía aérea (OTA) a través del cual los operadores de redes móviles pueden desplegar configuraciones específicas de red en cada nuevo teléfono que se une a su red. Check Point Research descubrió que el protocolo estándar del sector para el aprovisionamiento OTA, el Open Mobile Alliance Client Provisioning (OMA CP), incluye métodos de autenticación limitados.
Esto lleva a que un ciberdelincuente pueda, de forma remota, suplantar la identidad de cualquier operador de red y enviar falsos mensajes OMA CP a los usuarios, con el objetivo de engañarles para que acepten configuraciones maliciosas que, por ejemplo, enrutan su tráfico de Internet a través de un servidor proxy propiedad del hacker.
Según sus investigadores, ciertos modelos de la marca Samsung son los más vulnerables a esta forma de ataque de phishing porque no tienen un control de autenticidad para los remitentes de mensajes OMA CP. “El usuario sólo necesita aceptar el CP y el software malicioso se instalará sin que el remitente tenga que probar su identidad”, explican.
Los dispositivos de marcas como Huawei, LG y Sony sí tienen una forma de autenticación, pero los hackers sólo necesitan el código de identificación único para cada dispositivo de telefonía móvil integrado en la tarjeta SIM (International Mobile Subscriber Identity, IMSI) del destinatario para confirmar su identidad. Un cibercriminal puede obtener este código de varias maneras, ya sea creando una aplicación Android no autorizada que lee el IMSI de un teléfono una vez instalada, o enviando al usuario un mensaje de texto haciéndose pasar por el operador de red y pidiéndole que acepte un mensaje OMA CP protegido por un pin. De esta forma, si el usuario introduce el número PIN proporcionado y acepta el mensaje OMA CP, el CP puede instalarse sin un IMSI.
Check Point compartió en marzo sus hallazgos con los distintos proveedores afectados. Samsung incluyó una solución para este flujo de phishing en su versión de mantenimiento de seguridad de mayo (SVE-2019-14073), LG lanzó su solución en julio (LVE-SMP-190006), y Huawei planea incluir soluciones de interfaz de usuario para OMA CP en la próxima generación de smartphones de la serie Mate o de la serie P. Sony, por su parte, se negó a reconocer la vulnerabilidad, afirmando que sus dispositivos siguen la especificación OMA CP.
Estas vulnerabilidades encontradas ponen de manifiesto la falta de seguridad de los dispositivos móviles, por lo que Check Point insiste en la necesidad de implantar en los smartphones soluciones de seguridad que aumenten los niveles de protección.
