Ny sikkerhedsbrist gør din smartphone sårbar overfor SMS-phishingangreb

IT-sikkerhedsfirma har fundet ny sikkerhedsbrist, der gør din smartphone sårbar overfor SMS-phishingangreb. Sårbarheden rammer brugere af smartphones fra blandt andet Samsung, Huawei, LG og Sony

Check Point Software Technologies har opdaget en ny sikkerhedsbrist, der gør brugere af Android smartphones sårbar overfor SMS-phishingangreb. Sikkerhedsfejlen kan potentielt have ramt alle, der benytter en Android smartphone fra mærker som Samsung, Huawei, LG og Sony.

Phishingangreb er, når hackere forsøger at narre godtroende internetbrugere til at frigive deres brugernavn, adgangskode, kreditkort eller netbanksoplysninger, fx i form af sms’er og mails.

De berørte Android telefoner bruger over-the-air (OTA), hvorigennem mobilnetværksoperatører kan distribuere netværksspecifikke indstillinger til en ny telefon, der slutter sig til deres netværk. Check Point Research fandt imidlertid ud af, at industristandarden for OTA, Open Mobile Alliance Client Provisioning (OMA CP), indeholder begrænsede godkendelsesmetoder.

Ondsindede hackere kan udnytte dette til at fremstå som netværksoperatører, og sende vildledende OMA CP-meddelelser til brugere. Meddelelsen narrer herigennem brugere til at acceptere ondsindede indstillinger, der for eksempel dirigerer deres internettrafik gennem en proxyserver, der er ejet af en hacker.

Forskere fra Check Point konstaterede, at visse Samsung telefoner er mest sårbare over for denne form for SMS-phishingangreb, idet de ikke har en godkendelsesproces, der afgør om afsenderen af OMA CP-meddelelserne er ægte. Brugeren behøver kun at acceptere CP-meddelelserne, hvorefter den ondsindede software bliver installeret.

Huawei, LG og Sony telefoner har, modsat Samsung, en form for godkendelsesproces. Den kan dog let omgås af hackere, idet hackeren kun har brug for brugerens internationale mobilabonnentsidentitet (IMSI), for at få bekræftet deres identitet og derved omgå godkendelsesprocessen.

Hackerne kan tilgå en brugers IMSI på flere forskellige måder, herunder oprette en Android-app, der læser telefonens IMSI, når den er installeret. Hackerne kan ligeledes omgå behovet for en IMSI ved at sende brugeren en tekstmeddelelse, der fremstår som værende fra brugerens netværksoperatør, hvor de beder modtageren om at acceptere en pin-beskyttet OMA CP-meddelelse. Hvis brugeren derefter indtaster det angivne PIN-nummer og accepterer OMA CP-meddelelsen, kan CP’en installeres uden en IMSI.

“Taget populariteten af Android telefoner i betragtning, så er dette en kritisk sårbarhed, der skal løses” sagde Slava Makkaveev, sikkerhedsforsker hos Check Point Software Technologies.

“Uden en stærkere form for godkendelsesproces er det for let for en hacker at starte et SMS-phishingangreb gennem OTA. Når brugeren modtager en OMA CP-meddelelse, kan de på ingen måde skelne mellem, om den kommer fra en betroet eller en ondsindet kilde. Ved at klikke på “Accepter” kunne de meget vel lade en hacker komme ind på deres telefon.”

Forskerne afslørede deres research til de berørte leverandører i marts. Samsung implementerede en rettelse, der adresserede denne type angreb i deres sikkerhedsudgivelse for maj (SVE-2019-14073), LG frigav deres løsning i juli (LVE-SMP-190006), og Huawei planlægger at inkludere UI-rettelser til OMA CP i næste generation af deres Mate-serie eller P-serie smartphones. Sony nægtede at anerkende sårbarheden og oplyste, at deres enheder følger OMA CP-specifikationen.

Del artiklen på

Om Lars Bennetzen (2464 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?

Tilmeld dig vores nyhedsbrev

Hvis du ikke allerede får vores nyhedsbrev, har du her muligheden for at tilmelde dig.

Vi udsender 1 gang om ugen, så vi kommer ikke til at spamme din mailboks.

Vi holder dine data private, og deler dem ikke med tredjepart