Solo un SMS podría permitir que los atacantes remotos accedan a todos sus correos electrónicos, advierten los expertos

Noticias 24 de marzo de 2022

hackear android

¡Tener cuidado! Se puede engañar fácilmente a miles de millones de usuarios de Android para que cambien la configuración de red crítica de sus dispositivos con solo un ataque de phishing basado en SMS.

Cada vez que inserta una nueva tarjeta SIM en su teléfono y se conecta a su red celular por primera vez, el servicio de su proveedor configura automáticamente o le envía un mensaje que contiene la configuración específica de la red requerida para conectarse a los servicios de datos.

Al instalarlo manualmente en su dispositivo, ¿ha notado alguna vez qué configuraciones incluyen estos mensajes, técnicamente conocidos como mensajes OMA CP?

Bueno, créanme, la mayoría de los usuarios nunca se preocupan por si sus servicios de Internet móvil funcionan sin problemas.

Pero debe preocuparse por estas configuraciones, ya que la instalación de configuraciones que no son de confianza puede poner en riesgo la privacidad de sus datos, lo que permite a los atacantes remotos espiar sus comunicaciones de datos, dijo un equipo de investigadores de ciberseguridad a The Hacker News.

Los operadores móviles envían mensajes OMA CP (Open Mobile Alliance Client Provisioning) que contienen configuraciones de APN y otras configuraciones de dispositivos que su teléfono necesita para configurar una conexión a la puerta de enlace entre la red móvil de su operador y los servicios públicos de Internet.

Para la configuración de APN, la configuración incluye un campo opcional para configurar el proxy HTTP que puede enrutar su tráfico web a través de él, pero muchos operadores usan proxies transparentes que ni siquiera requieren que se configure este campo.

configuración de apn móvil

Además de la configuración de proxy, los mensajes de aprovisionamiento de CP de OMA también pueden incluir configuraciones para cambiar las siguientes configuraciones en el teléfono por aire (OTA):

  • servidor de mensajes MMS,
  • Dirección proxy,
  • Página de inicio y marcadores del navegador,
  • Servidor de correo,
  • Servidores de directorio para sincronizar contactos y calendario, y más.

Según un nuevo informe que Check Point compartió con The Hacker News, los mensajes de aprovisionamiento con autenticación débil implementados por algunos fabricantes de dispositivos, incluidos Samsung, Huawei, LG y Sony, pueden permitir que los piratas informáticos remotos engañen a los usuarios para que actualicen la configuración de sus dispositivos con un atacante malicioso. servidores proxy controlados.

Esto, a su vez, podría permitir a los atacantes interceptar fácilmente algunas conexiones de red que hace un dispositivo objetivo a través de su servicio de soporte de datos, incluidos los navegadores web y los clientes de correo electrónico integrados.

«Solo se necesita un único mensaje SMS para obtener acceso completo a sus correos electrónicos», dicen los investigadores.

“En estos ataques, un agente remoto puede engañar a los usuarios para que acepten nuevas configuraciones de teléfonos que, por ejemplo, enrutan todo su tráfico de Internet para robar correos electrónicos a través de un proxy controlado por el atacante”.

«Además, cualquier persona conectada a una red celular puede ser el objetivo de esta clase de ataques de phishing, lo que significa que no es necesario que esté conectado a una red Wi-Fi para que los atacantes cibernéticos extraigan maliciosamente sus datos privados de correo electrónico».

Sin embargo, al igual que en el caso de configurar un proxy para una conexión Wi-Fi, la configuración del proxy para la red de datos móviles no es utilizada por todas las aplicaciones instaladas en un dispositivo de destino. En cambio, depende de qué aplicación se haya diseñado para aceptar el proxy configurado por el usuario.

Además, el servidor proxy no podría descifrar las conexiones HTTPS; por lo tanto, esta técnica es adecuada solo para interceptar conexiones inseguras.

mensaje-opm-cp

«Esta es una clasificación completamente nueva de ataques de phishing en nuestros correos electrónicos», dijo a The Hacker News Slava Makkaveev, investigador de seguridad de Check Point. «Fue difícil clasificar la vulnerabilidad al principio porque es un problema de especificidad profundo. Es probablemente el ataque de phishing más avanzado en nuestros correos electrónicos que he visto hasta la fecha».

Volviendo a las debilidades que los investigadores de Check Point identificaron en la autenticación de los mensajes de aprovisionamiento, las especificaciones que el estándar de la industria recomienda para hacer que el aprovisionamiento de OTA sea seguro no obliga a los operadores a autenticar correctamente los mensajes de CP utilizando USERPIN, NETWPIN u otros métodos.

Como resultado, un destinatario del mensaje (usuario objetivo) no puede verificar si el mensaje OMA CP con la nueva configuración se originó en su operador de red o en un impostor, lo que deja una oportunidad para que los atacantes aprovechen esta debilidad.

«Más peligroso aún, cualquiera puede comprar un dongle USB de $ 10 [send fake OMA CP messages] y ejecutar un ataque de phishing a gran escala. No se requiere equipo especial para llevar a cabo el ataque”, explican los investigadores.

«Los mensajes de CP de phishing pueden tener un objetivo limitado, por ejemplo, precedidos por un mensaje de texto personalizado diseñado para engañar a un destinatario en particular, o enviados en masa, asumiendo que al menos algunos de los destinatarios son lo suficientemente crédulos como para aceptar un CP sin cuestionar su contenido». autenticidad».

Los investigadores informaron sus hallazgos a los proveedores de teléfonos Android afectados en marzo de 2019. Samsung y LG abordaron el problema en su versión de mantenimiento de seguridad de mayo y julio, respectivamente.

Huawei planea solucionar el problema en la próxima generación de teléfonos inteligentes de la serie Mate o la serie P, mientras que Sony se negó a reconocer el problema y afirmó que sus dispositivos móviles siguen la especificación OMA CP.

Incluso después de recibir los parches, los investigadores recomendaron a los usuarios que no confiaran ciegamente en los mensajes de sus operadores de telefonía móvil o en las configuraciones de APN disponibles en Internet que afirman ayudar a los usuarios con la resolución de problemas en los servicios del operador de datos.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested