Se ha descubierto una falla de seguridad en Samsung, LG, Sony, Huawei y otros teléfonos inteligentes Android que deja a los usuarios vulnerables a ataques avanzados de phishing de SMS, dijo el jueves Check Point Research, el brazo de inteligencia de amenazas de la firma de ciberseguridad Check Point Software Technologies Ltd.
Los investigadores de la firma de ciberseguridad dijeron que ciertos teléfonos Samsung son los más vulnerables a esta forma de ataque de phishing porque no tienen una verificación de autenticidad para los remitentes de mensajes de aprovisionamiento de clientes de Open Mobile Alliance (OMA CP).
"Dada la popularidad de los dispositivos Android, esta es una vulnerabilidad crítica que debe abordarse. Sin una forma más fuerte de autenticación, es fácil para un agente malintencionado lanzar un ataque de phishing a través del aprovisionamiento por aire (OTA).
"Cuando el usuario recibe un mensaje OMA CP, no tiene forma de discernir si proviene de una fuente confiable. Al hacer clic en 'aceptar', podría muy bien dejar que un atacante entre en su teléfono", Slava Makkaveev, investigador de seguridad, Verificar Point Software Technologies, dijo
Los teléfonos Android afectados usan el aprovisionamiento OTA, a través del cual los operadores de redes celulares pueden implementar configuraciones específicas de la red en un nuevo teléfono que se une a su red.
Sin embargo, los investigadores de Check Point descubrieron que el estándar de la industria para el aprovisionamiento de OTA: el OMA CP, incluye métodos de autenticación limitados y los agentes remotos pueden explotar esto para hacerse pasar por operadores de red y enviar mensajes engañosos de OMA CP a los usuarios.
El mensaje engaña a los usuarios para que acepten configuraciones maliciosas que enrutan su tráfico de Internet a través de un servidor proxy propiedad del hacker.
Los hallazgos fueron revelados a los vendedores afectados en marzo; Samsung incluyó una solución que solucionó esta falla de phishing en su versión de mantenimiento de seguridad para mayo (SVE-2019-14073), LG lanzó su solución en julio (LVE-SMP-190006) y Huawei planea incluir soluciones de UI para OMA CP en el próxima generación de teléfonos inteligentes de la serie Mate o serie P.
Sin embargo, Sony se negó a reconocer la vulnerabilidad, afirmando que sus dispositivos siguen la especificación OMA CP.
<! –
->