Anzeige

Mobile Pishing

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd, enthüllte eine Sicherheitslücke in Samsung, Huawei, LG, Sony und anderen Android-basierten Smartphones. Die Geräte sind dadurch anfällig für fortschrittliche Phishing-Angriffe.

Die betroffenen Mobiltelefone nutzen OTA-Bereitstellung (Over-the-Air), über die Mobilfunkbetreiber netzwerkspezifische Einstellungen auf ein neues Gerät übertragen können, das ihrem Netzwerk beitritt. Check Point Research stellte jedoch fest, dass der Industriestandard für die OTA-Bereitstellung, das Open Mobile Alliance Client Provisioning (OMA CP), nur begrenzte Authentifizierungsmethoden beinhaltet. Angreifer können dies ausnutzen, um sich als Netzbetreiber auszugeben und irreführende OMA CP-Nachrichten an die Benutzer zu senden. Die Nachricht fordert die Benutzer auf, Einstellungen für ihren Netzwerkbetrieb zu akzeptieren, die aber, beispielsweise, ihren Internetverkehr über einen Proxy-Server des Hackers leiten.

Sicherheitsforscher stellten fest, dass bestimmte Samsung-Telefone für diese Form des Phishing-Angriffs am anfälligsten sind, da sie keine Authentizitätsprüfung für Absender von OMA CP-Nachrichten besitzen. Der Benutzer muss nur die Anfrage akzeptieren und der Schad-Code wird installiert, ohne dass der Absender seine Identität nachweisen muss.

Huawei, LG und Sony Telefone haben zwar eine Form der Authentifizierung an Bord, aber Hacker benötigen nur die International Mobile Subscriber Identity (IMSI) des Empfängers, um ihre Identität selbstständig zu ‚bestätigen‘. Angreifer können die IMSI eines Opfers auf verschiedene Arten erhalten, einschließlich der Erstellung einer betrügerischen Android-App, welche die IMSI eines Telefons ausliest, sobald die Anwendung installiert wurde. Der Angreifer kann sogar die Notwendigkeit einer IMSI umgehen, indem er dem Benutzer eine Textnachricht sendet, in der er sich als Netzbetreiber ausgibt und den Nutzer auffordert, eine PIN-geschützte OMA CP-Nachricht zu akzeptieren. Wenn der Benutzer dann die angegebene PIN-Nummer eingibt, kann der CP ohne IMSI installiert werden.

„Angesichts der Popularität von Android-Geräten ist dies eine kritische Schwachstelle, die behoben werden muss“, mahnt Slava Makkaveev, Security Researcher bei Check Point Software Technologies: „Ohne eine stärkere Form der Authentifizierung ist es für einen Cyber-Kriminellen einfach, einen Phishing-Angriff über eine Over-the-Air-Bereitstellung durchzuführen. Wenn der Benutzer eine OMA CP-Nachricht erhält, hat er keine Möglichkeit zu erkennen, ob sie wirklich von einer vertrauenswürdigen Quelle stammt. Wenn der Betroffene auf ‚Akzeptieren‘ drückt, könnten er unbeabsichtigt einen Angreifer in sein Handy lassen."

Im März gaben die Forscher ihre Ergebnisse an die betroffenen Anbieter weiter. Samsung hat in seinem Security Maintenance Release für Mai (SVE-2019-14073) bereits einen Fix für diesen Phishing-Flow aufgenommen, LG hat seinen Fix im Juli (LVE-SMP-190006) veröffentlicht und Huawei plant, UI-Fixes für OMA CP in die nächste Generation von Smartphones der Mate-Serie oder P-Serie aufzunehmen. Sony weigerte sich, die Schwachstelle anzuerkennen und erklärte, dass ihre Geräte der OMA CP-Spezifikation entsprechen.

https://research.checkpoint.com/    


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!