Erweiterte SMS-Phishing-Angriffe auf Android-Smartphones: Check Point

Erweiterte SMS-Phishing-Angriffe auf Android-Smartphones: Check Point

Check Point Research, ein Cyber-Sicherheitsunternehmen, Check Point Software Technologies Ltd., sagte am Donnerstag, dass eine SicherheitslĂŒcke in Samsung, LG, Sony, Huawei und anderen Android-Smartphones die Benutzer anspruchsvollen SMS-Phishing-Angriffen ausgesetzt hat.

Cyber-Sicherheitsforscher stellten fest, dass einige Samsung-Telefone am anfĂ€lligsten fĂŒr diese Form von Phishing-Angriffen sind, da sie keine AuthentizitĂ€tsprĂŒfungen fĂŒr OMA CP-Nachrichtensender (Open Mobile Alliance Client Provisioning) haben.

„Angesichts der Beliebtheit von Android-GerĂ€ten ist dies eine kritische SicherheitslĂŒcke, die behoben werden muss. Ohne eine stĂ€rkere Form der Authentifizierung kann ein böswilliger Agent mithilfe der OTA-Bereitstellung problemlos einen Phishing-Angriff ausfĂŒhren.

„Sobald ein Benutzer eine OMA-CP-Nachricht erhĂ€lt, kann er nicht mehr feststellen, ob sie von einer vertrauenswĂŒrdigen Quelle stammt. Durch Klicken auf “Akzeptieren” können Sie den Angreifer in Ihr Telefon lassen “, sagte Slava Makkaveev, Sicherheitsspezialist bei Check Software Technologies, in einer ErklĂ€rung.

Dies schließt OTA-fĂ€hige Android-Telefone ein, mit denen Mobilfunknetzbetreiber netzwerkspezifische Einstellungen fĂŒr ein neues Telefon implementieren können, das ihrem Netzwerk beitritt.

Check Point-Forscher stellten jedoch fest, dass der Industriestandard fĂŒr OTA OTA CP, OMA CP, eingeschrĂ€nkte Authentifizierungsmethoden enthĂ€lt, und Remote-Agenten können dies verwenden, um sich als Netzwerkbetreiber auszugeben und irrefĂŒhrende OMA CP-Nachrichten an Benutzer zu senden.

Die Nachricht fordert Benutzer auf, böswillige Einstellungen zu akzeptieren, die ihren Internetverkehr ĂŒber den Proxyserver des Hackers leiten.

Die Ergebnisse wurden interessierten VerkĂ€ufern im MĂ€rz mitgeteilt; Samsung hat diese SicherheitsanfĂ€lligkeit in seiner Sicherheitswartungsversion vom Mai (SVE-2019-14073) behoben, LG hat im Juli einen Patch veröffentlicht (LVE-SMP-190006) und Huawei plant, UI-Korrekturen fĂŒr OMA CP in der Mate-Serie der nĂ€chsten Generation vorzunehmen oder P. Smartphones.

Sony lehnte es jedoch ab, diese SicherheitsanfÀlligkeit zu bestÀtigen, da die GerÀte der OMA CP-Spezifikation entsprechen.