Check Point Research révèle une faille de sécurité qui rend les smartphones Android vulnérables aux attaques d’hameçonnage SMS évoluées
Publié le 05/09/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Zaventem - Check Point Research, la division Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un fournisseur majeur de solutions de cyber-sécurité sur la scène internationale, révèle un faille de sécurité touchant les téléphones Samsung, Huawei, LG, Sony et d’autres smartphones Android. Cette faille rend les utilisateurs vulnérables à des attaques d’hameçonnage sophistiquées.
Les téléphones Android concernés ont recours à un processus de configuration de services sans-fil (OTA - over-the-air) grâce auquel les opérateurs de réseaux mobiles peuvent déployer des paramètres spécifiques à leur réseau sur tout nouveau téléphone se connectant à leur réseau. Check Point Research a découvert que la norme sectorielle de configuration fonctionnelle OTA - à savoir, la Open Mobile Alliance Client Provisioning (OMA CP) - met en oeuvre des méthodes d’authentification restreintes. Des agents opérant à distance peuvent exploiter cette faiblesse afin de se faire passer pour des opérateurs réseau et envoyer des messages OMA CP trompeurs aux utilisateurs. Le message pousse les utilisateurs à accepter des configurations malveillantes qui font par exemple transiter leur trafic Internet par un serveur proxy appartenant au pirate.
Les chercheurs ont établi que certains téléphones Samsung sont les plus exposés à ce type d’attaque par hameçonnage parce qu’ils n’appliquent pas un contrôle d’authenticité pour les expéditeurs de messages OMA CP. Il suffit à l’utilisateur d’accepter le message CP pour que le logiciel malveillant s’installe sans que l’expéditeur ne doive apporter la preuve de son identité.
Les téléphones Huawei, LG et Sony disposent d’une certaine forme d’authentification mais les pirates ont uniquement besoin de l’identité IMISI (International Mobile Subscriber Identity) du destinataire pour “confirmer” leur identité. Les auteurs d’attaques peuvent obtenir l’iMSI de la victime de diverses manières, en ce compris en créant une appli Android corruptrice qui lit l’IMSI du téléphone une fois qu’elle s’est installée. L’auteur de l’attaque peut également contourner l’obligation d’IMSI en envoyant un message textuel à l’utilisateur en se faisant passer pour l’opérateur réseau et en demandant au destinataire d’accepter un message OMA CP protégé par identifiant. Si l’utilisateur encode le numéro PIN fourni et accepte le message OMA CP, le CP peut s’installer sans IMSI.
« La popularité des appareils Android implique qu’il s’agit là d’une vulnérabilité critique à laquelle il faut apporter une réponse », déclare Slava Makkaveev, chercheur en sécurité chez Check Point Software Technologies. « Sans une forme plus robuste d’authentification, il est facile à un agent malveillant de lancer une attaque d’hameçonnage par le biais de ce canal de configuration sans-fil. Lorsque l’utilisateur reçoit un message OMA CP, il n’a aucun moyen de déterminer si sa source est fiable. En cliquant sur “accepter”, il pourrait fort bien laisser l’intrus pénétrer dans son téléphone. »
Les chercheurs ont communiqué leurs constatations aux sociétés concernées au mois de mars. Samsung a depuis lors inclus un correctif résolvant cette faille d’hameçonnage dans sa version de maintenance de sécurité du mois de mai (SVE-2019-14073), LG a publié son propre correctif en juillet (LVE-SMP-190006), et Huawei prévoit d’inclure des correctifs UI pour OMA CP dans la prochaine génération de ses gammes de smartphones P et Mate. Sony a refusé de reconnaître la vulnérabilité, déclarant que ses appareils sont conformes à la spécification OMA CP.
Check Point SandBlast Mobile évite les attaques d’hameçonnage ou de type “intermédiaire” (Man-in-the-Middle) afin d’aider les dispositifs à se prémunir contre de tels messages OMA CP malveillants. Pour en savoir plus, veuillez visiter le site https://www.checkpoint.com/products/mobile-security/
Pour toute information complémentaire au sujet de ces recherches, visitez notre blog:
https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones
Les téléphones Android concernés ont recours à un processus de configuration de services sans-fil (OTA - over-the-air) grâce auquel les opérateurs de réseaux mobiles peuvent déployer des paramètres spécifiques à leur réseau sur tout nouveau téléphone se connectant à leur réseau. Check Point Research a découvert que la norme sectorielle de configuration fonctionnelle OTA - à savoir, la Open Mobile Alliance Client Provisioning (OMA CP) - met en oeuvre des méthodes d’authentification restreintes. Des agents opérant à distance peuvent exploiter cette faiblesse afin de se faire passer pour des opérateurs réseau et envoyer des messages OMA CP trompeurs aux utilisateurs. Le message pousse les utilisateurs à accepter des configurations malveillantes qui font par exemple transiter leur trafic Internet par un serveur proxy appartenant au pirate.
Les chercheurs ont établi que certains téléphones Samsung sont les plus exposés à ce type d’attaque par hameçonnage parce qu’ils n’appliquent pas un contrôle d’authenticité pour les expéditeurs de messages OMA CP. Il suffit à l’utilisateur d’accepter le message CP pour que le logiciel malveillant s’installe sans que l’expéditeur ne doive apporter la preuve de son identité.
Les téléphones Huawei, LG et Sony disposent d’une certaine forme d’authentification mais les pirates ont uniquement besoin de l’identité IMISI (International Mobile Subscriber Identity) du destinataire pour “confirmer” leur identité. Les auteurs d’attaques peuvent obtenir l’iMSI de la victime de diverses manières, en ce compris en créant une appli Android corruptrice qui lit l’IMSI du téléphone une fois qu’elle s’est installée. L’auteur de l’attaque peut également contourner l’obligation d’IMSI en envoyant un message textuel à l’utilisateur en se faisant passer pour l’opérateur réseau et en demandant au destinataire d’accepter un message OMA CP protégé par identifiant. Si l’utilisateur encode le numéro PIN fourni et accepte le message OMA CP, le CP peut s’installer sans IMSI.
« La popularité des appareils Android implique qu’il s’agit là d’une vulnérabilité critique à laquelle il faut apporter une réponse », déclare Slava Makkaveev, chercheur en sécurité chez Check Point Software Technologies. « Sans une forme plus robuste d’authentification, il est facile à un agent malveillant de lancer une attaque d’hameçonnage par le biais de ce canal de configuration sans-fil. Lorsque l’utilisateur reçoit un message OMA CP, il n’a aucun moyen de déterminer si sa source est fiable. En cliquant sur “accepter”, il pourrait fort bien laisser l’intrus pénétrer dans son téléphone. »
Les chercheurs ont communiqué leurs constatations aux sociétés concernées au mois de mars. Samsung a depuis lors inclus un correctif résolvant cette faille d’hameçonnage dans sa version de maintenance de sécurité du mois de mai (SVE-2019-14073), LG a publié son propre correctif en juillet (LVE-SMP-190006), et Huawei prévoit d’inclure des correctifs UI pour OMA CP dans la prochaine génération de ses gammes de smartphones P et Mate. Sony a refusé de reconnaître la vulnérabilité, déclarant que ses appareils sont conformes à la spécification OMA CP.
Check Point SandBlast Mobile évite les attaques d’hameçonnage ou de type “intermédiaire” (Man-in-the-Middle) afin d’aider les dispositifs à se prémunir contre de tels messages OMA CP malveillants. Pour en savoir plus, veuillez visiter le site https://www.checkpoint.com/products/mobile-security/
Pour toute information complémentaire au sujet de ces recherches, visitez notre blog:
https://research.checkpoint.com/advanced-sms-phishing-attacks-against-modern-android-based-smartphones