Tietoturvayhtiö Check Pointin tutkimustoiminnasta vastaava Check Point Research on julkistanut löytämänsä tietoturva-aukon, joka jättää Samsungin, Huawein, LG:n, Sonyn ja muiden Android-älypuhelinten käyttäjät alttiiksi kalasteluyrityksille. Samsung ja LG ovat julkistaneet ohjelmistopäivityksen, joka korjaa haavoittuvuuden.
Android-puhelimissa on käytössä matkapuhelinverkon yli tapahtuva OTA-laitehallinta (over-the-air provisioning), jonka avulla verkko-operaattorit lähettävät asetuksia ja päivityksiä puhelimiin. Check Point Research havaitsi, että tähän käytetyn Open Mobile Alliance Client Provisioning (OMA CP) -standardin tunnistautumismenetelmät ovat rajalliset.
Ulkopuolisen on mahdollista esiintyä verkko-operaattorina ja lähettää käyttäjille väärennettyjä tekstiviestejä. Jos vastaanottaja hyväksyy uudet asetukset, hyökkääjä voi esimerkiksi reitittää puhelimen internet-liikenteen oman palvelimensa kautta.
Osassa Samsungin puhelimista laitehallinnan käyttö ei Check Pointin havaintojen mukaan edellyttänyt lainkaan tunnistautumista. Huawein, LG:n ja Sonyn puhelimissa oli tunnistautuminen, mutta se oli helppo ohittaa, jos hakkeri oli hankkinut käyttöönsä puhelimen käyttäjän IMSI-tunnuksen (International Mobile Subscriber Identity). Tunnuksen hankkiminen on mahdollista useilla eri tavoilla. Hyökkääjä voi esimerkiksi kätkeä puhelinsovellukseen koodin, joka lukee sovelluksen puhelimelleen ladanneen käyttäjän IMSI-tunnuksen. IMSIn voi ohittaa myös lähettämällä käyttäjälle tekstiviestin operaattorin nimissä ja pyytämällä häntä hyväksymään PIN-koodilla suojatun OMA CP -viestin. Käyttäjän pitää antaa PIN-koodi ja hyväksyä viesti, jotta hakkeri saa laitehallintaoikeudet.
- Android-puhelinten yleisyys tekee haavoittuvuudesta kriittisen. Puhelimen käyttäjällä ei ole mitään keinoa varmistua siitä, että laitehallintaan liittyvä OMA CP -tekstiviesti tulee luotettavasta lähteestä. On täysin mahdollista, että hän klikkaa viestiin ”hyväksy” ja päästää näin hyökkääjän sisään puhelimelleen, sanoi tietoturvatutkija Slava Makkaveev Check Pointilta.
Check Pointin tutkijat ilmoittivat löydöksistään puhelinvalmistajille maaliskuussa. Samsung sisällytti paikan toukokuun tietoturvapäivitykseensä (SVE-2019-14073), LG julkisti korjauksensa heinäkuussa (LVE-SMP-190006), ja Huawei suunnittelee ottavansa korjaukset mukaan seuraavaan Mate- ja P-puhelinmallistojen sukupolveen. Sony ei ole ottanut haavoittuvuutta huomioon vaan toteaa, että heidän puhelimensa noudattavat OMA CP -määrittelyjä.