Jeden SMS może wystarczyć, aby przechwycić całą zawartość skrzynki e‑mailowej

Po raz pierwszy uruchamiasz nowy telefon i łączysz się z siecią. Operator wysyła wówczas wiadomość z konfiguracją. Niezwłocznie instalujesz nadesłany profil. A co w przypadku, gdyby wspomniana wiadomość pochodziła od cyberprzestępcy? Jak donoszą specjaliści z grupy Check Point, istnieje ryzyko przejęcia w ten sposób całego ruchu sieciowego, w tym wiadomości e-mail.

Wiadomości konfiguracyjne wysyłane są w otwartym standardzie OMA CP (Open Mobile Alliance Client Provisioning). Zawierają kluczowe dla połączenia z siecią dane, w tym adresy serwerów pośredniczących, MMS, e-mail oraz katalogowych do opcjonalnych usług synchronizacji.

Niemniej większość osób nie zaprząta sobie tym głowy. Instalują konfigurację, bo po prostu tak trzeba, by wszystko działało. Problem w tym, że producenci smartfonów nieszczególnie dbają o upewnienie się, że OMA CP rzeczywiście pochodzi od operatora, a nie crackera. Tymczasem ten może uzyskać dostęp do wszystkich danych, zmieniając adres proxy – przestrzegają badacze z Check Point.

Atak jest niezwykle prosty w realizacji. Napastnik musi zdobyć modem GSM, który można kupić za około 50 zł, albo telefon działający w trybie modemu. Sprzęt taki pozwala wysłać wiadomość SMS w formie binarnej (zapisaną w systemie zero-jedynkowym, rozumianym przez procesor). Narzędzia do tworzenia OMA CP, z uwagi na otwartość standardu, są łatwo dostępne w sieci. Jednocześnie popularni producenci smartfonów, jak dowodzi Check Point, nie stosują właściwie żadnych konkretnych zabezpieczeń przeciwko fałszywym konfiguracjom.

Niechlubny prym wiedzie pod tym względem Samsung, którego urządzenia bezpośrednio dopuszczają każde OMA CP. Ponadto w szczególnym stopniu zagrożeni są posiadacze sprzętu Huawei, LG oraz Sony. Ci producenci wykorzystują tzw. IMSI (International Mobile Subscriber Identity), czyli 64-bitowe identyfikatory kart SIM, wiążące te karty z konkretnymi operatorami. Tyle tylko, że IMSI może wyciągnąć każda aplikacja mająca dostęp do uprawnień READ_PHONE_STATE, a to zdaniem badaczy potrafi co trzecia apka z bazy Sklepu Play.

Na domiar złego, nawet jeśli napastnik nie przeszedł autoryzacji przez IMSI, w dalszym ciągu może wysłać konfigurację niepodpisaną. Aby ją zainstalować, użytkownik telefonu musi podać kod PIN, ale ktoś mało roztropny z dużą dozą prawdopodobieństwa tak postąpi. Ta metoda może być wykorzystana nie tylko na urządzeniach od wyżej wymienionych producentów, ale teoretycznie na wszystkich z Androidem.

Tylko dla dociekliwychProstotę ataku badacze obrazują na przykładzie. Jak czytamy, dowód koncepcji dla telefonów marki Samsung zawierał następujący dokument XML jako payload (część wykonująca szkodliwe działanie), z wyróżnionymi ciągami znaków określającymi adres proxy i numer portu.

OMA CP przenoszący szkodliwe dane jest podzielony na dwie fizyczne wiadomości SMS, zobrazowane na poniższym schemacie jako dwa ciągi oktetów. W ciągu WBXML adres proxy i numer portu – wyróżnione tymi samymi kolorami, co w źródle XML – są uwzględnione jako ciągi ASCII zakończone znakiem null. Natomiast ciągi zdefiniowane w schemacie XML, jak nazwy elementów, wartości i atrybuty, mają reprezentację w WBXML w formie stałych wartości jednobajtowych.

Payload WBXML występuje po nagłówku WSP, który zawiera kod uwierzytelnienia wiadomości, obliczony przy użyciu IMSI odbiorcy, jako ciąg szesnastkowy ASCII.

Badacze podają, że potwierdzili występowanie luki na Huawei P10, LG G6, Sony Xperii XZ Premium i kilku smartfonach z serii Samsung Galaxy, w tym S9. Ponoć powiadomili o tym producentów w marcu 2019 roku. Samsung i LG wydali łatki na przełomie maja i czerwca, a Huawei obiecał wyeliminować dziurę w nowych urządzeniach z serii P oraz Mate.

Spośród wymienionych producentów problemu nie dostrzega jednak Sony, zasłaniając się twierdzeniem, że ich sprzęt spełnia specyfikacje OMA CP – donosi The Hacker News.

Warto wiedzieć: Atak przed podmianę proxy nie jest w stanie naruszyć połączeń HTTPS. Zagrożone są tylko te aplikacje, które z proxy korzystają, choć dla bezpieczeństwa i tak warto uważać na przychodzące konfiguracje OMA CP.