Ataques avanzados de phishing de SMS dirigidos a teléfonos inteligentes basados en Android

Se ha descubierto un fallo de seguridad en los teléfonos inteligentes Samsung, LG, Sony, Huawei y otros teléfonos inteligentes Android que deja a los usuarios vulnerables a los ataques avanzados de phishing de SMS, dijo el jueves Check Point Research, el brazo de inteligencia de amenazas de la empresa de ciberseguridad Check Point Software Technologies Ltd.

Los investigadores de la empresa de ciberseguridad dijeron que algunos teléfonos Samsung son los más vulnerables a esta forma de ataque de phishing porque no tienen una comprobación de autenticidad para los remitentes de mensajes de Open Mobile Alliance Client Provisioning (OMA CP).

«Dada la popularidad de los dispositivos Android, se trata de una vulnerabilidad crítica que debe abordarse. Sin una forma más fuerte de autenticación, es fácil para un agente malicioso lanzar un ataque de phishing a través del aprovisionamiento por vía aérea (OTA).

«Cuando el usuario recibe un mensaje OMA CP, no tiene forma de discernir si proviene de una fuente confiable. Al hacer clic en’aceptar’, podrían estar permitiendo que un atacante entre a su teléfono», dijo Slava Makkaveev, Investigador de Seguridad de Check Point Software Technologies, en una declaración.

Los teléfonos Android afectados utilizan el aprovisionamiento OTA, a través del cual los operadores de redes celulares pueden desplegar configuraciones específicas de red en un nuevo teléfono que se une a su red.

Sin embargo, los investigadores de Check Point descubrieron que el estándar de la industria para el aprovisionamiento de OTA, el OMA CP, incluye métodos de autenticación limitados y los agentes remotos pueden aprovecharse de ello para hacerse pasar por operadores de red y enviar mensajes engañosos de OMA CP a los usuarios.

El mensaje engaña a los usuarios para que acepten configuraciones maliciosas que dirigen su tráfico de Internet a través de un servidor proxy propiedad del hacker.

Los hallazgos fueron divulgados a los proveedores afectados en marzo; Samsung incluyó un arreglo para solucionar este defecto de phishing en su versión de mantenimiento de seguridad de mayo (SVE-2019-14073), LG publicó su arreglo en julio (LVE-SMP-190006), y Huawei está planeando incluir arreglos de interfaz de usuario para OMA CP en la próxima generación de teléfonos inteligentes de la serie Mate o de la serie P.

Sin embargo, Sony se negó a reconocer la vulnerabilidad, afirmando que sus dispositivos siguen la especificación OMA CP.