Android не гордый: Уязвимость позволяет узнать email через смс

6-09-2019, 19:09

Поддельное сообщение может украсть почту, сломать смартфон или отправить на вредоносный сайт.


Смартфоны азиатских фирм Huawei, LG, Samsung и Sony, по словам группы Check Point Research подвержены уязвимости, связанной с смс. Особое сообщение от хакера может перехватывать весь трафик пользователя, направленный через email. А для атаки кроме знаний и вовсе ничего не нужно – используется обычная версия Open Mobile Alliance, позволяющая настраивать доступ телефона к электронной почте. Суть такова: злоумышленники, выдавая свои действия за системные сообщения, выманивают нужные сведения.

Отчасти проблема связана с работой обеспечения – несмотря на поддержку PIN-кодов для внесения изменений, для изменений эти коды не нужны. А реализация такой защиты для конечного пользователя зависит от поставщика, а не создателя Android. К примеру, исследователи заметили, что Samsung не гордятся собой и не требуют никакой аутентификации. Поэтому любой знающий человек легко с ними «познакомится». С учётом Интернета, знающим человеком стать очень просто.

Решение проблемы тоже зависит от производителя. Samsung исправили ошибку в мае, LG обновили безопасность в июле. Huawei заявили, что никакого обновления до релиза новинок в линейках Mate и P не будет. Sony, кстати, отказались признать наличие ошибки и сообщили, что следуют всем спецификациям Open Mobile Alliance. Так что их пользователям следует внимательно обращать внимание на системные сообщения.

Основная опасность – простота атаки. Нужен лишь модем или телефон в виде модема и оборудование для составления сообщений. Вторым фактором опасности является количество девайсов под угрозой – больше половины всех смартфонов на Android.