Android-смартфоны оказались уязвимы к хакерским атакам по SMS

Злоумышленники могут выдать себя за операторов связи и перенаправлять трафик жертвы.

Исследователи Check Point Research обнаружили уязвимость в смартфонах производителей Samsung, Huawei, LG, Sony и других мобильных устройствах на базе Android.

Найденная дыра делает пользователей этих смартфонов уязвимыми перед фишинговыми SMS-атаками. Одного сообщения на телефонный номер достаточно, чтобы получить полный доступ к электронной почте жертвы.

Самое опасное, что для проведения этой фишинговой атаки не требуется специальное оборудование. Любой может купить USB-ключ за 10 долларов и провести масштабную кибератаку.

Уязвимые смартфоны используют обновления операционной системы по воздуху (OTA) через Wi-Fi или 3G/4G. Благодаря им операторы сотовой сети могут передавать нужные параметры на новые смартфоны, присоединяющиеся к их сети. Злоумышленники могут удалённо использовать уязвимость, чтобы выдавать себя за операторов связи и отправлять фальшивые сообщения пользователям. Вредоносное сообщение заставляет пользователей принимать вредоносные настройки, которые, например, могут перенаправлять их интернет-трафик через прокси-сервер, принадлежащий хакеру.

Исследователи сообщили производителям о найденной уязвимости в марте. Samsung устранила её в мае (SVE-2019-14073), LG в июле (LVE-SMP-190006), а Huawei планирует исправить ошибки в следующем поколении смартфонов Mate или P. Sony же отказалась признать уязвимость, заявив, что её устройства соответствуют всем необходимым требованиям.