Hackers pueden hacerse pasar por operadores de red con el fin de enviar mensajes SMS y engañar a los usuarios para que acepten actualizaciones que pongan en jaque sus dispositivos.
La firma de ciberseguridad Check Point dio a conocer una falla en el sistema de los dispositivos que integran Android, que los deja vulnerables a recibir ataques de phishing más peligrosos y avanzados.
Los smartphones afectados integran actualizaciones over-the-air (OTA), que permiten renovar versiones de software de forma sencilla. Esto debido a que llegan como notificación y lo único que el usuario tiene que hacer es aceptar la instalación para que el proceso de realice automáticamente.
Te puede interesar: ESET descubre nuevo ransomware para Android
Check Point determinó que la Open Mobile Alliance Client Provisioning (OMA CP), organismo que provee el estándar OTA, no cuenta con los métodos de autenticación adecuados. Agentes externos que operan a distancia pueden aprovechar este bajo nivel de protección para hacerse pasar por operadores de red y enviar mensajes engañosos a los usuarios.
A través de un SMS simulado, los hackers pueden solicitar a los usuarios que realicen configuraciones en sus teléfonos para desviar el tráfico de Internet a un servidor proxy operado por los delincuentes.
“Dada la popularidad de los dispositivos Android, esta es una vulnerabilidad crítica que debe ser atendida”, comentó en un comunicado Slava Makkaveev, investigador de seguridad en Check Point.
El analista agregó que sin un método adecuado de autenticación resulta fácil para un pirata informático lanzar ataques de phishing mediante OTA.
“Cuando el usuario recibe un mensaje OMA CP no tiene manera de identificar si proviene de una fuente confiable”, señaló Makkaveev. “Al hacer clic en ‘aceptar’, podría estar dándole acceso a su teléfono a un hacker”.
Dispositivos como Huawei, LG y Sony, cuentan con ciertos métodos de autenticación, pero los ciberdelincuentes sólo necesitan la Identidad Internacional del Abonado Móvil (IMSI, por sus siglas en inglés) del destinatario para ‘confirmar’ su identidad.
Lee también: En palabras de GDATA…: un nuevo malware para Android cada siete segundos
El IMSI puede obtenerse de distintas formas. Un ejemplo es a través de aplicaciones apócrifas capaces de reconocer dicho código en el dispositivo mediante el envío de SMS a ‘nombre’ del operador para solicitarle al usuario que acepte el mensaje e ingrese su PIN; si lo hace, la actualización se hará sin necesidad del IMSI.
Check Point dio a conocer los hallazgos a las empresas afectada el pasado mes de marzo. Si bien compañías como Samsung, LG y Huawei, tomaron medidas para solucionar el problema, Sony no reconoció la vulnerabilidad argumentando que sus dispositivos cumplen con las especificaciones OMA CP.
