تنها یک پیام کوتاه به مهاجمان راه دور اجازه می‌دهد تا به همه‌ی ایمیل‌های کاربر دسترسی پیدا کنند

میلیاردها کاربر اندرویدی می‌توانند به‌راحتی فریب بخورند تا تنظیمات مهم شبکه‌ی دستگاه خود را تنها با حمله‌ی فیشینگ مبتنی‌بر پیام کوتاه تغییر دهند. هنگامی که کاربر یک سیم‌کارت جدید در گوشی خود قرار می‌دهد و برای اولین بار به شبکه‌ی سلولی خود متصل می‌شود، سرویس حامل کاربر به‌طور خودکار پیکربندی می‌شود و یا یک پیام حاوی تنظیمات خاص شبکه که برای اتصال به خدمات داده موردنیاز است، برای کاربر ارسال می‌کند.

بسیاری از کاربران هنگام نصب دستی آن روی دستگاه خود، متوجه نمی‌شوند که چه پیکربندی‌های در این پیام‌ها وجود دارد و درصورتی‌که خدمات اینترنت تلفن همراه آن‌ها به کندی کار کند، هرگز دلیل آن را بررسی نمی‌کنند. اما گروهی از پژوهش‌گران امنیت سایبری بیان کردند که کاربران باید درباره‌ی این تنظیمات حساس باشند، زیرا نصب تنظیمات غیرقابل اعتماد می‌تواند حریم خصوصی کاربر را در معرض خطر قرار دهد و به مهاجمان راه دور اجازه می‌دهد تا درباره‌ی ارتباطات داده‌ای کاربر جاسوسی کند.

حامل‌های تلفن همراه پیام‌های OMA CP حاوی تنظیمات APN و پیکربندی‌های سایر دستگاه‌هایی که تلفن همراه کاربر برای برقراری اتصال به دروازه‌ی بین شبکه‌ی تلفن همراه حامل کاربر و خدمات اینترنت عمومی نیاز دارد، ارسال می‌کند. برای تنظیمات APN، این پیکربندی شامل یک فیلد اختیاری برای پیکربندی پروکسی HTTP است که می‌تواند ترافیک وب کاربر را از طریق آن مسیریابی کند، اما بسیاری از حامل‌ها از پروکسی‌های شفافی استفاده می‌کنند که حتی نیاز به تنظیم این فیلد ندارند.

علاوه‌بر تنظیمات پروکسی، پیام‌های OMA CP ممکن است شامل پیکربندی‌هایی برای تغییر تنظیمات زیر در OTA گوشی باشد:

  • سرور پیام MMS
  • آدرس پروکسی
  • صفحه‌ی اصلی مرورگر و صفحان نشان‌شده
  • سرور ایمیل
  • سرورهای دایرکتوری برای همگام‌سازی مخاطبین و تقویم و موارد دیگر

براساس گزارش جدید چک‌پوینت، پیام‌های احراز هویت هفتگی که توسط برخی شرکت‌ها ازجمله سامسونگ، هوآوری، اِل‌جی و سونی پیاده‌سازی می‌شود، به نفوذگران راه دور اجازه می‌دهد تا کاربران را فریب دهند و تنظیمات دستگاه آن‌ها را با سرورهای پراکسی تحت کنترل مهاجم مخرب به‌روزرسانی کنند.

این مسأله به مهاجمان اجازه می‌دهد تا به‌راحتی برخی اتصالات شبکه را که یک دستگاه هدف از طریق سرویس انتقال داده ازجمله مروگرهای وب و کلاینت‌های ایمیل داخلی ایجاد می‌کند، ردیابی کند.

برای دست‌یابی به دسترسی کامل ایمیل‌های کاربر تنها یک پیام کوتاه نیاز است. در این حملات، یک عامل راه دور می‌تواند کاربران را به‌منظور پذیرش تنظیمات جدید تلفن همراه فریب دهد و کل ترافیک اینترنت آن‌ها را مسیریابی کند تا ایمیل‌ها را از طریق یک پراکسی تحت کنترل مهاجم به سرقت ببرد.

علاوه‌برآن، هر کاربری که به یک شبکه‌ی سلولی متصل باشد، ممکن است هدف این نوع حملات فیشینگ قرار گیرد، یعنی لازم نیست که کاربر به یک شبکه‌ی وای‌فای متصل باشد تا داده‌های ایمیل خصوصی او توسط مهاجمان استخراج شود. بااین‌حال، درست مانند تنظیم یک پروکسی برای یک اتصال وای‌فای، تنظیمات پراکسی برای شبکه‌ی داده‌ی تلفن همراه توسط هر برنامه‌ی نصب‌شده در دستگاه هدف مورد استفاده قرار نمی‌گیرد. در عوض بستگی دارد که کدام برنامه برای پذیرش پراکسی پیکربندی‌شده توسط کاربر طراحی شده است.

علاوه‌برآن، سرور پروکسی قادر نخواهد بود که اتصال‌های HTTPS را رمزگشایی کند، در نتیجه این روش تنها برای ردیابی اتصال‌های ناامن مناسب است.

یکی از پژوهش‌گران امنیتی چک‌پوینت به نام Slava Makkaveev بیان کرد که این یک کلاس‌ کاملاً جدید از حملات فیشینگ به ایمیل‌ها و احتمالاً پیشرفته‌ترین حمله‌ی فیشینگ به ایمیل‌های کاربران است که تا کنون مشاهده شده است.

پژوهش‌گران یافته‌های خود را در ماه مارس سال ۲۰۱۹ میلادی به فروشندگان گوشی‌های اندرویدی گزارش دادند. سامسونگ و اِل‌جی این مسأله را در نسخه‌ی بهبود امنیتی ماه مِه و جولای رفع کرده‌اند. هوآوی قصد دارد تا این مسأله را در نسل بعدی گوشی‌های هوشمند سری‌ Mate یا سری P رفع کند، اما سونی از تأیید آن خودداری و بیان می‌کند که دستگاه‌های تلفن همراه آن از مشخصات OMA CP پیروی می‌کند.

پژوهش‌گران به کاربران توصیه می‌کنند که حتی پس از دریافت وصله‌ها، به پیام‌هایی که از طرف حامل‌های تلفن همراه ارسال می‌شود یا به تنظیمات APN که در اینترنت در دسترس است و ادعا می‌شود که به کاربران کمک می‌کند تا مسائل مربوط به خدمات انتقال داده را رفع کنند، اعتماد نکنند. 

منبع

پست‌های مشابه

Leave a Comment