میلیاردها کاربر اندرویدی میتوانند بهراحتی فریب بخورند تا تنظیمات مهم شبکهی دستگاه خود را تنها با حملهی فیشینگ مبتنیبر پیام کوتاه تغییر دهند. هنگامی که کاربر یک سیمکارت جدید در گوشی خود قرار میدهد و برای اولین بار به شبکهی سلولی خود متصل میشود، سرویس حامل کاربر بهطور خودکار پیکربندی میشود و یا یک پیام حاوی تنظیمات خاص شبکه که برای اتصال به خدمات داده موردنیاز است، برای کاربر ارسال میکند.
بسیاری از کاربران هنگام نصب دستی آن روی دستگاه خود، متوجه نمیشوند که چه پیکربندیهای در این پیامها وجود دارد و درصورتیکه خدمات اینترنت تلفن همراه آنها به کندی کار کند، هرگز دلیل آن را بررسی نمیکنند. اما گروهی از پژوهشگران امنیت سایبری بیان کردند که کاربران باید دربارهی این تنظیمات حساس باشند، زیرا نصب تنظیمات غیرقابل اعتماد میتواند حریم خصوصی کاربر را در معرض خطر قرار دهد و به مهاجمان راه دور اجازه میدهد تا دربارهی ارتباطات دادهای کاربر جاسوسی کند.
حاملهای تلفن همراه پیامهای OMA CP حاوی تنظیمات APN و پیکربندیهای سایر دستگاههایی که تلفن همراه کاربر برای برقراری اتصال به دروازهی بین شبکهی تلفن همراه حامل کاربر و خدمات اینترنت عمومی نیاز دارد، ارسال میکند. برای تنظیمات APN، این پیکربندی شامل یک فیلد اختیاری برای پیکربندی پروکسی HTTP است که میتواند ترافیک وب کاربر را از طریق آن مسیریابی کند، اما بسیاری از حاملها از پروکسیهای شفافی استفاده میکنند که حتی نیاز به تنظیم این فیلد ندارند.
علاوهبر تنظیمات پروکسی، پیامهای OMA CP ممکن است شامل پیکربندیهایی برای تغییر تنظیمات زیر در OTA گوشی باشد:
- سرور پیام MMS
- آدرس پروکسی
- صفحهی اصلی مرورگر و صفحان نشانشده
- سرور ایمیل
- سرورهای دایرکتوری برای همگامسازی مخاطبین و تقویم و موارد دیگر
براساس گزارش جدید چکپوینت، پیامهای احراز هویت هفتگی که توسط برخی شرکتها ازجمله سامسونگ، هوآوری، اِلجی و سونی پیادهسازی میشود، به نفوذگران راه دور اجازه میدهد تا کاربران را فریب دهند و تنظیمات دستگاه آنها را با سرورهای پراکسی تحت کنترل مهاجم مخرب بهروزرسانی کنند.
این مسأله به مهاجمان اجازه میدهد تا بهراحتی برخی اتصالات شبکه را که یک دستگاه هدف از طریق سرویس انتقال داده ازجمله مروگرهای وب و کلاینتهای ایمیل داخلی ایجاد میکند، ردیابی کند.
برای دستیابی به دسترسی کامل ایمیلهای کاربر تنها یک پیام کوتاه نیاز است. در این حملات، یک عامل راه دور میتواند کاربران را بهمنظور پذیرش تنظیمات جدید تلفن همراه فریب دهد و کل ترافیک اینترنت آنها را مسیریابی کند تا ایمیلها را از طریق یک پراکسی تحت کنترل مهاجم به سرقت ببرد.
علاوهبرآن، هر کاربری که به یک شبکهی سلولی متصل باشد، ممکن است هدف این نوع حملات فیشینگ قرار گیرد، یعنی لازم نیست که کاربر به یک شبکهی وایفای متصل باشد تا دادههای ایمیل خصوصی او توسط مهاجمان استخراج شود. بااینحال، درست مانند تنظیم یک پروکسی برای یک اتصال وایفای، تنظیمات پراکسی برای شبکهی دادهی تلفن همراه توسط هر برنامهی نصبشده در دستگاه هدف مورد استفاده قرار نمیگیرد. در عوض بستگی دارد که کدام برنامه برای پذیرش پراکسی پیکربندیشده توسط کاربر طراحی شده است.
علاوهبرآن، سرور پروکسی قادر نخواهد بود که اتصالهای HTTPS را رمزگشایی کند، در نتیجه این روش تنها برای ردیابی اتصالهای ناامن مناسب است.
یکی از پژوهشگران امنیتی چکپوینت به نام Slava Makkaveev بیان کرد که این یک کلاس کاملاً جدید از حملات فیشینگ به ایمیلها و احتمالاً پیشرفتهترین حملهی فیشینگ به ایمیلهای کاربران است که تا کنون مشاهده شده است.
پژوهشگران یافتههای خود را در ماه مارس سال ۲۰۱۹ میلادی به فروشندگان گوشیهای اندرویدی گزارش دادند. سامسونگ و اِلجی این مسأله را در نسخهی بهبود امنیتی ماه مِه و جولای رفع کردهاند. هوآوی قصد دارد تا این مسأله را در نسل بعدی گوشیهای هوشمند سری Mate یا سری P رفع کند، اما سونی از تأیید آن خودداری و بیان میکند که دستگاههای تلفن همراه آن از مشخصات OMA CP پیروی میکند.
پژوهشگران به کاربران توصیه میکنند که حتی پس از دریافت وصلهها، به پیامهایی که از طرف حاملهای تلفن همراه ارسال میشود یا به تنظیمات APN که در اینترنت در دسترس است و ادعا میشود که به کاربران کمک میکند تا مسائل مربوط به خدمات انتقال داده را رفع کنند، اعتماد نکنند.