Récemment, nous avons «satisfait» les utilisateurs d'iPhone de problèmes de sécurité BLEee , mais nous ne soutenons guère aucun des fronts dans le conflit éternel entre Apple et Apple. Android, et sont prêts à annoncer de "bonnes" nouvelles sur Android, si, bien sûr, il y a de la place pour se réjouir dans votre âme.
Des chercheurs de Check Point Software Technologies ont découvert une vulnérabilité , vraisemblablement dans plus de 50% des appareils basés sur Android, dans la mise en œuvre d'un mécanisme de réglage automatique pour se connecter à un opérateur mobile via le protocole OMA CP ( Open Mobile Alliance Client Provisioning), qui permet à un attaquant de remplacer au moins les paramètres suivants périphériques, exécutant une attaque de type Man-in-the-middle par phishing :
- Serveur de messages MMS;
- adresse du serveur proxy;
- page d'accueil et signets du navigateur;
- adresse du serveur de messagerie;
- serveurs de contacts et de synchronisation de calendrier.
Implémentation du CP OMA
OMA CP est un protocole de transfert de données de spécification OMA Device Management développé conformément à la norme mobile Open Mobile Alliance utilisant un SyncML ( Synchronization Markup Language ) de type XML. OMA CP utilise le protocole sans fil WAP. La version actuelle d'OMA CP est 1.1 depuis 2009. Dans le même temps, l'échange ne nécessite pas que le smartphone dispose d'une carte SIM ou qu'une connexion Internet ait été configurée.
Les vecteurs d'attaque utilisent le processus d'approvisionnement en direct (OTA) pour fournir des données à un client mobile, avec lequel les opérateurs mobiles définissent les paramètres nécessaires sur les appareils connectés au réseau cellulaire.
La norme fournit un certain nombre de mesures pour l'authentification des messages CP de l'opérateur de services mobiles, mais tous les fournisseurs ne les mettent pas en œuvre. En même temps, les mesures elles-mêmes ne sont pas fiables.
Dans le cadre d'Android, ce protocole est implémenté par omacp.apk .
Selon l'étude, le système d'exploitation Android sous-jacent n'utilise pas les mécanismes de protection OMA CP, tandis que la plupart des fournisseurs résolvent ce problème d'eux-mêmes à l'aide de l'authentification OTA. Par conséquent, si vous aimez reflasher votre appareil avec Android d'origine, il y a maintenant une raison de penser.
Conditions et mise en œuvre de l'attaque
Pour envoyer des messages OMA CP malveillants à l'attaquant, il suffit d'avoir un modem GSM et d'être à la portée de la victime / des victimes. Dans le même temps, des attaques ciblées et la diffusion de demandes de modification des paramètres sont possibles.
Authentification NETWPIN
À de rares exceptions près (discutées ci-dessous à propos de Samsung), les messages de l'opérateur sont authentifiés en fournissant à l'appareil son propre IMSI (Mobile Subscriber Identity, un identifiant d'appareil 64 bits unique similaire à l'adresse IP sur «this your Internet»).
La difficulté d’obtenir l’IMSI est un problème distinct, mais il existe au moins les méthodes suivantes:
- application malveillante sur l'appareil (en même temps, l'autorisation dans le manifeste permission.READ_PHONE_STATE suffit);
- Afficher la carte SIM de la victime;
- l'utilisation d'ISMI-catcher, imitant les tours mobiles, ce qui nécessitera certains investissements, mais c'est tout à fait possible.
À la réception d'un message CP, l'utilisateur ne reçoit aucune information sur l'expéditeur et la décision de légitimité est prise uniquement par la victime.
Authentification USERPIN
Même si l'attaquant n'a pas ISMI, le vecteur d'attaque suivant peut être implémenté:
- envoyer un message au nom de l'opérateur avec une demande d'application des paramètres;
- demande automatique de l'utilisateur du code PIN par le système;
- envoi d'un message CP avec des paramètres protégés par un code PIN spécifié par l'utilisateur.
Particulièrement distingué
Si la plupart des smartphones vulnérables utilisent des mécanismes d'authentification OMA SMS faibles, alors dans certains appareils Samsung, cette protection n'était pas en principe mise en œuvre au moment de l'étude (mars 2019). Un attaquant pourrait simplement envoyer un message demandant de configurer le smartphone et à condition que l'utilisateur soit d'accord avec l'installation, les paramètres spécifiés dans le message CP seraient appliqués. Actuellement, Samsung a publié une mise à jour de sécurité pour corriger SVE-2019-14073. Donc, si vous n'êtes pas un fan des mises à jour du fournisseur ou un fan du firmware Android personnalisé, il est préférable de résoudre ce problème.
Fait intéressant, Samsung n'est pas le premier cas de cette attitude envers la sécurité OMA CP:
Dans Samsung Galaxy S4-S7, omacp ignore les restrictions de sécurité, ce qui conduit à l'utilisation de messages SMS WAP Push non sollicités, ce qui entraîne une modification non autorisée des paramètres de l'ensemble des vulnérabilités SVE-2016-6542.
Contre-action
- La manière la plus brutale: désactiver l'application omacp . Mais alors le «rideau» de votre Android peut perdre certaines des notifications, ce qui peut être critique pour vous.
- Si vous n'utilisez pas Samsung et stockez Android (ou soudainement un appareil d'une marque chinoise inconnue d'un jour), alors en principe, il suffira d'utiliser votre tête à bon escient , car les vecteurs d'attaque impliquent votre participation directe.
- Comme il s'agit essentiellement d'une attaque MitM, la plupart des problèmes «ponctuels» (au niveau de l'application critique) sont résolus à l'aide de l' épinglage de certificat , bien que dans la pratique de nombreuses applications commerciales négligent cette méthode.
Comment va Apple? et question philosophique
Heureusement pour les utilisateurs Apple malveillants (non, ce n'est pas vous), ces appareils utilisent le mécanisme des profils Apple iOS à l'aide de certificats. Pourquoi un système de protection similaire n'est-il pas utilisé sur les appareils Android? La question est plus qu'intéressante.