Các nhà nghiên cứu bảo mật cảnh báo một lỗ hổng bảo mật trong cách mà hầu hết các điện thoại Android giao tiếp với mạng đang khiến người dùng có nguy cơ bị tấn công lừa đảo (phishing). Các điện thoại Android bị ảnh hưởng sử dụng OTA cho phép nhà mạng di động triển khai các cài đặt dành riêng cho nhà mạng trên các thiết bị mới. OTA (Over-the-Air) là phương thức cho phép các hãng sản xuất cấu hình tiến hành việc cập nhật phiên bản hệ điều hành mới cho các thiết bị di động của họ thông qua sóng Wi-Fi hay 3G, không cần dùng đến cáp hay các phần mềm hỗ trợ).
Tuy nhiên, các nhà nghiên cứu của Check Point nhận thấy rằng tiêu chuẩn công nghiệp cho việc cung cấp OTA, cụ thể là cung cấp ứng dụng khách liên minh di động mở (OMA CP), bao gồm các phương thức xác thực hạn chế.
Điều này có thể bị khai thác để nhắn tin SMS tùy chỉnh, cho phép kẻ tấn công đóng vai trò là nhà khai thác mạng và gửi tin nhắn OMA CP giả tới người dùng. Thông báo được thiết kế để lừa người dùng chấp nhận các cài đặt độc hại được ngụy trang dưới dạng cập nhật cấu hình mạng vô hại, sau đó chặn tất cả lưu lượng email đến và từ điện thoại di động.
Chỉ cần một tin nhắn SMS duy nhất để đạt được quyền truy cập đầy đủ vào email của thiết bị và người dùng cũng không thể xác minh xem có phải là tin nhắn SMS giả mạo hay không cũng như các cập nhật được đề xuất có nguồn gốc từ nhà mạng hay từ kẻ tấn công.
Các nhà nghiên cứu cho biết rằng, bất kỳ ai kết nối với mạng di động đều có thể bị nhắm mục tiêu bởi các cuộc tấn công như vậy, vì SMS không yêu cầu thiết bị của nạn nhân được kết nối với mạng Wi-Fi và chỉ cần một tin nhắn duy nhất để có quyền truy cập đầy đủ vào email của thiết bị.
Theo Check Point, hàng trăm triệu điện thoại Android trên toàn thế giới có nguy cơ bị tấn công. Các thiết bị của Samsung, Huawei, LG và Sony cũng nằm trong số những người bị ảnh hưởng.
Điện thoại Samsung bị phát hiện có nguy cơ bị tấn công cao nhất vì chúng không có kiểm tra tính xác thực. Người dùng chỉ cần chấp nhận thông báo cho phần mềm độc hại được cài đặt mà không cần người gửi cần chứng minh danh tính.
Slava Makkaveev, nhà nghiên cứu bảo mật tại Check Point Software Technologies, cho biết: Với sự phổ biến của các thiết bị Android thì đây là một lỗ hổng nghiêm trọng cần phải giải quyết.
“Nếu không có hình thức xác thực mạnh mẽ hơn, rất dễ để một tác nhân độc hại thực hiện một cuộc tấn công lừa đảo thông qua việc cung cấp OTA. Khi người dùng nhận được thông báo OMA CP, họ không có cách nào để biết liệu đó có phải là từ một nguồn đáng tin cậy hay không. Bằng cách nhấp vào “chấp nhận”, họ có thể cho phép kẻ tấn công thâm nhập vào điện thoại của mình”, ông Slava Makkaveev bổ sung.
Check Point cho biết lỗ hổng này được phát hiện lần đầu tiên vào tháng 3/2019 và Công ty đã thông báo với các nhà sản xuất bị ảnh hưởng ngay sau đó.
Cho đến nay, Samsung và LG đã phát hành bản sửa lỗi (lần lượt là SVE-2019-14073 và LVE-SMP-190006), còn Huawei chuẩn bị ra mắt bản vá trong thế hệ điện thoại thông minh Mate và P-series tiếp theo.
