Bezpečnostní novinky

V mnoha chytrých telefonech s Androidem byla nalezena závažná chyba zabezpečení

Avast Security News Team, 30. září 2019

U telefonů s Androidem vyrobených společnostmi Samsung, Huawei, LG a Sony byla zjištěna závažná chyba zabezpečení.

Výzkumníci z oblasti kybernetického zabezpečení zjistili závažnou chybu zabezpečení v chytrých telefonech od společností Samsung, Huawei, LG a Sony, kterou mohli útočníci potenciálně využít k infiltraci telefonu oběti za použití falešné konfigurační zprávy. Mobilní operátoři rozesílají konfigurační zprávy ve formě zpráv SMS, když provedou vnitřní změny v systémech, a tyto zprávy vyžadují od uživatele schválení změny nastavení sítě zařízení. Výrobci chytrých telefonů byli o této chybě zabezpečení informováni letos v březnu. Podle odhadů zveřejněných magazínem Forbes může být ohroženo až 1,25 miliardy uživatelů Androidu.

Protokol konfiguračních zpráv využívají nejen poskytovatelé sítí, ale také velké podniky, a to například ke konfiguraci zařízení zaměstnanců pro použití e-mailového serveru společnosti. Web ZD Net zveřejnil informaci, že výzkumníci dokázali odeslat falešné konfigurační zprávy do chytrých telefonů vyrobených čtyřmi výše uvedenými firmami, přičemž všechny zprávy byly bez jakéhokoli problému přijaty.

To znamená, že útočníci mohli také zneužít odesílání konfiguračních zpráv uživatelům a přimět je tak ke změně nastavení jejich zařízení, aby bylo možné přesměrovat e-maily nebo „webový provoz“ přes nějaký škodlivý server. A protože se jedná se o nový druh útoku, uživatelé budou s největší pravděpodobností takovým podvodným textovým zprávám, které však vypadají jako zcela legitimní, zpočátku důvěřovat. Pokud si budou myslet, že je všechno v pořádku, bez přemýšlení udělí oprávnění, které umožní útočníkům přístup k jejich nejcitlivějším údajům.

„Každý software má chyby zabezpečení a toto není žádná výjimka,“ připomíná Luis Corrons, bezpečnostní expert Avastu. „To, na čem ale nejvíc záleží, je píle těchto společností v rámci řešení problému a ochrany uživatelů. Důrazně doporučuji dát důvěru značkám, které berou zabezpečení vážně a dokážou rychle přijít s řešením.“

Společnosti Samsung, Huawei a LG již opravy této chyby zabezpečení zveřejnily, zatímco společnost Sony ještě ne. Zde jsou uvedena řešení jednotlivých společností: