Android-telefoner kan läcka e-post via sårbarhet över SMS

Nyligen upptäckta sårbarheter i hur operatörsinställningar distribueras för Android kan låta angripare läsa e-post via SMS-meddelanden.

Dagens mobiltelefoner är utrustade med avancerade operativsystem och tillhörande nätverkstjänster. Med den ökade kapaciteten följer också ökad komplexitet, och därmed attackytor för illasinnade. En av dessa är distribution av operatörsinställningar, som nu utnyttjas för att kunna få åtkomst till innehåll på Android-telefoner.

Bristen har upptäckts av säkerhetsföretaget Check Point Research och rapporteras av Engadget. Sårbarheten i fråga bygger på en brist i metoden för distribution av operatörsinställningar som definieras av organisationen Open Mobile Alliance. Dessa kan till exempel skickas ut via SMS-meddelanden.

samsung_nätverksinställningar.jpg

När en användare öppnar ett SMS-meddelande som utnyttjar säkerhetsbristen kan e-postmeddelanden på målsystemet utvinnas och skickas vidare till attackens upphovsmakare. Distribution av operatörsinställningar ska egentligen skyddas via säkerhetsmekanismer som PIN-koder eller det IMSI-nummer som lagras i telefonens SIM-kort.

Problemet är att enhetliga krav för säkerhetsmetoder saknas för operatörers distribution av inställningar, vilket innebär att det är upp till enskilda operatörer och telefontillverkare att implementera dessa. Telefonmärken som är sårbara innefattar bland annat Samsung, LG, Huawei och Sony.

Engadgets rapport anger att Samsung-telefoner tidigare inte använt någon autentisering för operatörsinställningar, men företaget åtgärdade bristen i maj månad i år, följt av LG under juli månad. Huawei har meddelat att bristen åtgärdas i nästa generation av företagets Mate- och P-serier. Sämst i ligan är Sony som ännu inte erkänt bristen alls.

I praktiken innebär detta att Samsung- och LG-ägare som uppdaterat sina telefoner till senaste systemversionen ska vara skyddade mot sårbarheten. Ägare av Huaweis och Sonys existerande utbud kan däremot fortfarande vara i farozonen.

SweClockers har kontaktat flera svenska operatörer om huruvida dessa följer Open Mobile Alliance-metoden för distribution av operatörsinställningar och uppdaterar nyheten vid svar på frågorna.

Läs mer Android-relaterade artiklar:

Erbjudande: SweClockers Wireframe No. 1 & Turbo Power

Två stilsäkra t-shirtar i begränsad upplaga. Nu i paket med rabatterat pris! Endast förbokning.

Köp här!

Tack för tipset ficklampa