Nos últimos tempos têm vindo a surgir casos de mensagens SMS que podem afetar a funcionalidade dos dispositivos, tanto no iOS como Android. No entanto, um recente esquema tem vindo a propagar-se por este método e pode levar ao roubo de mensagens de email dos dispositivos.
De acordo com a empresa de segurança Check Point Research, foi recentemente descoberta uma vulnerabilidade em smartphones da Huawei, LG, Samsung e Sony que permite o roubo de mensagens de email armazenadas nos dispositivos através de mensagens SMS criadas especificamente para este fim.
Este ataque explora uma vulnerabilidade no protocolo Open Mobile Aliance, normalmente utilizado pelas operadoras para permitir o envio de pacotes de configuração facilmente para os dispositivos móveis. O ataque pode variar conforme o dispositivo e modelo, mas no final o objetivo final é sempre alcançado: a alteração das configurações de rede para permitir o reencaminhamento de emails enviados para o dispositivo.
O problema agrava-se tendo em conta que a vulnerabilidade pode ser explorada de diferentes formas conforme os dispositivos, e apenas os fabricantes podem corrigir o mesmo tendo em contas as mudanças implementadas nos seus sistemas. A Samsung foi uma das primeiras a fornecer a correção do problema, com a sua atualização de Maio, enquanto a LG implementou o patch para o seu sistema na atualização de Julho.
A Huawei, no entanto, refere que a vulnerabilidade não será corrigida até que sejam revelados os novos modelos da linha Mate e P. A Sony, por sua vez, recusa-se a admitir a falha e afirma que segue todos os protocolos da tecnologia Open Mobile Aliance, ou seja, será improvável que a empresa lance uma correção para o problema.
Apesar da gravidade da falha, a forma de explorar a mesma ainda é relativamente complicada de ser executada. É necessário saber exatamente o dispositivo das vítimas, bem como alguns detalhes do mesmo, o que nem sempre é fácil de obter.
No geral, o ataque pode ser explorado de forma mais direta, com os atacantes a selecionarem as suas vítimas especificas. E uma vez realizado, é possível mudar as definições de rede para que todos os emails enviados para contas configuradas nos dispositivos sejam reencaminhados para terceiros, comprometendo possível informação pessoal e sensível.
Nenhum comentário
Seja o primeiro!