Virus informatiques

SMS contrefaits sur Android, utilisés pour dérober des emails

Toutes les semaines, je reçois des communiqués de presse pour nous expliquer une nouvelle façon de vous attaquer (enfin là vos smartphones) à fin de dérober des informations personnelles. 

Il s'agit d'un communiqué de presse pour venter les mérites de Check Point (je ne touche rien). Cela dit, on apprend de jolies choses. On n'est jamais assez prudent.

Le communiqué de presse

Des chercheurs de Check Point ont identifié un nouveau type d'attaque de phishing visant à dérober des emails dans les téléphones Android fabriqués par Samsung, Huawei, LG et Sony. Dans ce type d’attaque, les pirates conçoivent des messages SMS sur mesure, pour intercepter la totalité du trafic de messagerie à destination et en provenance des appareils mobiles, en les déguisant en messages innocents de « mise à jour des paramètres réseau » émanant de leur opérateur de télécom de confiance tel que T-Mobile, Verizon ou AT&T. Un seul message SMS suffit pour obtenir un accès complet à vos emails. Le destinataire du message SMS ne peut vérifier si les paramètres suggérés proviennent de son opérateur de télécom ou d'un dangereux imposteur. Plus dangereux encore, n'importe qui peut acheter un dongle USB à 10 € et lancer une attaque de phishing à grande échelle. Aucun équipement spécial n'est requis pour mener à bien l'attaque. Toute personne connectée à un réseau cellulaire peut devenir la cible de ce type d'attaque de phishing, ce qui signifie que vous n'êtes pas obligé d'être connecté à un réseau Wifi pour que vos données personnelles soient extraites de manière illicite par des cybercriminels.

Portée de la vulnérabilité

N'importe quel téléphone Android dans le monde peut devenir la cible d'un message SMS malveillant conduisant à la prise de contrôle des emails. Les téléphones fabriqués par Samsung, Huawei, LG et Sony comptent pour plus de 50 %https://gs.statcounter.com/vendor-market-share/mobile/worldwide/> de tous les téléphones Android dans le monde. Selon des analystes, il existe 2,5 milliards <https://expandedramblings.com/index.php/android-statistics/> d’utilisateurs actifs d'Android par mois dans le monde entier. La part de marché du système d'exploitation mobile Android dans le monde est de 76,08 %. <https://gs.statcounter.com/os-market-share/mobile/worldwide>

Déroulement d’une attaque

Le vecteur d’attaque repose sur un processus appelé provisionnement OTA (Over-the-Air), utilisé habituellement par les opérateurs de téléphonie mobile pour déployer des paramètres spécifiques à leur réseau sur les nouveaux téléphones rejoignant leur réseau. Check Point Research a cependant démontré que n'importe qui peut envoyer des messages de provisionnement OTA pour accéder à des emails. Ainsi, un opérateur de télécom envoie généralement un message de bienvenue dès qu’il détecte un nouvel appareil sur son réseau. Le message des opérateurs est utilisé pour déployer des paramètres spécifiques à leur réseau, tels que l'adresse du centre de service MMS. Le format du message est défini par l’OMA (Open Mobile Alliance), un organisme de normalisation qui élabore des normes ouvertes pour le secteur de la téléphonie mobile. Parmi les membres de l'OMA figurent notamment ARM, AT&T, Ericsson, Intel, Nokia, Orange, Qualcomm, Sierra Wireless et T-Mobile. Le standard du secteur pour le provisionnement OTA, OMA CP (Open Mobile Alliance Client Provisioning), possède des méthodes d'authentification limitées : un destinataire ne peut vérifier si les paramètres suggérés proviennent de son opérateur de télécom ou d'un imposteur dangereux cherchant à lire ses emails. Check Point Research a découvert que les téléphones fabriqués par Samsung, Huawei, LG et Sony permettent aux utilisateurs de recevoir des paramètres malveillants via de tels messages de provisionnement faiblement authentifiés afin d'accéder à leurs emails privés.

Réponses de Samsung, Huawei, LG, Sony et OMA

Check Point Research a communiqué ses conclusions aux entreprises concernées en mars 2019. Samsung a inclus un correctif pour cette vulnérabilité dans sa version de maintenance de sécurité du mois de mai (SVE-2019-14073). LG a publié son correctif en juillet (LVE-SMP-190006). Huawei a annoncé son intention d'inclure des correctifs de l'interface utilisateur pour OMA CP dans la prochaine génération des smartphones de la série Mate ou de la série P. Sony a refusé de reconnaître la vulnérabilité, affirmant que ses appareils étaient conformes à la spécification OMA CP. L'OMA suit ce problème sous la référence OPEN-7587.

Comment atténuer l'attaque

Pour mieux protéger nos emails, Check Point avertit clairement les utilisateurs des effets néfastes de l’installation de paramètres non vérifiables via des messages, qui risquent de permettre à des pirates de lire des emails. Check Point Research conseille également aux utilisateurs d’ignorer les messages de provisionnement provenant de tiers non autorisés au niveau du réseau ou de désactiver complètement la fonctionnalité de provisionnement client. Check Point prépare une initiative plus vaste visant à améliorer la sécurité du provisionnement client, afin de persuader OMA de publier des directives.

La menace imminente

Même si des correctifs sont publiés par les fournisseurs Android nommés, nous ne devrions plus faire confiance aux messages des opérateurs de téléphonie mobile, et réfléchir à deux fois avant d'installer quoi que ce soit de recommandé via des messages. L'installation d'un proxy WAP via le message d'un opérateur permet l'interception de la totalité du trafic de messagerie d'une cible dans le monde entier. Ce type de cyberattaque est unique car il ne nécessite aucune connexion Wifi, ce qui rend les emails des utilisateurs Android vulnérables à tout moment de la journée ou tant qu'ils sont connectés au réseau de leur opérateur.

À propos de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres menaces ciblées avancées. Check Point propose « Infinity Total Protection avec prévention avancée des menaces de 5e génération », une architecture de sécurité à plusieurs niveaux, qui défend les Clouds, les réseaux et les appareils mobiles des entreprises. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.

Le détail et la méthode d'attaque

Attaques avancées de phishing par SMS contre les smartphones Android modernes

Une étude menée par : Artyom Skrobov, Slava Makkaveev

Introduction

Des chercheurs de Check Point ont identifié une vulnérabilité à des attaques avancées de phishing sur certains téléphones Android modernes, notamment des modèles de Samsung, Huawei, LG et Sony. Lors de ces attaques, un agent distant peut amener les utilisateurs à accepter de nouveaux paramètres sur leur téléphone qui, par exemple, acheminent la totalité de leur trafic Internet via un proxy contrôlé par le pirate.

Ce vecteur d’attaque repose sur un processus appelé provisionnement OTA (Over-the-Air), utilisé habituellement par les opérateurs de téléphonie mobile pour déployer des paramètres spécifiques à leur réseau sur des téléphones rejoignant leur réseau pour la première fois. Cependant, comme nous l'avons montré, n'importe qui peut envoyer des messages de provisionnement OTA.

Le standard du secteur pour le provisionnement OTA, OMA CP (Open Mobile Alliance Client Provisioning), possède des méthodes d'authentification assez limitées : un destinataire ne peut vérifier si les paramètres suggérés proviennent de son opérateur de télécom ou d'un imposteur. Nous avons constaté que les téléphones fabriqués par Samsung, Huawei, LG et Sony (soit plus de 50 % de tous les téléphones Android, selon les données de parts de marché de 2018 : https://gs.statcounter.com/vendor-market-share/mobile/worldwide/) permettent aux utilisateurs de recevoir des paramètres malveillants via ces messages de provisionnement faiblement authentifiés. Les téléphones Samsung aggravent cette situation en autorisant également les messages OMA CP non authentifiés.

Nous avons communiqué nos conclusions aux entreprises concernées en mars. Samsung a inclus un correctif pour cette vulnérabilité dans sa version de maintenance de sécurité du mois de mai (SVE-2019-14073). LG a publié son correctif en juillet (LVE-SMP-190006). Huawei compte inclure des correctifs de l'interface utilisateur pour OMA CP dans la prochaine génération des smartphones de la série Mate ou de la série P. Sony a refusé de reconnaître la vulnérabilité, affirmant que ses appareils étaient conformes à la spécification OMA CP. L'OMA suit ce problème sous la référence OPEN-7587.

Déroulement d’une attaque

Pour envoyer des messages OMA CP, un pirate a besoin d'un modem GSM (un dongle USB à 10 euros ou un téléphone fonctionnant en mode modem), utilisé pour envoyer des SMS binaires, ainsi que d'un simple script ou un logiciel standard pour composer le message OMA CP.

Les messages OMA CP de phishing peuvent être ciblés avec précision, par exemple précédés d’un message texte personnalisé conçu spécifiquement pour tromper un destinataire en particulier, ou être envoyés en masse, en supposant qu’au moins certains des destinataires soient suffisamment crédules pour accepter le message sans remettre en cause son authenticité.

Les messages OMA CP permettent de modifier les paramètres suivants :

·         Serveur de messagerie MMS

·         Serveur de messagerie MMS

·         Adresse de proxy

·         Page d'accueil du navigateur et favoris

·         Serveur de messagerie

·         Serveur d'annuaire pour la synchronisation des contacts et du calendrier

Et plus encore.

Les scénarios suivants supposent qu’un pirate tente d'inciter les victimes à acheminer la totalité de leur trafic via le proxy contrôlé par le pirate.

Non authentifié (Samsung)

Pour cibler les victimes utilisant des téléphones Samsung, le pirate peut leur envoyer des messages OMA CP non authentifiés, en spécifiant un proxy qu'il contrôle. Nous soulignons que le pirate n’a besoin de surmonter aucun mécanisme de vérification d'authenticité : il suffit que l'utilisateur accepte le message OMA CP.



Figure 1 : Un message OMA CP non authentifié tel qu'il apparaît à un utilisateur de téléphone Samsung.

Authentifié avec IMSI

Si le pirate parvient à obtenir les numéros IMSI (identité internationale d'abonné mobile) des victimes potentielles utilisant des téléphones Huawei, LG ou Sony, il peut mener une attaque de phishing aussi efficace que celle dirigée contre les utilisateurs de téléphones Samsung.

L’IMSI est un identifiant de 64 bits pour chaque appareil d'un réseau mobile, utilisé depuis le standard GSM et jusqu'à la 3G. Ce numéro est utilisé pour le routage et équivaut à peu près à une adresse IP sur un réseau informatique. L'IMSI d'une personne est pseudo-confidentiel, mais :

·         Il est nécessairement disponible à tous les opérateurs de réseau, car le routage des données ou des appels vers un abonné mobile nécessite la résolution de son numéro de téléphone en IMSI.

·         En conséquence, les recherches IMSI directes et inverses (numéro de mobile vers IMSI et vice versa) sont disponibles à un faible coût auprès de fournisseurs commerciaux.

·         Une application Android non autorisée peut lire le numéro IMSI de l'utilisateur via l'API standard
((TelephonyManager)getSystemService(Context.TELEPHONY_SERVICE)).getSubscriberId()

- tant que l'application possède la permission android.permission.READ_PHONE_STATE. Plus du tiers de toutes les applications Android publiées au cours des trois dernières années nécessitent déjà cette autorisation. Par conséquent, cela ne suscite aucune suspicion.

·         Quiconque peut jeter un coup d'œil sur une carte SIM physique en verra l'ICCID gravé ou imprimé dessus, et l'ICCID correspond souvent à l'IMSI !

Les messages OMA CP ont un en-tête de sécurité facultatif permettant de valider l'authenticité du message. Lorsqu'un message OMA CP est authentifié avec le numéro IMSI du destinataire, les téléphones Huawei, LG et Sony permettent l'installation de paramètres malveillants. Notez que ces téléphones n’affichent aucun détail sur le message OMA CP quand il suggère à l’utilisateur de l’installer. En particulier, l'expéditeur du message n'est identifié d'aucune manière.



Figure 2 : Un message OMA CP authentifié par NETWPIN tel qu'il apparaît à un utilisateur de téléphone Sony.

Authentifié par code PIN

Pour les victimes potentielles dont l’IMSI ne peut être obtenue, le pirate peut envoyer deux messages à chaque victime. Le premier est un message texte censé provenir de l'opérateur réseau de la victime, lui demandant d'accepter un message OMA CP protégé par code PIN et spécifiant le code confidentiel comme étant un nombre arbitraire à quatre chiffres. Le pirate lui envoie ensuite un message OMA CP authentifié avec le même code PIN. Un tel message OMA CP peut être installé indépendamment de l’IMSI, à condition que la victime l’accepte et saisisse le code PIN correct.



Figure 3 : Un message OMA CP authentifié par code USERPIN tel qu'il apparaît à un utilisateur de téléphone Huawei.

Contexte technique

Le provisionnement est le processus par lequel les appareils reçoivent les paramètres dont ils ont besoin pour fonctionner dans leur environnement. Le principal cas d’utilisation initial du provisionnement OTA consiste à déployer des paramètres spécifiques à l’opérateur, tels que l’adresse du centre de service MMS de l’opérateur. Les entreprises utilisent également cette fonctionnalité pour déployer des paramètres tels que les adresses de serveur de messagerie sur les appareils de leurs collaborateurs. OMA CP, l’une des deux normes appliquées par OMA pour le provisionnement des paramètres par voie hertzienne, date de 2001 et sa spécification la plus récente date de 2009.

Nos recherches montrent que les implications des messages OMA CP sur la sécurité demeurent pertinentes même une décennie plus tard. La distribution de base d'Android ne gère pas les messages OMA CP, contrairement aux implémentations de nombreux autres fournisseurs, car OMA CP est la norme du secteur pour le provisionnement OTA. Sa spécification permet (mais ne nécessite pas !) L’authentification des messages OMA CP par code USERPIN, NETWPIN ou d'autres méthodes moins utilisées.

La transmission de tout SMS, qu’il s’agisse d’un message texte, d’un MMS, d’une notification de messagerie vocale ou de tout autre message, sous forme d’unités de données de protocole (PDU) spécifiées par le protocole SM-TP (protocole de transfert de messages courts), également appelé GSM 03.40. Les PDU GSM intégrant le contenu OMA CP comprennent :

·         Un en-tête SM-TP en tant que couche porteuse, spécifiant le numéro de téléphone du destinataire et le schéma de codage des données.

·         Un en-tête de données utilisateur (UDH) en tant que couche de transport, comprenant :

o   Un en-tête WDP (protocole de datagramme), spécifiant le port de destination 2948 (wap-push) et le port source 9200 (wap-wsp).

o   Un en-tête de message concaténé facultatif : les données utilisateur de chaque PDU sont limitées à 140 octets et les messages plus longs doivent être fragmentés.

·         Un en-tête WSP (protocole de cession) en tant que couche de session, contenant une authentification (le cas échéant).

·         WAP XML binaire (WBXML) en tant que couche applicative, intégrant le contenu.

À titre de démonstration, notre preuve de concept initiale (non authentifiée) pour les téléphones Samsung contenait le document XML suivant comme contenu, avec les chaînes spécifiant l'adresse de proxy et le numéro de port indiquées en surbrillance :


Figure 4 : Contenu XML du message OMA CP.

 

Le message OMA CP complet intégrant ce contenu est divisé en deux messages SMS physiques, représentés dans le diagramme suivant par deux chaînes d'octets :


Figure 5 : Représentation physique d'un message OMA CP.

 

Dans la chaîne WBXML, l'adresse de proxy et le numéro de port (mis en surbrillance avec les mêmes couleurs que dans le source XML) sont inclus en tant que chaînes ASCII à terminaison null, alors que les chaînes définies dans le schéma XML, telles que les noms d'éléments et les valeurs des attributs type et nom, sont représentés dans WBXML en tant que valeurs fixes à un octet.

Le contenu WBXML suit l'en-tête WSP qui comprend le code d'authentification du message, calculé à l'aide de l'IMSI du destinataire, sous forme de chaîne hexadécimale ASCII.

Conclusion

Nous avons décrit le déroulement d’une attaque avancée de phishing contre des téléphones Android modernes. Cette attaque permet à toute personne disposant d’un modem USB bon marché d’amener des utilisateurs à installer des paramètres malveillants sur leur téléphone. Pour cibler certains des téléphones vulnérables, le pirate doit connaître les numéros IMSI des victimes, qui peuvent être obtenus via une application Android disposant de l'autorisation READ_PHONE_STATE.

Nous avons vérifié notre preuve de concept sur les téléphones Huawei P10, LG G6, Sony Xperia XZ Premium et plusieurs téléphones Samsung Galaxy, y compris le S9.

Check Point SandBlast Mobile détecte les attaques de type « Man-in-the-Middle » afin de protéger vos appareils contre de tels messages OMA CP malveillants.

À propos de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde.  Les solutions de Check Point protègent les clients des cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres menaces ciblées avancées. Check Point propose « Infinity Total Protection avec prévention avancée des menaces de 5e génération », une architecture de sécurité à plusieurs niveaux, qui défend les Clouds, les réseaux et les appareils mobiles des entreprises. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.

 

Contact media

HL.COM

Christelle Klein

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

+ 33 (0)1 45 00 46 66