De Huawei P10 en Sony Xperia XZ Premium zijn kwetsbaar voor een phishingaanval waarbij het lijkt alsof de smartphone een bericht van de telecomprovider ontvangt, ontdekten onderzoekers van internetbeveiligingsbedrijf Check Point.
De phishingmethode maakt gebruik van een protocol dat normaal gesproken door telecomproviders wordt gebruikt om via een bericht specifieke instellingen voor een smartphone in te stellen.
Gebruikers van de getroffen Android-smartphones kunnen echter niet controleren of het betreffende bericht daadwerkelijk van hun provider afkomstig is, of van iemand anders met kwade intenties.
Een kwaadwillende kan, als hij het unieke identificatienummer van een smartphone (IMSI-nummer) in zijn bezit heeft, via het protocol een malafide bericht versturen. Met zo’n bericht is onder meer mogelijk om de startpagina van de internetbrowser en de server voor MMS- en e-mailberichten aan te passen.
Ook kan de aanvaller instellingen aanpassen waarmee al het internetverkeer van het slachtoffer zichtbaar wordt. Het slachtoffer moet de malafide instellingen in alle gevallen wel handmatig accepteren.
Ook LG- en Samsung-smartphones waren vatbaar
Ook de LG G6 en meerdere Galaxy-smartphones van Samsung waren vatbaar, maar beide fabrikanten hebben de kwetsbaarheid inmiddels weggenomen met een update.
Volgens Check Point komt Huawei in de toekomst met een een update voor zijn Mate- en P-smartphones die de kwetsbaarheid wegneemt. Sony zou de kwetsbaarheid van zijn toestellen ontkend hebben.
Gebruikers wordt aangeraden altijd goed op te letten als zij onverwachte berichten ontvangen. De door Check Point omschreven aanvalsmethode is eenvoudig te pareren door de malafide instellingen niet zomaar te accepteren.
