I ricercatori della sicurezza informatica hanno avvertito mercoledì di software dannoso nei messaggi di testo che fingono di provenire da operatori di telecomunicazioni, aprendo una porta agli hacker per attaccare gli smartphone Android.

Un rapporto pubblicato da Check Point descrive una "nuova classe di attacchi di phishing" che, quando ha successo, può consentire agli hacker di rubare e-mail dagli smartphone Android realizzati da Huawei, LG, Samsung e Sony.

L'attacco si basa su messaggi di testo fatti apparire come se provenissero da operatori di telecomunicazioni affidabili che richiedono di aggiornare le impostazioni di rete, secondo Check Point.

Consentire il "provisioning over-the-air" su uno smartphone consentirà all'aggressore di accedere alle e-mail, il rapporto indicato.

"Quando ti unisci per la prima volta a una nuova rete di operatori, riceverai un caloroso messaggio di benvenuto dal tuo operatore:non fidarti, ", ha affermato il ricercatore di sicurezza di Check Point Slava Makkaveev.

"Semplicemente, non possiamo più fidarci di quei messaggi."

L'attacco può essere eseguito su larga scala senza alcun equipaggiamento speciale, solo un dongle USB che può essere acquistato per $ 10 circa, secondo Check Point.

I ricercatori hanno affermato di aver testato l'attacco su una serie di smartphone e di aver informato i rispettivi produttori di dispositivi delle loro scoperte all'inizio di quest'anno.

Samsung e LG hanno risolto la vulnerabilità negli aggiornamenti del software di sicurezza, e Huawei ha pianificato di fare lo stesso nella sua prossima generazione di smartphone serie Mate e P, hanno detto i ricercatori.

"Anche se le patch sono in corso con i fornitori Android nominati, i messaggi di operatori di telefonia mobile fidati sono, infatti, non ci si deve fidare, " ha sostenuto la società di sicurezza.

Il rapporto arriva giorni dopo che i ricercatori di Google hanno segnalato un'operazione di hacking che ha permesso agli aggressori di installare software dannoso su iPhone per un periodo di almeno due anni.

I ricercatori hanno anche espresso preoccupazione per la frode "SIM swap" che consente a un utente malintenzionato di acquisire un numero di telefono, e potenzialmente altri account, un trucco utilizzato nella breve acquisizione dell'account Twitter dell'amministratore delegato della piattaforma Jack Dorsey.

© 2019 AFP