Los investigadores de Check Point han encontrado que los smartphones de Samsung, Huawei, LG y Sony son vulnerables a los mensajes Open Mobile Alliance Client Provisioning (OMA CP).
Los mensajes OMA CP son un estándar que le permite a los operadores móviles enviar configuraciones de red a los dispositivos del cliente en un formato especial.
Smartphones vulnerables a los mensajes OMA CP
La fuente menciona que el proceso de enviar mensajes OMA CP se le conoce como ‘aprovisionamiento’ y este se realiza cada vez que se conecta un nuevo equipo a la red del operador de telefonía o cuando estos despliegan cambios en sus sistemas.
De acuerdo con la investigación las grandes compañías tecnológicas no han implementado este estándar de la manera correcta, pues estos equipos Samsung, Huawei, LG y Sony aceptaron estos mensajes aún cuando no provenían de una fuente confiable.
Samsung como el más vulnerable
Los investigadores mencionan que de las cuatro compañías, los equipos de Samsung son los más vulnerables a este tipo de mensajes, ya que según mencionan estos smartphones aceptaban cualquier tipo de mensaje OMA CP, pues no cuentan con ningún tipo de autenticación o verificación.
Por otro lado, los dispositivos de Huawei, LG y Sony son más seguros, ya que le solicitaban al remitente del mensaje OMA CP que proporcionara el código IMSI del teléfono antes de aceptarlo.
Estos códigos IMSI son cadenas de 64 bits que son específicos para cada dispositivo utilizados por los proveedores móviles para redirigir las llamadas y los mensajes SMS / MMS a cada usuario.
Parches de seguridad
A principio de año Check Point informó a las diferentes compañías sobre esta vulnerabilidad para que tomaran cartas en el asunto, sin embargo, solo tres de ellas han desplegado o están trabajando en mitigar o eliminar esta vulnerabilidad.
En este sentido, se conoció que Samsung incluyó una solución en su versión de mantenimiento de seguridad desplegada en mayo (SVE-2019-14073), LG lanzó su solución en julio (LVE-SMP-190006), mientras que Huawei aún planea desplegar soluciones de UI para OMA CP en su próxima generación de smartphones como la serie Mate y/o serie P.
Sin embargo, Sony por el contrario no ha aceptado que sus equipos sean vulnerables, y de acuerdo con la fuente señalan que sus dispositivos siguen la especificación OMA CP y no ameritan ninguna configuración adicional.