invasão com OMA CP, como impedir?

Swalls · 11 de maio de 2024

Senhores, preciso de ajuda.

Recebi 4 sms pedindo para inserir senha no app da vivo(obviamente nem toquei neles).

liguei para minha operadora para perguntar se estava tudo ok, me informaram que houve uma ligação de 15 minutos usando o app da vivo. (sendo que eu nem uso esse app)

2 minutos depois recebi um uma mensagem de um serviço chamado OMA CP pedindo para instalar algo no meu celular.

Eu obviamente fui procurar a respeito, em br geral acha que é malware, mas no google (uso android) vi um tópico falando que se trata de um dos serviços androids instalados.

Esse serviço é vulnerável mas eu não consigo remove-lo, acredito que já pegaram acesso ao meu chip pois recebi vários protocolos agora.

Apenas desliguei o aparelho para caso seja um ataque man in the middle, o que eu faço? alguém sabe ajudar nesse caso?

12 de maio de 2024

Do meu ponto de vista, é a operadora quem deve lhe auxiliar, pois o ataque está vindo através da rede deles. Uma alternativa, seria colocar o chip em outro celular e ver como se comporta. Em paralelo, restaura o celular atacado. E troca as senhas.

https://isost.org/pt/o-que-é-omacp-no-android-e-como-desabilitá-lo/

https://olhardigital.com.br/2019/09/05/segurança/hackers-atacam-usuarios-do-android-com-tecnicas-de-phishing-por-sms/

Swalls · 13 de maio de 2024

@Mega Blaster eu desabilitei o OMA CP serviço usando o ADB e formatei o aparelho, espero que seja o suficiente.

Adamastor Abrolio Silve · 15 de outubro de 2024

@Swalls Pelo que entendi esse OMA CP serve para receber as configurações da OPERADO VIVO, TIM e OI e o celular fucionar corretamente na rede deles?

Falha de segurança deixa smartphones Android vulneráveis a ataques de phishing por SMS - Security Leaders

https://securityleaders.com.br/falha-de-segurança-deixa-smartphones-android-vulneraveis-a-ataques-de-phishing-por-sms/

A data da noticia sobre a vulnerabilidade é de Setembro de 2019! É bem antigo! Esse celular em questão é bem antigo? Qual versão do Android dele? Qual marca é?

No link que mandei "Os investigadores determinaram que certos telefones Samsung são mais vulneráveis a este tipo de ataque de phishing por não terem um processo de certificação de envio para emissores de mensagens OMA CP."

Em 13/05/2024 às 02:15, Swalls disse:

@Mega Blaster eu desabilitei o OMA CP serviço usando o ADB e formatei o aparelho, espero que seja o suficiente.

Precisa de root parra fazer isso?

Swalls · 15 de outubro de 2024

19 minutos atrás, Adamastor Abrolio Silve disse:

Precisa de root parra fazer isso?

Esse post foi em maio,
Não precisa de root, basta ativar a depuração nas opções de desenvolvedor, inclusive tenho usado ele para apagar todos os apps que o android não permite.

19 minutos atrás, Adamastor Abrolio Silve disse:

@Swalls Pelo que entendi esse OMA CP serve para receber as configurações da OPERADO VIVO, TIM e OI e o celular fucionar corretamente na rede deles?

Não fui a fundo, mas aparentemente ele é obsoleto ou algo assim, porém não foi removido em algumas marcas de celulares por questões de interesse ou negligencia mesmo.

ele não é necessário para funcionar na rede da operadora.

Eu não sei a razão, mas tem muito pouca informação sobre isso na internet, eu achei artigos no google scholar e essa materiazinha no tudocelulares.

Adamastor Abrolio Silve · 15 de outubro de 2024

Citação

Esse post foi em maio,

Eu me referia a data da nóticia sobre a vulnerabilidade desse link: https://securityleaders.com.br/falha-de-segurança-deixa-smartphones-android-vulneraveis-a-ataques-de-phishing-por-sms/

Citação

Não precisa de root, basta ativar a depuração nas opções de desenvolvedor, inclusive tenho usado ele para apagar todos os apps que o android não permite.

Interessante. Funciona em qualquer Android e qualquer fabricante então? Vem da fábrica muito app que não usamos mesmo. Isso seria muito útil... porém fica a questão: ligar o Android no Windows com essa função ativa no Android seria seguro ou aumentaria a chance de uma ataque ao celular? porque se essa duperação não estiver ativa ou Android não pode ser motificado, certo?

Citação

ele não é necessário para funcionar na rede da operadora.

Se não é preciso, será que a operadora utiliza para coletar alguns dados dos usuários? Fica a questão! porque sempre que coloco o chip da operada em um celular novo ou outro celular, pelo que me lembro vinha algumas configurações mesmo ou aviso que estava configurando algo no sistema para funcionar na rede da operadora.

Sempre tive curiosidade quais dados a operadora pega do celular ao conectar na rede deles (digo não só dados moveis, mas de ligação mesmo). Tipo quais dados de identificação do celular tipo IMEI ele tem acesso? O endereço MAC? Quais outros dados de indetificação do CEL eles teriam?

Citação

...aparentemente ele é obsoleto ou algo assim, porém não foi removido em algumas marcas de celulares por questões de interesse ou negligencia mesmo.

Depois falam que o cliente final ou usuário comum é sempre o ELO mais fraco!

Swalls · 15 de outubro de 2024

13 minutos atrás, Adamastor Abrolio Silve disse:

ligar o Android no Windows com essa função ativa no Android seria seguro ou aumentaria a chance de uma ataque ao celular?

eu fiz em uma distro ubuntu que criei rapidamente.

Mas tem para windows também.

Linio Alan · 15 de outubro de 2024

O OMA CP realmente é usado pelas operadoras como pelas fabricantes para enviarem informações de rede e afins para os aparelhos, o que como vemos caracteriza um tipo muito específico de mensagem (tráfego) que até pouco tempo atrás não tinha qualquer tipo de verificação/autenticação nem no próprio aparelho nem na rede da operadora que também poderia implementar uma camada à mais de segurança impedindo o tráfego de mensagens OMA não autenticas e/ou de origem desconhecida chegassem aos aparelhos dos assinantes de suas bases.

O que está em jogo, porém, é que essa verificação passasse à ser feita pelo próprio SO do aparelho, o que aparentemente foi efetuado por quase todas as principais fabricantes ainda antes da pandemia.

Então agora, no caso das fabricantes que implementaram o patch de correção no sentido de o sistema efetuar verificação em mensagens OMA CP checando a sua origem e autenticidade para só então permitir que as configurações contidas nela sejam instaladas, não significa porém que a própria mensagem OMA maliciosa trafegue pela rede da operadora, aliás já houveram casos em que hackers aqui em São Paulo mesmo ( https://www.tecmundo.com.br/segurança/288595-carro-hacker-ruas-paulo-perigo-distante-solucionado.htm ) efetuassem ataques Phishing realizando ataque MItM (Man-In-The-Middle) instalando equipamento que fez o "rogue" do tráfego entre os aparelhos e a ERB da operadora, devido uma falha intrínseca do padrão GSM de não autenticar/verificar o sincronismo do aparelho com a rede da operadora (propostas de correção disso passa pela implementação de técnicas baseadas em Redes Neurais inclusive).

1 hora atrás, Adamastor Abrolio Silve disse:

Interessante. Funciona em qualquer Android e qualquer fabricante então? Vem da fábrica muito app que não usamos mesmo. Isso seria muito útil... porém fica a questão: ligar o Android no Windows com essa função ativa no Android seria seguro ou aumentaria a chance de uma ataque ao celular? porque se essa duperação não estiver ativa ou Android não pode ser motificado, certo?

Se não é preciso, será que a operadora utiliza para coletar alguns dados dos usuários? Fica a questão! porque sempre que coloco o chip da operada em um celular novo ou outro celular, pelo que me lembro vinha algumas configurações mesmo ou aviso que estava configurando algo no sistema para funcionar na rede da operadora.

Sempre tive curiosidade quais dados a operadora pega do celular ao conectar na rede deles (digo não só dados moveis, mas de ligação mesmo). Tipo quais dados de identificação do celular tipo IMEI ele tem acesso? O endereço MAC? Quais outros dados de indetificação do CEL eles teriam?

Sua preocupação faz todo sentido de ser, sim as operadoras querendo ou não, possuem um poder GIGANTESCO de coleta de dados, muito mais do que se imagina e/ou se divulga, todos esses dados que você mencionou são coletados sim, e provavelmente muito mais já que o tráfego via redes de dados dos usuários não são criptografados.

1 hora atrás, Swalls disse:

eu fiz em uma distro ubuntu que criei rapidamente.

Mas tem para windows também.

Via Shodan é possível (ou era) encontrar smarphones vulneráveis via scan na internet aberta, sem qualquer tipo de proteção à ataques viabilizados via "Modo Desenvolvedor" e o "ADB over Wi-Fi and Ethernet" nas portas 5555 à 5585, por isso é boa prática desativar o Modo Desenvolvedor logo após terminar o que pretendia antes de habilitá-lo para fechar mais um elemento da 'Superfície de Ataque' infelizmente intrínseco dos dispositivos móveis.

Adamastor Abrolio Silve · 17 de outubro de 2024

@Linio Alan

Obrigado pelos esclarecimentos! Eu cheguei a ver essa notícia e pesquisei bem como os caras faziam isso. Achei que era por alguma vulnerabilidade mas depois vi que era pescagem de senha mesmo, com link falso enviado via SMS.

Algumas coisas são bem seguras e outras, ainda são bem inseguras quando se fala de telefonia. Parece que se mistura o antigo com o novo como é o caso do sms mesmo. Como pode até hj existir sms sem criptografia? Pior de tudo é pedir autenticação de dois fatores por sms (digo empresas grandes te obrigarem a usar sms como google e outras grandes empresas. Fora o risco de sequestro de de numero e toda sua vida vai junto porque vários serviços te obrigam e colocar seu telefone como forma de recuperação.

Citação

Sua preocupação faz todo sentido de ser, sim as operadoras querendo ou não, possuem um poder GIGANTESCO de coleta de dados, muito mais do que se imagina e/ou se divulga, todos esses dados que você mencionou são coletados sim, e provavelmente muito mais já que o tráfego via redes de dados dos usuários não são criptografados.

Pegando um exemplo do Windows: tenho analisado de vez em quando o trafego do pc com a internet e observo que o Windows checa alguma atualização via http. Alguma coisa ele faz sem ser https porque fica la em texto puro. Não sei se atualização do Internet explores ou algo do Windows mesmo. Boa parte da conexão cripotrografada já e o Windows busca atualização sem criptografia? rsrsrsr

Citação

Via Shodan é possível (ou era) encontrar smarphones vulneráveis via scan na internet aberta, sem qualquer tipo de proteção à ataques viabilizados via "Modo Desenvolvedor" e o "ADB over Wi-Fi and Ethernet" nas portas 5555 à 5585, por isso é boa prática desativar o Modo Desenvolvedor logo após terminar o que pretendia antes de habilitá-lo para fechar mais um elemento da 'Superfície de Ataque' infelizmente intrínseco dos dispositivos móveis.

Isso porque para fazer esse tal de ADB (modifcações no celular como remover programas) era preciso abrir a porta para o programa instalado no computador ter acesso ao celular via rede local via wifi ou cabo?

Eu não entendo porque o Android não pode ter um Firewall um pouco personalisavel. Nesse caso andiataria de algo esse firewall?

E o firewall dos roteadores domésticos, não impedem o celular de ficar expostos a internet? Esse ataque vinha do IPv4 ou IPV6?

Linio Alan · 20 de outubro de 2024

Em 17/10/2024 às 18:10, Adamastor Abrolio Silve disse:

@Linio Alan

Obrigado pelos esclarecimentos! Eu cheguei a ver essa notícia e pesquisei bem como os caras faziam isso. Achei que era por alguma vulnerabilidade mas depois vi que era pescagem de senha mesmo, com link falso enviado via SMS.

Algumas coisas são bem seguras e outras, ainda são bem inseguras quando se fala de telefonia. Parece que se mistura o antigo com o novo como é o caso do sms mesmo. Como pode até hj existir sms sem criptografia? Pior de tudo é pedir autenticação de dois fatores por sms (digo empresas grandes te obrigarem a usar sms como google e outras grandes empresas. Fora o risco de sequestro de de numero e toda sua vida vai junto porque vários serviços te obrigam e colocar seu telefone como forma de recuperação.

Quando da criação destas tecnologias não se pensavam tanto em segurança como pensamos hoje e quais tipos de dados se trafegam por esse tipo de comunicação. Implementar hoje uma camada de segurança sobre uma tecnologia legada e em vias de obsolência seria um desperdício de recursos, daí entende-se porque hoje em 2024 SMS puro ainda ser inseguro. Em segurança quase tudo orbita a premissa do "custo-benefício".

Em 17/10/2024 às 18:10, Adamastor Abrolio Silve disse:

@Linio Alan

Isso porque para fazer esse tal de ADB (modifcações no celular como remover programas) era preciso abrir a porta para o programa instalado no computador ter acesso ao celular via rede local via wifi ou cabo?

Eu não entendo porque o Android não pode ter um Firewall um pouco personalisavel. Nesse caso andiataria de algo esse firewall?

E o firewall dos roteadores domésticos, não impedem o celular de ficar expostos a internet? Esse ataque vinha do IPv4 ou IPV6?

Via rede local não se faz necessário abrir portas, não se o tráfego não estiver sendo verificado por algum tipo de ACL ou regra de firewall para tráfego interno, embora existam projetos de firewall para Android e AVs para ele terem assimilado essa função, nativamente não é algo comercialmente interessante de se ter (lembra da premissa "custo-benefício") uma vez que mitigação neste nível encareceria o hardware que deveria ser capaz de entregar mitigação de um ataque sem comprometer a usabilidade do sistema em si, e isso estamos falando de ataques reais, imagina falsos-positivos e problemas indiretos advindos disso para as fabricantes (vários apps sendo barrados indevidamente por leitura de payload malicioso) enfim.. a lista só aumenta.

No que se refere aos firewalls domésticos, esses sim podem e devem ter alguma camada de mitigação ou proteção, mas contra ataques sofisticados eles geralmente não terão tanta serventia, até porque roteadores domésticos foram criados para serem isso, roteadores, a camada de segurança embutida neles geralmente é básica. Essa função de proteção avançada fica por conta do que hoje chamamos de NGFW (Next Generation FireWall).