AT&T é uma das 48 operadoras em todo o mundo que têm uma vulnerabilidade de rede que permite que hackers interceptem dados de celular e injetar conteúdo malicioso no tráfego que passa entre smartphones e sites eles visitam. A falha pode ser usada para transferir código para páginas não criptografadas, o que faz com que o usuário execute ações indesejadas, como enviar mensagens ou solicitações de amigos do Facebook e Twitter. E seu iPhone pode estar vulnerável.
O mais preocupante é que o ataque também pode ser usado para redirecionar usuários a sites bancários fraudulentos. A vulnerabilidade está em certos firewalls usados por certas operadoras de celular, que, ironicamente, têm como objetivo tornar as redes de dados mais seguras. Ars Technica explica:
Embora pretendam tornar as redes mais seguras, esses middleboxes de firewall permitem que os hackers inferam a sequência TCP números de pacotes de dados anexados a cada pacote de dados, uma divulgação que pode ser usada para adulterar a Internet conexões.
A vulnerabilidade foi descoberta por pesquisadores da Ciência da Computação e Engenharia da Universidade de Michigan Departamento, que detalhou suas descobertas em um artigo de pesquisa que será apresentado no Simpósio IEEE sobre Segurança desta semana e privacidade. O jornal diz:
O ataque de inferência de número de sequência TCP abre um novo conjunto de locais de ataque. Isso quebra a suposição comum de que a comunicação é relativamente segura em redes WiFi ou celulares criptografadas / protegidas que criptografam o tráfego sem fio. Na verdade, como nosso ataque não depende da detecção de tráfego, ele funciona independentemente da tecnologia de acesso, desde que nenhuma proteção da camada de aplicativo esteja habilitada.
Os ataques foram testados em 150 operadoras não identificadas em todo o mundo - 48 das quais estavam usando o firewall vulnerável - com uma seleção de smartphones Android da HTC, Motorola e Samsung. No entanto, Zhiyun Qian, um dos co-autores do artigo, disse a Ars que "não há razão para acreditar que os dispositivos iOS da Apple não possam ser sequestrados também."
A AT&T afirma que “o relatório não fornece detalhes suficientes para que possamos confirmar uma conclusão”, no entanto, ele promete “dar uma olhada nas questões levantadas”.
Os pesquisadores desenvolveram toda uma gama de ataques que funcionam em diferentes cenários. Um usa um aplicativo malicioso instalado em um dispositivo Android para interceptar certos pacotes de dados e sequestrar conexões e injetar conteúdo malicioso, enquanto outro usa roteadores intermediários para enviar dados por meio de um rede da operadora.
Mas uma variação não requer nenhum malware e usa phishing de URL para atrair usuários a sites maliciosos.
Quando certas condições são atendidas, o ataque pode substituir o conteúdo do site por tráfego arbitrário ou se o usuário estiver conectado ao o site de destino pode injetar JavaScript nas páginas que roubam cookies de autenticação ou executa ações em nome da vítima.
O ingrediente presente em todos esses ataques é um firewall vulnerável na rede da operadora, que usa números de sequência para conexões que o usuário final fez com outro endereço na Internet. Esses firewalls vêm de vários fabricantes, incluindo Cisco, Juniper e Check Point.
“Todos eles se baseiam na inferência do número de sequência”, disse Qian sobre os ataques. “Sem o número de sequência, todos esses ataques não seriam possíveis, então você pode pensar na inferência do número de sequência como um bloco de construção para todos esses ataques.”
Qian acredita que todos os firewalls devem ser desativados, mas observa que as operadoras podem ter seus próprios motivos para não desativá-los.
Fonte: Ars Technica