Oma client provisioning что это

Смартфоны Samsung, Huawei, LG и Sony уязвимы перед атаками через SMS

Xakep #248. Checkm8

Аналитики компании Check Point обнаружили, что многие устройства на Android (включая девайсы Samsung, Huawei, LG, Sony и, возможно, других производителей) уязвимы перед интересными атаками. Понадобится подделать всего одно специальное SMS-сообщение, какие обычно приходят от операторов мобильной связи, и злоумышленник сможет перехватывать электронную почту или трафик с уязвимых устройств.

Проблема, обнаруженная специалистами, связана с инструкциями OMA CP (Open Mobile Alliance Client Provisioning). Речь идет о стандарте, посредством которого операторы мобильной связи могут отправлять клиентским устройствам настройки сети в виде специальных сообщений. Такие сообщения могут содержать настройки сервера MMS-сообщений, адрес прокси, почтовый сервер, настройки домашней страницы браузера и закладок, серверы для синхронизации контактов и календаря, и многое другое.

Исследователи Check Point обнаружили, что четыре производителя смартфонов внедрили этот стандарт на своих устройствах небезопасным способом. Смартфоны Samsung, Huawei, LG и Sony могут принимать сообщения OMA CP, даже если те были получены из ненадежного источника.

Эксперты отмечают, что проще всего атаковать устройства Samsung, так как они принимают любые сообщения OMA CP без какой-либо аутентификации или верификации. Смартфоны Huawei, LG и Sony защищены чуть лучше, так как в их случае отправитель сообщения хотя бы должен предоставить IMSI устройства.

Хотя теоретически коды IMSI трудно получить, специалисты Check Point объясняют, что ничего невозможного здесь нет. К примеру, мобильные операторы предоставляют платные сервисы, с помощью которых они переводят номера телефонов в коды IMSI для сторонних поставщиков услуг мобильной связи. То есть злоумышленник может получить IMSI от самого провайдера за небольшую плату. Хуже того, почти треть всех Android- приложений имеют доступ к IMSI устройства, так как запросили и получили соответствующие разрешения. А значит, хакеры могут использовать коды IMSI, полученные с помощью вредоносных приложений или утечек данных.

Сообщение OMA CP разбитое на две SMS и содержащее пейлоад Сам пейлоад из сообщения выше

Хотя атака, описанная Check Point, не является автоматической (пользователь должен нажать кнопку и принять установку новых настроек атакующего), исследователи предупреждают, что злоумышленники могут без труда подделать отправителя. Фактически у получателя нет никаких реальных способов определить, кто отправил такое сообщение. Увы, это означает, что многие пользователи согласятся изменить настройки устройства на новые, полагая, что они получены от реального оператора мобильной связи.

В итоге, подменив настройки, злоумышленник сможет, например, перенаправить весь трафик жертвы через свой вредоносный сервер. Для реализации такой атаки не нужно никакого специального оборудования: для оправки специальных SMS будет достаточно GSM-модема (USB-донгла за 10 долларов, либо телефона, работающего в режиме модема) и простого скрипта.

К счастью, три из четырех обозначенных в докладе экспертов производителей уже работают над исправлением данной проблемы:

Samsung включила патч для этой проблемы в майском наборе обновлений (SVE-2019-14073);
LG выпустила свое исправление в июле (LVE-SMP-190006);
Huawei планирует внести необходимые исправления в UI для следующего поколения смартфонов серии Mate и серии P.

Единственный производитель, не собирающийся исправлять проблему — компания Sony. Исследователи объясняют, что инженеры Sony «отказались признать уязвимость, заявив, что их устройства соответствуют спецификации OMA CP».

Но аналитики Check Point не только рекомендуют производителям выпустить патчи, а пользователям – установить их. По их мнению, мобильные операторы должны блокировать сообщения OMA CP на уровне сети, чтобы сообщения такого типа не имели возможности пройти через их сети, если только не были отправлены самим оператором. По словам экспертов, в настоящее время доверять сообщениям OMA CP нельзя вовсе и лучше отклонять их все.

Большая часть Android-устройств уязвима к фишинговым атакам через смс

Недавно мы «порадовали» пользователей iPhone проблемами безопасности BLEee, но вряд ли мы сторонники какого-либо из фронтов в извечном споре Apple vs. Android, и готовы рассказать «отличную» новость про Android, если, конечно, в вашей душе есть место для злорадства.

Исследователи из Check Point Software Technologies обнаружили уязвимость, предположительно, в более чем 50% устройств на базе ОС Android в реализации механизма автонастройки для подключения к мобильному оператору по протоколу OMA CP (Open Mobile Alliance Client Provisioning), что позволяет злоумышленнику подменить как минимум следующие параметры устройства, осуществив атаку Man-in-the-middle с применением фишинга:

сервер сообщений MMS;
адрес прокси-сервера;
домашнюю страницу и закладки браузера;
адрес почтового сервера;
серверы синхронизации контактов и календаря.

Реализация OMA CP

OMA CP — это протокол управления устройством передачи данных спецификации OMA Device Management, разработанный в соответствии с мобильным стандартом Открытого Мобильного Альянса (Open Mobile Alliance), использующий XML-подобный SyncML (Synchronization Markup Language). Протокол OMA CP использует беспроводной протокол передачи данных WAP. Текущая версия OMA CP — 1.1 от 2009 года. При этом для обмена не требуется, чтобы в смартфоне присутствовала SIM-карта или было настроено подключение к Интернету.

Векторы атак используют процесс предоставления данных мобильному клиенту «по воздуху» (over-the-air (OTA) provisioning), с помощью которого мобильные операторы устанавливают необходимые настройки на устройства, подключающиеся к сотовой сети.

Стандарт предоставляет ряд мер по аутентификации CP-сообщений от оператора мобильных услуг, но не все вендоры их реализуют. При этом и сами меры не отличаются надежностью.
В рамках Android данный протокол реализуется omacp.apk.

Если верить исследованию, базовая ОС Android не использует защитные механизмы OMA CP, при этом большинство вендоров решают этот вопрос самостоятельно с помощью аутентификации OTA. Поэтому, если любишь перепрошивать свой девайс стоковым Android, то сейчас есть повод задуматься.

Условия и реализация атаки

Для отправки вредоносных OMA CP сообщений атакующему достаточно иметь GSM-модем и находиться в пределах досягаемости жертвы/жертв. При этом возможны как таргетированные атаки, так и широковещательная рассылка запросов на изменение настроек.

NETWPIN-аутентификация

За редким исключением (рассмотрено ниже про Samsung) сообщения от оператора аутентифицируются, предоставив девайсу его же IMSI (Mobile Subscriber Identity, уникальный 64-битный идентификатор устройства, аналогичный IP-адресу в «этих ваших интернетах»).

Насколько сложно «достать» IMSI — вопрос отдельный, но есть как минимум следующие способы:

вредоносное приложение на устройстве (при этом достаточно разрешения в манифесте permission.READ_PHONE_STATE);
посмотреть SIM-карту жертвы;
использование ISMI-catcher, имитирующих мобильные вышки, что потребует определенных вложений, но вполне возможно.

При получении CP-сообщения пользователю не предоставляется какая-либо информация об отправителе, и решение о легитимности решается сугубо жертвой.

USERPIN-аутентификация

Даже если у злоумышленника отсутствует ISMI, то можно осуществить следующий вектор атаки:

отправка сообщения от имени оператора с запросом о применении настроек;
автоматический запрос у пользователя PIN-кода системой;
отправка CP-сообщения с настройками, защищенного PIN-кодом, указанным пользователем.

Особо отличившийся

Если большинство уязвимых смартфонов использует слабые механизмы аутентификации OMA SMS, то в некоторых устройствах Samsung эта защита не была реализована в принципе на момент исследования (март 2019 г.). Злоумышленник мог просто отправить сообщение с запросом на настройку смартфона и при условии, что пользователь согласится с установкой, задаваемые в CP-сообщении параметры были бы применены. На данный момент Samsung выпустила обновление безопасности для исправления SVE-2019-14073. Так что, если ты не любитель обновлений от вендора или фанат кастомных Android-прошивок, то лучше озаботиться данной проблемой.
Что интересно, у Samsung это уже не первый случай подобного отношения к безопасности OMA CP:

В Samsung Galaxy S4-S7 приложение omacp игнорирует разграничения безопасности, что ведет к применению незапрашиваемых WAP Push SMS сообщений, в результате чего происходит неавторизованное изменение настроек в рамках набора уязвимостей SVE-2016-6542.

Противодействие

Как дела у Apple? и философский вопрос

К счастью для злорадного (нет, это не ты) Apple-пользователя, в данных устройствах используется механизм Apple iOS profiles с использованием сертификатов. Почему похожая система защиты не используется в Android-устройствах? Вопрос более чем интересный.

Please help us improve our website

Take our customer survey to evaluate your visit.

It should only take a few minutes to answer five quick questions. Just click the Launch survey button at the end of your visit to begin.

Support forum
:
Phones & Tablets
:
X-series
:
Xperia X
:
OMA Client Provisioning

Mark Topic as New
Mark Topic as Read
Float this Topic for Current User
Bookmark
Subscribe
Printer Friendly Page

If you want to get the max out of your Xperia phone then check out Xperia tips page.

OMA Client Provisioning

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2017-06-25 11:06 PM

I have this alert saying ‘OMA Client Provisioning’ Configuration message. Tap here to configure device.

Can someone explain this? What is this, is it safe? Should I ignore it, or rempve/disable it?

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2017-06-28 04:56 AM

Hi @Bodger14, welcome to the community.

OMA Client Provisioning used is to download the settings from your network and applying them to your phone automatically. It’s safe.

Official Sony Xperia Support Staff

If you’re new to our forums, make sure that you’ve read our Discussion guidelines.

To get in touch with your local support team, please visit our contact page.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2017-07-13 10:53 PM

I have just installed the new software update.I now have a configuration message from OMA client provisioning. “Tap here to configure device”. I have tapped and then I have tapped the “Finished” button but the message will not go away.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2017-10-09 11:11 PM

I have this alert saying ‘OMA Client Provisioning’ Configuration message. Tap here to configure device

But it didn’t work.. Because they asked for an authentication code to continue configuration.. could you please explain how can I get this code ?

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2017-11-15 01:47 PM

The code is sometimes

Or the last 4 digits of your mobile number

Moderators are not affiliated with, or work for Sony Mobile, and their posts represent their own opinions and views.
Click here to find out more about the different roles on the community.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2018-08-03 06:28 PM – last edited on ‎2018-08-04 08:33 PM by alexdon

Eu também fiquei assustado quando vi esta mensagem no meu smartphone. Mas pesquisei e vi que é seguro. Se vc concluor e a mensagen continuar, não aperte excluir mas sim “adiar” que a mensagem some. E apague as notificações caso apareça está opção.

I was also scared when I saw this message on my smartphone. But I did a search and saw that it was safe. If you conclude and the message continues, do not press delete but rather “postpone” the message some. And delete notifications if this option appears.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2018-08-03 11:39 PM – edited ‎2018-08-03 11:42 PM

Would you be so kind to translate your post in English as this is an English based forum.

translate.goole.com is your friend

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2018-10-14 02:13 PM

One of the replies seemed to indicate that it was safe or best to delete the notification without taking any action.

I responded to the notification, entered the PIN 1234, as suggested, and was then faced with a question regarding “WEB”, overwrite or new? Do I respond to this, and, if so, which, overwrite or new? Or should I go back and delete the notification with no other action.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2019-06-27 10:37 PM

Thanks 1234 worked.

Mark as New
Bookmark
Subscribe
Permalink
Print
Email to a Friend
Report Inappropriate Content

‎2019-08-19 09:20 AM – edited ‎2019-08-19 09:21 AM

One of the replies seemed to indicate that it was safe or best to delete the notification without taking any action.

I responded to the notification, entered the PIN 1234, as suggested, and was then faced with an essay question regarding “WEB”, overwrite or new? Do I respond to this, and, if so, which, overwrite or new? Or should I go back and delete the notification with no other action.

I had the same message. So I tried to insert the last 4 digits of my phone number and it worked. If you choose overwrite, you need to back up videos, photos, etc. stored on the internal memory, if I’m not mistaken.

Смартфоны Samsung, Huawei, LG и Sony уязвимы перед атаками через SMS

Xakep #248. Checkm8

Сообщение OMA CP разбитое на две SMS и содержащее пейлоад Сам пейлоад из сообщения выше

Samsung включила патч для этой проблемы в майском наборе обновлений (SVE-2019-14073);
LG выпустила свое исправление в июле (LVE-SMP-190006);
Huawei планирует внести необходимые исправления в UI для следующего поколения смартфонов серии Mate и серии P.

OMA DM protocol support

The OMA DM client communicates with the server over HTTPS and uses DM Sync (OMA DM v1.2) as the message payload. This topic describes the OMA DM functionality that the DM client supports in general. The full description of the OMA DM protocol v1.2 can be found at the OMA website.

In this topic

OMA DM standards

The following table shows the OMA DM standards that Windows uses.

Data transport and session

Client-initiated remote HTTPS DM session over SSL.

Remote HTTPS DM session over SSL.

Remote DM server initiation notification using WAP Push over Short Message Service (SMS). Not used by enterprise management.

Remote bootstrap by using WAP Push over SMS. Not used by enterprise management.

OMA Client Provisioning XML.

DM protocol commands

The following list shows the commands that are used by the device. For further information about the OMA DM command elements, see “SyncML Representation Protocol Device Management Usage (OMA-SyncML-DMRepPro-V1_1_2-20030613-A)” available from the OMA website.

Add (Implicit Add supported)

Alert (DM alert): Generic alert (1226) is used by enterprise management client when the user triggers an MDM unenrollment action from the device or when a CSP finishes some asynchronous actions. Device alert (1224) is used to notify the server some device triggered event.

Atomic: Note that performing an Add command followed by Replace on the same node within an atomic element is not supported. Nested Atomic and Get commands are not allowed and will generate error code 500.

Delete: Removes a node from the DM tree, and the entire subtree beneath that node if one exists

Exec: Invokes an executable on the client device

Get: Retrieves data from the client device; for interior nodes, the child node names in the Data element are returned in URI-encoded format

Replace: Overwrites data on the client device

Result: Returns the data results of a Get command to the DM server

Sequence: Specifies the order in which a group of commands must be processed

Status: Indicates the completion status (success or failure) of an operation

If an XML element that is not a valid OMA DM command is under one of the following elements, the status code 400 is returned for that element:

If no CmdID is provided in the DM command, the client returns blank in the status element and the status code 400.

If Atomic elements are nested, the following status codes are returned:

The nested Atomic command returns 500.

The parent Atomic command returns 507.

For more information about the Atomic command, see OMA DM protocol common elements.

Performing an Add command followed by Replace on the same node within an Atomic element is not supported.

LocURI cannot start with “/”.

Meta XML tag in SyncHdr is ignored by the device.

OMA DM standard objects

OMA DM DMS account objects (OMA DM version 1.2)

Authenticate DM server initiation notification SMS message (not used by enterprise management)

Application layer Basic and MD5 client authentication

Authenticate server with MD5 credential at application level

Data integrity and authentication with HMAC at application level

SSL level certificate based client/server authentication, encryption, and data integrity check

In the OMA DM tree, the following rules apply for the node name:

“.” can be part of the node name.

The node name cannot be empty.

The node name cannot be only the asterisk (*) character.

Provisioning XML must be well formed and follow the definition in SyncML Representation Protocol specification.

If an XML element that is not a valid OMA DM command is under SyncBody, the status code 400 is returned for that element.

To represent a Unicode string as a URI, first encode the string as UTF-8. Then encode each of the UTF-8 bytes using URI encoding.

Windows supports sending and receiving SyncML in both XML format and encoded WBXML format. This is configurable by using the DEFAULTENCODING node under the w7 APPLICATION characteristic during enrollment. For more information about WBXML encoding, see section 8 of the SyncML Representation Protocol specification.

Handling of large objects

In Windows 10, version 1511, client support for uploading large objects to the server was added.

OMA DM protocol common elements

Common elements are used by other OMA DM element types. The following table lists the OMA DM common elements used to configure the devices. For more information about OMA DM common elements, see “SyncML Representation Protocol Device Management Usage” (OMA-SyncML-DMRepPro-V1_1_2-20030613-A) available from the OMA website.

General area	OMA DM standard that is supported

Specifies an authentication challenge. The server or client can send a challenge to the other if no credentials or inadequate credentials were given in the original request message.

Specifies the name of an OMA DM command referenced in a Status element.

Specifies the unique identifier for an OMA DM command.

Specifies the ID of the command for which status or results information is being returned. This element takes the value of the CmdID element of the corresponding request message.

Specifies the authentication credential for the originator of the message.

Indicates that the current message is the last message in the package.

Specifies the display name in the Target and Source elements, used for sending a user ID for MD5 authentication.

Specifies the address of the target or source location. If the address contains a non-alphanumeric character, it must be properly escaped according to the URL encoding standard.

Specifies a unique identifier for an OMA DM session message.

Specifies the ID of the corresponding request message. This element takes the value of the request message MsgID element.

Specifies the URI that the recipient must use when sending a response to this message.

Specifies the identifier of the OMA DM session associated with the containing message.

Specifies the message source address.

Specifies the source of the corresponding request message. This element takes the value of the request message Source element and is returned in the Status or Results element.

Specifies the address of the node, in the DM Tree, that is the target of the OMA DM command.

Specifies the target address in the corresponding request message. This element takes the value of the request message Target element and is returned in the Status or Results element.

Specifies the major and minor version identifier of the OMA DM representation protocol specification used to represent the message.

Specifies the major and minor version identifier of the OMA DM protocol specification used with the message.

Device management session

A Device Management (DM) session consists of a series of commands exchanged between a DM server and a client device. The server sends commands indicating operations that must be performed on the client device’s management tree. The client responds by sending commands that contain the results and any requested status information.

A short DM session can be summarized as the following:

A server sends a Get command to a client device to retrieve the contents of one of the nodes of the management tree. The device performs the operation and responds with a Result command that contains the requested contents.

A DM session can be divided into two phases:

Setup phase: In response to a trigger event, a client device sends an initiating message to a DM server. The device and server exchange needed authentication and device information. This phase is represented by steps 1, 2, and 3 in the following table.
Management phase: The DM server is in control. It sends management commands to the device and the device responds. Phase two ends when the DM server stops sending commands and terminates the session. This phase is represented by steps 3, 4, and 5 in the following table.

The following table shows the sequence of events during a typical DM session.

Element	Description

DM client is invoked to call back to the management server

Enterprise scenario вЂ“ The device task schedule invokes the DM client.

The MO server sends a server trigger message to invoke the DM client.

The trigger message includes the server ID and tells the client device to initiate a session with the server. The client device authenticates the trigger message and verifies that the server is authorized to communicate with it.

Enterprise scenario – At the scheduled time, the DM client is invoked periodically to call back to the enterprise management server over HTTPS.

The device sends a message, over an IP connection, to initiate the session.

This message includes device information and credentials. The client and server do mutual authentication over an SSL channel or at the DM application level.

The DM server responds, over an IP connection (HTTPS).

The server sends initial device management commands, if any.

The device responds to server management commands.

This message includes the results of performing the specified device management operations.

The DM server terminates the session or sends another command.

The DM session ends, or Step 4 is repeated.

The step numbers in the table do not represent message identification numbers (MsgID). All messages from the server must have a MsgID that is unique within the session, starting at 1 for the first message, and increasing by an increment of 1 for each additional message. For more information about MsgID and OMA SyncML protocol, see “OMA Device Management Representation Protocol” (DM_RepPro-V1_2-20070209-A) available from the OMA website.

During OMA DM application level mutual authentication, if the device response code to Cred element in the server request is 212, no further authentication is needed for the remainder of the DM session. In the case of the MD5 authentication, the Chal element can be returned. Then the next nonce in Chal must be used for the MD5 digest when the next DM session is started.

If a request includes credentials and the response code to the request is 200, the same credential must be sent within the next request. If the Chal element is included and the MD5 authentication is required, a new digest is created by using the next nonce via the Chal element for next request.

For more information about Basic or MD5 client authentication, MD5 server authentication, MD5 hash, and MD5 nonce, see the OMA Device Management Security specification (OMA-TS-DM_Security-V1_2_1-20080617-A), authentication response code handling and step-by-step samples in OMA Device Management Protocol specification (OMA-TS-DM_Protocol-V1_2_1-20080617-A), available from the OMA website.

User targeted vs. Device targeted configuration

For CSPs and policies that support per user configuration, the MDM server can send user targeted setting values to the device that a MDM-enrolled user is actively logged into. The device notifies the server of the login status via a device alert (1224) with Alert type = in DM pkg#1.

The data part of this alert could be one of following strings:

Оценка статьи:

(пока оценок нет)

Загрузка...

Автор

Нравится ли вам эта статья?

Да
Нет
Можно сделать лучше

Результаты

Oma client provisioning что это

Смартфоны Samsung, Huawei, LG и Sony уязвимы перед атаками через SMS

Xakep #248. Checkm8

Большая часть Android-устройств уязвима к фишинговым атакам через смс

Реализация OMA CP

Условия и реализация атаки

NETWPIN-аутентификация

USERPIN-аутентификация

Особо отличившийся

Противодействие

Как дела у Apple? и философский вопрос

Please help us improve our website

Take our customer survey to evaluate your visit.

OMA Client Provisioning

Смартфоны Samsung, Huawei, LG и Sony уязвимы перед атаками через SMS

Xakep #248. Checkm8

OMA DM protocol support

In this topic

OMA DM standards

OMA DM protocol common elements

Device management session

User targeted vs. Device targeted configuration

Читайте также: