Η μεγάλη ευπάθεια ασφαλείας σε ορισμένα τηλέφωνα Samsung μπορεί να προκαλέσει επαναφορά εργοστασιακών ρυθμίσεων μέσω ιστοσελίδας

Ενημέρωση, 09/26: Η Samsung μας είπε ότι το πιο πρόσφατο υλικολογισμικό Galaxy S3 επιδιορθώνει αυτήν την εκμετάλλευση. Οι δικές μας δοκιμές έχουν δείξει ότι άλλα τηλέφωνα, ιδίως τα μοντέλα Galaxy S2, ενδέχεται να διατρέχουν κίνδυνο, ωστόσο. Εάν εξακολουθείτε να ανησυχείτε, μπορείτε να ελέγξετε το Δοκιμή ευπάθειας USSD για να δείτε εάν το τηλέφωνό σας είναι ευάλωτο.

Μια μεγάλη ευπάθεια ασφαλείας έχει ανακαλυφθεί σε ορισμένα βασισμένα στο TouchWiz Samsung smartphone, συμπεριλαμβανομένου του Galaxy S2 και ορισμένα μοντέλα Galaxy S3 σε παλαιότερο υλικολογισμικό. Το σφάλμα παρουσιάστηκε για πρώτη φορά πριν από μέρες από τον ερευνητή ασφαλείας Ravi Borgaonkar στο συνέδριο ασφαλείας Ekoparty. Περιλαμβάνει τη χρήση μίας γραμμής κώδικα σε μια κακόβουλη ιστοσελίδα για άμεση ενεργοποίηση της εργοστασιακής επαναφοράς χωρίς να ζητηθεί από τον χρήστη ή να τους επιτρέψει να ακυρώσουν τη διαδικασία. Ακόμη πιο σοβαρή είναι η πιθανότητα ότι αυτό θα μπορούσε να συνδυαστεί με παρόμοιο σφάλμα για να καταστήσει την κάρτα SIM του χρήστη εκτός λειτουργίας. Και καθώς ο κακόβουλος κώδικας είναι σε μορφή URI, μπορεί επίσης να παραδοθεί μέσω κώδικα NFC ή QR.

Το Verizon Galaxy S3 δεν έγινε επαναφορά από τον κακόβουλο κώδικα που είναι ενσωματωμένος σε μια ιστοσελίδα, αν και μπορέσαμε να ενεργοποιήσουμε μια επαναφορά χρησιμοποιώντας παρόμοιο κώδικα που συνδέεται με έναν υπερσύνδεσμο. Το Mobile dev Justin Case μας λέει ότι το ζήτημα έχει επιλυθεί με τα τελευταία AT&T και διεθνή λογισμικά Galaxy S3, αν και οι συσκευές που δεν έχουν ενημερωθεί ενδέχεται να παραμείνουν ευάλωτες. Άλλοι ανέφεραν ότι επηρεάζονται επίσης συσκευές όπως το Galaxy Ace και το Galaxy Beam. Όσο μπορούμε να πούμε, ωστόσο, το σφάλμα δεν επηρεάζουν τα τηλέφωνα Samsung που διαθέτουν απόθεμα Android, όπως το Galaxy Nexus.

Η ευπάθεια είναι το αποτέλεσμα του τρόπου με τον οποίο η εγγενής εφαρμογή dialer Samsung χειρίζεται κωδικούς USSD και τηλεφωνικούς συνδέσμους. Οι κωδικοί USSD είναι ειδικοί συνδυασμοί χαρακτήρων που μπορούν να εισαχθούν στο πληκτρολόγιο για την εκτέλεση ορισμένων λειτουργιών, όπως η ενεργοποίηση προώθησης κλήσεων ή η πρόσβαση σε κρυφά μενού στη συσκευή. Στα τηλέφωνα Samsung, υπάρχει επίσης ένας κωδικός USSD για την επαναφορά εργοστασιακών ρυθμίσεων του τηλεφώνου (και πιθανώς άλλος για την τροφοδοσία της κάρτας SIM). Αυτό, σε συνδυασμό με το γεγονός ότι ο τηλεφωνητής εκτελεί αυτόματα τηλεφωνικούς συνδέσμους που τους μεταδίδονται Άλλες εφαρμογές, έχει ως αποτέλεσμα ένα ιδιαίτερα άσχημο πρόβλημα για όσους είναι αρκετά ατυχείς για να εκτελεστούν από κακόβουλο ιστό σελίδα.

Υπάρχουν, φυσικά, άλλες εφαρμογές αυτού του σφάλματος - για παράδειγμα, η δυνατότητα αυτόματης εκτέλεσης αριθμών μέσω του τηλεφωνητή θα μπορούσε να χρησιμοποιηθεί για την κλήση αριθμών τηλεφώνου premium. Όμως, το γεγονός ότι η απλή επίσκεψη σε έναν ιστότοπο θα μπορούσε να επαναφέρει εργοστασιακά το τηλέφωνό σας, να σκουπίσει τον εσωτερικό χώρο αποθήκευσης και να μηδενίσει τη SIM σας είναι ένα πολύ σοβαρό ζήτημα. Επομένως, θα σας συνιστούσαμε να ενημερώσετε το λογισμικό σας εάν χρησιμοποιείτε S3 και εάν δεν είστε, θα συνιστούσαμε να χρησιμοποιήσετε έναν τηλεφωνητή τρίτου μέρους όπως Dialer Ένα έως ότου ανατιναχθούν

Επικοινωνήσαμε με τη Samsung για σχόλιο σχετικά με αυτό το ζήτημα και θα σας ενημερώσουμε για τυχόν πληροφορίες που παρέχουν.

Πηγή: @ Paul Olvia; μέσω SlashGear, @ backlon, @teamandirc