Update, 09/26: Samsung ne-a spus că cel mai recent firmware Galaxy S3 rezolvă acest exploit. Testele proprii au arătat că alte telefoane, în special modelele Galaxy S2, pot fi totuși în pericol. Dacă vă mai preocupă, puteți verifica testul nostru de vulnerabilitate USSD pentru a vedea dacă telefonul dvs. este vulnerabil.
O vulnerabilitate majoră de securitate a fost descoperită în unele smartphone-uri Samsung bazate pe TouchWiz, inclusiv în Galaxy S2 și anumite modele Galaxy S3 de pe firmware-ul mai vechi. Bug-ul a fost demonstrat pentru prima dată în urmă cu câteva zile de cercetătorul de securitate Ravi Borgaonkar la conferința de securitate Ekoparty. Aceasta implică utilizarea unei singure linii de cod într-o pagină web dăunătoare pentru a declanșa imediat o resetare din fabrică fără a solicita utilizatorul sau a le permite să anuleze procesul. Și mai gravă este posibilitatea ca aceasta să fie asociată cu un glitch similar pentru a face cartela SIM a utilizatorului să nu funcționeze. Și cum codul rău intenționat este sub formă de URI, acesta poate fi livrat și prin cod NFC sau QR.
Verizon Galaxy S3 nu a fost resetat de codul rău încorporat într-o pagină web, deși am reușit să declanșăm o resetare folosind coduri similare legate la un hyperlink. Justin Case, Justin Case, ne spune că problema este rezolvată în cele mai recente firme AT&T și firmware internaționale Galaxy S3, deși dispozitivele care nu au fost actualizate pot rămâne vulnerabile. Alții au raportat că dispozitive precum Galaxy Ace și Galaxy Beam sunt, de asemenea, afectate. Totuși, din câte ne putem da seama, eroarea nu afectează telefoanele Samsung care rulează Android, cum ar fi Galaxy Nexus.
Vulnerabilitatea este rezultatul modului în care aplicația de apelare autohtonă Samsung gestionează coduri USSD și legături telefonice. Codurile USSD sunt combinații speciale de caractere care pot fi introduse în tastatură pentru a îndeplini anumite funcții, precum activarea redirecționării apelurilor sau accesarea meniurilor ascunse pe dispozitiv. La telefoanele Samsung, există și un cod USSD pentru resetarea fabricii (și probabil un altul pentru a-ți face telefonul SIM). Acest lucru, în combinație cu faptul că apelatorul rulează automat link-uri telefonice care îi sunt transmise de alte aplicații, duce la o problemă deosebit de urâtă pentru oricine suficient de nefericit pentru a fi condus de o pagină web dăunătoare.
Există, desigur, și alte aplicații ale acestui glitch - de exemplu, posibilitatea de a rula automat numere prin apelator ar putea fi folosită pentru a apela la numere de telefon cu tarif premium. Dar faptul că doar vizitarea unui site web vă poate reseta telefonul, șterge spațiul de stocare intern și nuanțează SIM-ul este o problemă foarte serioasă. Așadar, v-am sfătui să vă actualizați software-ul dacă folosiți un S3 și, dacă nu, vă recomandăm să folosiți un apelant terț, precum Dialer One, până când toate acestea s-au declanșat.
Am contactat Samsung pentru comentarii despre această problemă și vă vom ține la curent cu toate informațiile pe care le furnizează.
Sursa: @Paul Olvia; prin SlashGear, @backlon, @teamandirc
