IT NewsНовости рынкаНовости ИТ

Android под USSD-атакой

Евгений Курышев | 28.09.2012

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Android под USSD-атакой

На ряде популярных смартфонов выполнение всего лишь одной «особенной» строчки html-кода может привести к откату к заводским настройкам и полной потере личной информации. В частности, это касается смартфонов Samsung под управлением мобильной ОС Android с фирменной оболочкой TouchWiz. Доподлинно известно, что уязвимость коснулась таких устройств, как Galaxy S III, Galaxy S II, Galaxy S Advance, Galaxy Beam и Galaxy Ace. На гаджетах без оболочки TouchWiz уязвимость не функционирует. Например, участи потенциальной жертвы избежала популярная модель Galaxy Nexus.

Существует три способа «заражения». Открытие ссылки, по которой содержится вредоносный код, а также с помощью технологий QR-кодов и NFC. Данный эксплоит может вызвать не только возврат к заводским настройкам и удаление личных данных пользователя, но и испортить SIM-карту. В рамках конференции по IT-безопасности Ekoparty 2012 впервые об этой уязвимости рассказал научный работник индийского происхождения из берлинского технического университета Рави Боргаонкар (Ravi Borgaonkar).

Он пояснил, что уязвимость использует удаленный запуск USSD-кодов (интерактивный телефонный сервис) на телефоне жертвы посредством встраивания специальных команд в определенной части HTML-кода страницы. В HTML существует оригинальный ссылочный префикс для телефонных номеров. С помощью префикса «tel:URL» (вместо URL - номер телефона) можно размещать телефонные номера в виде гиперссылок прямо на страницах сайта. Если же в этой части кода разместить USSD-команду, то многие телефоны при открытии подобной веб-страницы, произведут автоматическое ее выполнение.

Обычно эти команды помещаются в атрибут параметра SRC HTML-тега <iframe>, где SRC – это ссылка (URL) на нужный объект или команду. Проблема в том, что среди USSD-команд, помимо безобидных, вроде «*#06#», которая просто выводит на экран IMEI-код телефона, существуют и более серьезные инструкции. На некоторых телефонах, с помощью USSD-команды можно запустить процесс возврата к заводским настройкам и/или форматирование личных данных.

Samsung уже выпустила обновление, устраняющее данную уязвимость, для смартфонов Galaxy S III. О том, существуют ли такие же обновления для других устройств, на которых срабатывает эксплоит, пока неизвестно. Тем временем, начали поступать сведения о том, что данная уязвимость может поражать не только устройства Samsung. Пользователи Сети сообщают о том, что эксплоит успешно сработал на HTC One X (HTC Sense 4.0, Android 4.0.3), Motorola Defy (Cyanogen Mod 7, Android 2.3.5) и Sony Xperia Active.

Ключевые слова: смартфоны, Android

Другие материалы рубрики

Загрузка...

Компании сообщают

Мероприятия

23.08.2019
DISKOBALL от DataLine

Москва, Стадион "Метеор"

29.08.2019
Европейский опыт клиентского сервиса

Санкт-Петербург, Генеральное консульство Швеции, Малая Конюшенная ул., 1/3

29.08.2019 — 30.08.2019
II Петербургский Цифровой форум

Санкт-Петербург, Ленэкспо, павильон 7