IT NewsНовости рынкаНовости ИТ

Android под USSD-атакой

Евгений Курышев | 28.09.2012

Android под USSD-атакой

На ряде популярных смартфонов выполнение всего лишь одной «особенной» строчки html-кода может привести к откату к заводским настройкам и полной потере личной информации. В частности, это касается смартфонов Samsung под управлением мобильной ОС Android с фирменной оболочкой TouchWiz. Доподлинно известно, что уязвимость коснулась таких устройств, как Galaxy S III, Galaxy S II, Galaxy S Advance, Galaxy Beam и Galaxy Ace. На гаджетах без оболочки TouchWiz уязвимость не функционирует. Например, участи потенциальной жертвы избежала популярная модель Galaxy Nexus.

Существует три способа «заражения». Открытие ссылки, по которой содержится вредоносный код, а также с помощью технологий QR-кодов и NFC. Данный эксплоит может вызвать не только возврат к заводским настройкам и удаление личных данных пользователя, но и испортить SIM-карту. В рамках конференции по IT-безопасности Ekoparty 2012 впервые об этой уязвимости рассказал научный работник индийского происхождения из берлинского технического университета Рави Боргаонкар (Ravi Borgaonkar).

Он пояснил, что уязвимость использует удаленный запуск USSD-кодов (интерактивный телефонный сервис) на телефоне жертвы посредством встраивания специальных команд в определенной части HTML-кода страницы. В HTML существует оригинальный ссылочный префикс для телефонных номеров. С помощью префикса «tel:URL» (вместо URL - номер телефона) можно размещать телефонные номера в виде гиперссылок прямо на страницах сайта. Если же в этой части кода разместить USSD-команду, то многие телефоны при открытии подобной веб-страницы, произведут автоматическое ее выполнение.

Обычно эти команды помещаются в атрибут параметра SRC HTML-тега <iframe>, где SRC – это ссылка (URL) на нужный объект или команду. Проблема в том, что среди USSD-команд, помимо безобидных, вроде «*#06#», которая просто выводит на экран IMEI-код телефона, существуют и более серьезные инструкции. На некоторых телефонах, с помощью USSD-команды можно запустить процесс возврата к заводским настройкам и/или форматирование личных данных.

Samsung уже выпустила обновление, устраняющее данную уязвимость, для смартфонов Galaxy S III. О том, существуют ли такие же обновления для других устройств, на которых срабатывает эксплоит, пока неизвестно. Тем временем, начали поступать сведения о том, что данная уязвимость может поражать не только устройства Samsung. Пользователи Сети сообщают о том, что эксплоит успешно сработал на HTC One X (HTC Sense 4.0, Android 4.0.3), Motorola Defy (Cyanogen Mod 7, Android 2.3.5) и Sony Xperia Active.

Смартфон, Android


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

24.01.2020
Десятая церемония награждения лучших спикеров CFO-Russia.ru

Москва, Radisson Collection Moscow, Кутузовский проспект, 2/1, стр. 1

04.02.2020
ELMA DAY 2020 — презентация новой low-code платформы ELMA4

Москва, Цифровое деловое пространство (ЦДП), ул. Покровка, 47

07.02.2020 — 09.02.2020
Свободное программное обеспечение в высшей школе

Переславль-Залесский, г. Переславль-Залесский, ул. Петра Первого, д. 4А (Веськово, «Институт программных систем»).