Smartphone-uri Samsung vulnerabile la atacurile hackerilor

31

 

Ravi Borgaonkar, un cercet?tor al departamentului pentru securitate telecom din cadrul Berlin Institute of Technology, a prezentat în cadrul conferin?ei Ekoparty u problem? grava de securitate a celebrei interfe?e TouchWiz pentru Android de la Samsung.

Aceast? bre?? de securitate este prezent? în codul proprietar Samsung care se ocup? de preluarea ?i interpretarea codurilor USSD, acele mesaje bidirec?ionale instantanee folosite de unii operatori pentru diverse servicii informative, servicii bancare sau chiar mesagerie. Prin servirea unui cod HTML special conceput încorporat într-o pagina Web, un cod QR, un tag NFC sau un mesaj text, atacatorul poate declan?a rularea codului USSD iar utilizatorul nu mai poate face practic nimic pentru a opri opera?iunea în curs.

Vulnerabilitatea necesit? o ac?iune din partea utilizatorului, cum ar fi ap?sarea unei leg?turi într-o pagin? sau citirea unui cod QR, îns? codul necesar declan??rii ei poate fi u?or camuflat.

Ravi Borgaonkar ?i-a f?cut demonstra?ia cu un terminal Galaxy S III, îns? se pare c? aceast? vulnerabilitate este prezent? ?i în alte implement?ri TouchWiz. Nu toate terminalele Samsung sunt afectate, vulnerabiltiatea fiind prezent? doar în anumite versiuni sau implement?ri ale acetei interfe?e. În cursul demonstra?iei, cercet?torul a ar?tat c?, pe aceast? cale, pot fi activate ?i declan?ate codurile de restaurare a terminalului la set?rile din fabric? sau de blocare a cartelei SIM, existând c?i ?i pentru exploatarea unor alte servicii.

Calea de atac prin intermediul unui browser poate fi blocat? prin alegerea unui alt browser implicit, eventual ?i blocarea, pentru cei care ruleaz? Android 4.x, a browser-ului nativ TouchWiz. În func?ie de implementare, unele vor avertiza înaintea înc?rc?rii codului iar altele vor complet codul USSD în tastatura numeric? dar nu vor declan?a ?i ac?iunea. Pentru codurile NFC sau QR este recomandat? aten?ie ?i blocarea eventualelor op?iune de citire ?i afi?are automat?.