Niektoré smartfóny spoločnosti Samsung s používateľským prostredím TouchWiz obsahujú bezpečnostnú chybu. Odhalená bola bezpečnostným expertom Ravi Borgaonkarom na Ekoparty security konferencii. Bezpečnostná diera umožňuje pri navštívení webovej stránky so škodlivým kódom, spustiť reset na výrobné nastavenia a to bez akéhokoľvek dodatočného potvrdenia používateľom. Proces sa po spustení už nedá zastaviť. Závažným je tiež fakt, že môže dôjsť k úplnému vymazaniu SIM karty. Keďže škodlivý kód má formu URL adresy, môže sa prenášať aj cez NFC alebo prostredníctvom QR kódov. Medzi postihnutými zariadeniami by mali byť aj Samsung Galaxy SII, S Advance, Galaxy Beam a Galaxy Ace. Presný zoznam telefónov, ktorých sa tento problém týka však zatiaľ neexistuje.
Zraniteľnosť voči takémuto útoku je výsledkom toho, akým spôsobom spracúvajú USSD kódy natívny internetový prehliadač a dialer. USSD kód je špeciálna kombinácia znakov, ktorá po zadaní v dialeri spustí určitú funkciu, ako napríklad presmerovanie hovorov alebo zobrazí skryté servisné menu. Na Samsung telefónoch je tiež USSD kód pre reset na výrobné nastavenia a podľa všetkého aj na vymazanie SIM. Bezpečnostná chyba sa dá však využiť napríklad aj na vytáčanie prémiových čísel.
Čiastočným riešením je deaktivácia natívneho internetového prehliadača v nastaveniach telefónu a tiež vypnutie automatického spustenia URL z načítaných QR kódov alebo NFC tagov. Samsung sa k tomuto problému zatiaľ nevyjadril.
Aktualizácia:
Chyba sa údajne týka aj všetkých smartfónov so staršou verziou Androidu, v ktorých sa nachádza bezpečnostná diera priamo v natívnom intenetovom prehliadači. Novšie verzie by mali byť v bezpečí. Podľa informácií z portálu Slashgear, v Samsung Galaxy SIII nie je táto chyba prítomná.
Aktualizácia 2:
Či je váš smartfón zraniteľný proti tomuto typu útoku si teraz môžete jednoducho otestovať aj sami. Stačí ak navštívite webovú stránku pomocou nižšie uvedeného linku. Ak sa vám po jej spustení zobrazí dialer s vašim IMEI číslom, potom môže byť vaše zariadenie napadnuteľné. Ak nie, potom ste v bezpečí.
Test funguje na jednoduchom princípe. Nemusíte sa báť, že by ste prišli o svoje dáta. Po načítaní stránky sa v dialeri vytočí USSD kód pre zobrazenie IMEI. V prípade, že váš telefón je proti tomuto typu útoku imunný, potom sa nezobrazí nič alebo len číslo *#06# v poli pre zadávanie čísla. Nezabudnite, že stránku musíte spustiť v internetovom prehliadači vo svojom mobilnom zariadení.
-->Spusti TEST<--
Aktualizácia 3:
Existujé jednoduché riešenie ako zabrániť vytočeniu nebezpečného USSD čísla v dialeri. Nainštalujte si aplikáciu TelStop zadarmo dostupnú na Google Play. Pri navštívení stránky so škodlivým kódom sa najskôr zobrazí ponuka na výber aplikácie, s ktorou sa má prípadne nebezpečný kód otvoriť. Ak si nie ste istí tým, čo sa má vytočiť, zvoľte aplikáciu TelStop, ktorá vám zobrazí kombináciu vytáčania.
Zdroj: androidcentral
no dúfam že tam neni S3 :D
ma touchwiz takze je to dost mozne….aj ked sice novsiu verziu…cas ukaze
LOL … ale sak co sa da ocakavat od sikmookych… sračkaren, cely samsung
ty si sračkareň
ty si sračkaren
take nieco iphone nema :D ani ziadne virusy :D
ale hackeri ten dokonalý systém tak či tak prelomia, tak aká bezpečnosť??
by si sa cudoval… nic neny dokonale a ani iphone
naozaj? ios6 bol prelomeny este v den jeho vydania
ale je rozdiel, keď “prelomia” iOS 6 tým štýlom, že ty si potom môžeš stiahnuť funkčný nástroj a sám doma si DOBROVOĽNE spraviť jailbreak :) to nie je bezpečnostný problém ako pri Samsungu, kedy ti niekto druhý bez tvojho pričinenia vymaže telefón :D
Ešteže mám S3, f*ck yeah :-)
Zevraj to nebolo len na samsung phonoch, ale chyba v stock browseri, ktora uz je dlhsiu dobu fixnuta. Aspon na androidpolice pisu.
dokedy tu bude ta nechutna reklama na note? Ak sa tym este parkrat budem musiet preskrolovat, tak si to tu radsej zrusim z bookmarkov
presne, neskutočne ma to vytáča. Otvorím článok a z obsahu článku vidím iba nadpis a prvý riadok textu. S čistým svedomím môžem prehlásiť, že toto je najnepríjemnejšia reklama, akú som za posledný čas videl. Kokurovať môže snáď len nevypnuteľný “francúz” z reklamy na Easy Free http://www.telekom.sk/osobne/telefonovanie/mobilne-sluzby-a-tarify/easy/easy-free/
Skúšal som viacero prehliadačov a jediný, ktorý ten hack odignoroval bola Opera Mobile (nie Mini).
Tak aj môj HTC sensation XE to spustil
Mam S3 a pri internom prehliadaci to samozrejme ukaze imei ,pri opere je to v pohode
No super.. Mám SGSII s ICS custom rom a aj tak mi v teste ukázalo moje IMEI :-[
Ani TW netreba mať….
A pochopiteľne tento útok funguje aj cez maily. Práve som ho vyskúšal.:-)
Len pre poriadok – na sebe.:-)
Samsung galaxy s II ICS 4.0.3 tak isto mi ukazalo IMEI cislo
Dieru je mozne docasne zaplatat programikom NoTelURL z Andriod Storu ktora blokuje spustenie USSD kódu . Skusal som to na GS 2 a fuguje.
Posledný update Lookoutu už tiež rieši tieto kódy. Samozrejme že je treba najskôr povoliť kódu cez lookout.
Po update na JB (Supernexus Rom) už je tento problém vyriešený. Dialer už iba zobrazí kód na zobrezenie IMEI *#06# a nie samotné IMEI.
Na mojej Xperii X10 ukázalo IMEI číslo, tak používam https://play.google.com/store/apps/details?id=com.voss.notelurl