Ecosistemul Android a primit o zgomot ieri, cu dezvăluirea că legăturile simple - ceva ce s-ar putea doar să deschideți online - ar putea declanșa ștergerea completă a unor dispozitive Android. Cercetătorul Ravi Borgaonkar a dezvăluit exploatarea și (bineînțeles) dispozitivul care a atras toată atenția a fost cel mai bine vândut Samsung Galaxy S III. Samsung a lansat deja un patch pentru vulnerabilitate. Dar se pare că multe alte telefoane Android sunt aparent vulnerabile la același exploat. Rădăcina problemei se află în apelatorul standard Android; Chiar dacă Google a remediat problema cu câteva luni în urmă, este posibil ca această soluție să nu fi ajuns la dispozitivele Android actuale și mulți nu o vor primi niciodată.
Există motive de îngrijorare, dar nu de panică absolută. Iată cum funcționează exploit-ul și câteva sfaturi despre modul în care utilizatorii Android se pot proteja.
Ce este USSD?
Noul exploit Android se bazează pe un protocol încorporat în majoritatea telefoanelor numit USSD sau Unstructured Supplementary Service Data. Gândiți-vă la USSD un pic ca un protocol de mesagerie text, dar în loc să fie folosit pentru a transmite mesaje scurte între utilizatorii de telefoane, este destinat să permită atât producătorilor de dispozitive, cât și operatorilor de telefonie mobilă să construiască servicii suplimentare pentru telefoanele și rețeaua lor. La fel ca mesajele text, mesajele USSD sunt scurte (până la 182 de caractere), dar spre deosebire de mesajele text, ele pot deschide o conexiune de rețea bidirecțională între un dispozitiv și un punct final de rețea, deci sunt mai receptive decât mesajele SMS și pot fi utilizat pentru servicii interactive în timp real.
Oamenii care se bazează pe servicii de telefon preplătite au folosit probabil serviciile USSD pentru a-și verifica soldul rămas preplătit. De exemplu, utilizatorii T-Mobile plătesc în avans#999# pentru a le vedea echilibrul. Acesta este USSD. Cu toate acestea, USSD poate sprijini aplicații mai sofisticate, cum ar fi serviciile de plată mobilă - de fapt, acesta este unul dintre motivele pentru care unele țări în curs de dezvoltare sunt mai mult împreună cu plățile mobile decât America de Nord și Europa. Alte servicii au construit funcții de rețea socială pentru Twitter, Facebook și alte servicii de rețele sociale, deși acestea sunt de obicei văzute doar pe telefoanele funcționale pe piețele emergente.
USSD este implementat în telefoanele GSM (utilizatorii standard de către operatori precum AT&T și T-Mobile), dar asta da nu înseamnă că sunteți deconectat dacă utilizați un telefon cu un operator CDMA precum Verizon sau Sprint. Multe coduri USSD declanșează acțiuni pe dispozitivul local și fac nu necesită un operator de telefonie mobilă care acceptă USSD. Multe telefoane construite pentru rețelele CDMA vor răspunde acestor coduri.
USSD este, prin definiție, nestructurat, ceea ce înseamnă că telefoanele nu acceptă aceleași seturi de coduri USSD. Diferenți producători și operatori de telefonie mobilă și-au urmat în mare măsură propriile instincte cu privire la modul în care dezvoltă caracteristici și servicii USSD. Un cod USSD care face un lucru pe un telefon Nokia poate face altceva în întregime pe un telefon LG - sau nimic. Cu toate acestea, un cod frecvent utilizat este *#06#, care afișează adesea numărul unic IMEI (International Mobile Equipment Identity) al unui dispozitiv.
Tel: eu o poveste
USSD nu este nimic nou și nu reprezintă o amenințare nouă pentru Android. Ceea ce a demonstrat Ravi Borgaonkar a fost o combinație uimitor de simplă de coduri USSD cu protocolul URL „tel:”. Ați văzut protocoale URL în lucruri precum linkuri web și adrese de e-mail - acestea sunt http: și mailto:, respectiv. Cu toate acestea, există sute de alte protocoale URL.
tel: protocolul permite utilizatorilor să formeze un număr de telefon dintr-un browser Web: tel: 555-1212 ar trebui să conecteze majoritatea americanilor la asistență la nivel național, de exemplu. Demonstrația lui Borgaonkar a combinat tel: Schema URL cu un anumit cod USSD care - ați ghicit - poate efectua o resetare din fabrică a unor dispozitive Android. Borgaonkar a numit această resetare din fabrică USSD „tragedia Samsung”, în parte deoarece implementarea de către Samsung a comenzii sale de ștergere nu implică interacțiunea cu utilizatorul. Unele alte dispozitive au comenzi similare de resetare din fabrică, dar cel puțin necesită confirmare manuală de la utilizator.
În teorie, tot ce ar trebui să facă un atacator este să încorporeze un URL rău intenționat într-un site web și orice dispozitiv vulnerabil care încarcă pagina respectivă va fi resetat la valorile implicite din fabrică. (În unele cazuri, aceasta include chiar ștergerea cartelei SIM.)
Este tentant să credem că aceasta este doar o vulnerabilitate cu browserul încorporat al unui telefon, dar în cazul lui Android se află într-adevăr în apelatorul implicit pentru Android: Borgaonkar a demonstrat și modalități de a executa resetarea USSD folosind coduri QR, mesaje SMS WAP Push și (în cazul Galaxy S III) chiar și prin NFC. Nu este nevoie să implicați un browser. Orice aplicație care poate forma un număr pe un telefon Android poate declanșa o comandă USSD.
Nu sfârșitul lumii?
Vulnerabilitatea ar putea părea destul de cumplită, dar Hendrik Pilz și Andreas Marx de la firma independentă de securitate germană AV-TEST observă că vulnerabilitatea probabil nu este foarte atrăgătoare pentru infractorii cibernetici.
„Credem că majoritatea scriitorilor de programe malware ar putea să nu fie interesați să exploateze vulnerabilitatea, deoarece nu va avea sens să ștergeți un telefon sau să blocați utilizatorii”, au spus într-un comunicat prin e-mail. „Programele malware încearcă să păstreze tăcerea în sistemul dvs., astfel încât dispozitivul dvs. mobil poate fi utilizat pentru un fel de activități rău intenționate, posibil criminale. Acest lucru va funcționa numai cu sistemele de rulare și de lucru. ”
Telefonul dvs. este vulnerabil?
Până în prezent, numai telefoanele Samsung selectate s-au dovedit a avea un cod USSD care efectuează o resetare din fabrică. Cu toate acestea, asta nu înseamnă telefoane de la alți furnizori nu au coduri similare pe care atacatorii le-ar putea folosi pentru a șterge telefoanele, pentru a provoca pierderea datelor sau chiar pentru a înscrie utilizatorii pentru servicii scumpe. La urma urmei, aceasta este o distracție preferată a autorilor de malware Android.
Din păcate, nu există un mod sigur de a determina dacă un telefon Android este vulnerabil la un atac bazat pe USSD, ci utilizatorii poate sa verificați dacă numerele de apelare sunt vulnerabile.
S-a confirmat că următoarele dispozitive sunt vulnerabile la apelarea codurilor USSD de pe o pagină Web:
- HTC Desire HD
- HTC Desire Z
- HTC Legend
- HTC One W
- HTC One X
- HTC Sensation (XE) (care rulează Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Motorola Milestone
- Motorola Razr (care rulează Android 2.3.6)
- Samsung Galaxy Ace, Beam și S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (care rulează Android 4.0.4)
Din nou, acest lucru se întâmplă nu înseamnă că toate aceste dispozitive pot fi șterse prin USSD. Până în prezent, numai telefoanele Samsung selectate au fost confirmate a fi șterse printr-o comandă USSD. Multe alte dispozitive pot forma comenzi USSD - și există chiar rapoarte că unele dispozitive care rulează Symbian și sistemul de operare Samsung Samsung vor forma comenzi USSD folosind tel: URL-uri.
Borgaonkar a oferit o pagină de test care folosește un iframe pentru a încerca să convingă un browser să formeze un cod USSD - în acest caz, *#06# care afișează numărul IMEI al unui dispozitiv:
//www.isk.kth.se/~rbbo/testussd.html
Geekul auto-descris Dylan Reeve a creat, de asemenea, o pagină de testare rapidă, care poate dezvălui dacă apelatorul dvs. Android procesează coduri USSD, utilizând aceleași *#06# Codul USSD:
//dylanreeve.com/phone.php
Cu toate acestea, domnul Reeve nu este un expert în securitate mobilă și, dacă cineva ar fi un atacator care dorește să exploateze această vulnerabilitate, piratarea oricăreia dintre aceste pagini de testare ar fi o modalitate excelentă de a provoca haos.
Cum să te protejezi
Dacă aveți un telefon Samsung - Samsung a lansat deja o actualizare de firmware care remediază vulnerabilitatea. Având în vedere că telefoanele Samsung selectate sunt în prezent singurele dispozitive cunoscute care pot fi șterse, vă recomandăm cu tărie proprietarii Samsung să aplice actualizarea.
Actualizați Android - Până în prezent, nu există indicii că dispozitivele care rulează Android 4.1 Jelly Bean sunt susceptibile la vulnerabilitatea USSD. Dacă Jelly Bean a fost pus la dispoziție pentru dispozitivul dvs. și ați amânat actualizarea, acum ar fi un moment bun. Din păcate, disponibilitatea Jelly Bean pe dispozitivele acceptate este în mare măsură la discreția operatorilor, iar operatorii de telefonie mobilă sunt notorii cu privire la certificarea noilor programe software pentru rețelele lor. Multe dispozitive vulnerabile la posibile atacuri USSD nu vor putea fi actualizate niciodată la Jelly Bean.
Folosiți un apelator alternativ - Platforma deschisă Android poate oferi o soluție: în loc să se bazeze pe apelatorul încorporat al Android, utilizatorii Android pot instala un apelator terță parte care nu lasă să treacă comenzile USSD. Un favorit este DialerOne gratuit, care funcționează cu Android 2.0 și mai nou.
Blocați tel: URL-uri - O altă abordare este blocarea procesării tel: URL-uri. Joerg Voss oferă NoTelURL gratuit, care în esență se prezintă ca un apelator: dacă utilizatorii întâlnesc un tel: Adresa URL (fie printr-un browser sau scanarea unui cod) li se va oferi o gamă de apelatori în loc să fie procesată imediat.
Faceți o copie de rezervă a telefonului - Ar trebui să fie de la sine înțeles, dar faceți o copie de siguranță a telefonului dvs. Android (și a tuturor contactelor, fotografiilor, fișierelor media și datelor) în mod regulat, nu-i așa? Indiferent dacă faceți backup la un computer local, la un serviciu bazat pe cloud sau utilizați o altă schemă, salvarea regulată a datelor într-o locație sigură este cea mai bună protecție în cazul în care telefonul dvs. va fi șters - ca să nu mai vorbim de pierdut sau furat.
