Questo sito web utilizza cookies per garantirvi una migliore esperienza di navigazione. OK
3 min per leggere 2 Condivisioni 1 Commento

Exploit USSD, gli smartphone colpiti e la soluzione alla falla

exploit ussd

Come abbiamo riportato ieri, durante l'Ekoparty, uno dei più importanti appuntamenti dedicati alla sicurezza, è stato mostrato come eseguire su un Samsung Galaxy S3 un reset ai dati di fabbrica semplicemente visitando una pagina web con un codice malevolo. Si tratta di una falla di sicurezza particolarmente pericolosa che però non colpisce solo gli smartphone di Samsung.

Come funziona

Alcuni smartphone in commercio possono essere riportati allo stato originale con un factory reset, semplicente eseguendo un codice USSD che cancella tutti i dati presenti sullo smartphone. Un codice SSD è una sequenza di caratteri che serve a eseguire un'operazione direttamente dal dialer del telefono. Per permettere di visualizzare il credito telefonico velocemente molti operatori usano proprio un codice USSD, con Wind basta per esempio digitare *123# e poi premere "invia". Ma un codice del genere può essere eseguito da uno smartphone anche tramite una pagina web, aprendo un link fatto appositamente. Questo, a seconda del browser usato, può anche accadere automaticamente all'apertura della pagina web.

Gli smartphone colpiti

Come detto, la dimostrazione è stata effettuata su un Galaxy S3 e poco dopo Samsung ha confermato l'esistenza del bug, precisando però di averlo già corretto in passato e che chi ha scaricato gli ultimi aggiornamenti non corre nessun pericolo. Se gli S3 aggiornati dovrebbero essere al sicuro, lo stesso non si può dire di altri modelli di Samsung, ma anche di altri produttori:

  • Samsung Galaxy S3 non aggiornati con gli ultimi update
  • Samsung Galaxy S2
  • Samsung Galaxy Ace, Beam e S Advance
  • HTC One S
  • HTC One X
  • HTC Sensation XE con Android 4.0.3
  • HTC Desire HD
  • HTC Legend
  • HTC Desire Z
  • Motorola Milestone
  • Motorola Atrix 4G
  • Huawei Ideos
     

Non ci sono ancora conferme ufficiali, ma a quanto pare il problema potrebbe essere riscontrato solo con alcuni browser (tra cui il browser Android e Chrome), mentre altri sembrerebbero immuni (Opera mini, per esempio). Per controllare se il proprio telefono può essere azzerato dal codice si può cliccare, tramite il dispositivo da testare, naturalmente, questo link: http://www.isk.kth.se/~rbbo/testussd.html.

Se sul telefono dovesse apparire il proprio codice IMEI senza dover compiere nessuna altra azione, vorrebbe dire che si sta usando un dispositivo a rischio.

ussd imei

Non solo link

Un codice USSD può essere eseguito automaticamente dallo smartphone in altri modi: scansionando un codice QR, tramite condivisione via NFC o con un messaggio push WAP. In tutti questi casi il sistema apre automaticamente una pagina web che può eseguire il codice. Da notare il factory reset non è l'unico pericolo, perché tramite l'esecuzione di un USSD si potrebbe teoricamente anche rendere inservibile una SIM o portare a termine altre procedure.

Come proteggersi?

In attesa di un aggiornamento di sicurezza per tutti gli smartphone colpiti, si può installare NoTelURL, una piccola app sviluppata da Jörg Voss, un membro della community di AndroidPIT. L'applicazione, che si scarica da qui impedisce l'esecuzione automatica dei codici USSD. Basta aprire la pagina di test e selezionare NoTelURL come applicazione predefinita per il lancio dei codici.

In caso di dubbi, ne puoi discutere nel nostro forum.

 

(Immagine: kwe/Tony Hegewald/pixelio.de)

1 Commento

Commenta la notizia:
2 Condivisioni

Questo sito web utilizza cookies per garantirvi una migliore esperienza di navigazione. Scopri di più

OK