Skip navigation

Info per il Galaxy Nexus (e presumo tanti altri). Il dispositivo, se monta rom stock o AOSP, non é affetto da questo exploit. Le rom cyanogenmod sono invece vulnerabili.
Comunque prima di tutto chiariamo di cosa stiamo parlando. Avete mai provato a digitare sulla tastiera del vostro telefono il codice *#06# per visualizzare l’imei del vostro telefono? Oppure codici tipo *123# piu tasto invio per conoscere il credito residuo? Bene. Allora sapete che cos’è un codice USSD. Ma c’è una differenza minima ma sostanziale tra i due codici USSD citati: il primo, a differenza del secondo, non ha bisogno della conferma da parte dell’utente e che viene operata nel secondo esempio premendo il tasto invio (chiamata).

Fin qui niente di strano se non fosse che Ravi Borganokar, un ricercatore della Technical University of Berlin, ha annunciato alla Security Conference di Buenos Aires che questi codici USSD possono essere iniettati in alcuni telefoni android, che non richiedono conferma da parte dell’utente, tramite sms, QR code o indirizzi internet. E tra questi codici ve ne sono alcuni che lanciano un wipe completo del dispositivo (formattazione) cancellando di fatto tutti i dati presenti sul telefono. In un primo momento si pensava che fosse limitato ad alcuni terminali Samsung con interfaccia TouchWiz per poi scoprire che molti terminali sono soggetti a questa falla. Ad esempio anche il mio LG Optimus One così come il mio Samsung Galaxy Nexus e il Samsung Galaxy SIII di un mio amico sono affetti da questo fastidioso bug.

Per quanto riguarda gli sms non credo fosse una novità perchè credo che questo sia alla base di alcune applicazioni pensate per cancellare i dati personali da un telefono rubato o smarrito (penso ad applicazioni tipo Lookout Security) ma per quanto riguarda i siti web e i codici QR, si aprono nuovi scenari che preoccupano non poco.

Immaginate che cliccate su un link o un QR code presente in una pagina web appositamente creata e che questo provochi un wipe completo del vostro telefono. Non mi sembra una cosa simpatica.

Per sapere se il vostro dispositivo è affetto da questo bug, visitate questa pagina di test (tranquilli! Non vi cancello lo smatphone). Se il vostro telefonino vi restituisce la stringa *#06#, il vostro telefono è al riparo da questo bug (è il caso del Sony Xperia Go), se invece sul vostro display viene visualizzato il codice IMEI del telefonino, allora il vostro terminale è affetto da questo bug e vi consiglio quindi di installare una delle 2 app presenti nel Play Store che fixano momentaneamente l’exploit. Si chiamano TelStop una e Auto-Reset Blocker  l’altra e chiedono conferma quando si imbattono in una richiesta di esecuzione di codice USSD ma è solo una piccola pezza in attesa di una patch ufficiale. A paqrere di molti utenti, la seconda si comporterebbe meglio. A voi provare.

Have fun. …Always! … e state cu ll’occhie apierte!

Annunci

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...