[quote]“We would like to assure our customers that the recent security issue concerning the Galaxy S3 has already been resolved through a software update. We recommend all Galaxy S3 customers to download the latest software update, which can be done quickly and easily via the over-the-air service.”[/quote]

Cari utilizzatori di Android, detti anche pezzearculo™, abbiamo un problema: [url=http://www.ekoparty.org/2012/ravi-borgaonkar.php]Ravishankar Borgaonkar[/url] ricercatore nel dipartimento di sicurezza delle telecomunicazioni dell'[url=http://www.tu-berlin.de/]Università di Berlino[/url].

Cioè no… il problema non è lui ma ciò che ha dimostrato nel corso di una conferenza: una seria falla di sicurezza per tutti i telefonini Android.

[title]Problema[/title]
Questa falla potrebbe essere presente su tutti gli smartphone con una versione di Android inferiore alle 4.1. e deriva dall’utilizzo malevolo dei codici [url=http://it.wikipedia.org/wiki/USSD]USSD (Unstructured Supplementary Service Data)[/url] tramite i quali si possono effettuare diverse operazioni, dalle più innocue come mostrare l’IMEI o richiedere il credito, alle più “fastidiose” come il blocco della SIM o un fantastico [b]factory reset[/b]!

La cosa sconcertante è che che l’attacco può arrivare da una semplicissima pagina web, da un link in un SMS o in una mail o in un codice QR!

[title]Test[/title]
Passiamo quindi alla prova pratica: visitate con il vostro smartphone questa pagina di test (innocua).

[url=http://androidtest.siamogeek.com/]http://androidtest.siamogeek.com/[/url]

Se vi appare un popup con il vostro IMEI siete vulnerabili!

[title]Soluzione[/title]

Aggiornare Android (se possibile).

Scaricare delle applicazioni che impediscono l’esecuzione automatica dei codici come [url=https://play.google.com/store/apps/details?id=net.gicode.android.autoresetblocker]Auto-Reset Blocker[/url] o [url=https://play.google.com/store/apps/details?id=org.mulliner.telstop]TelStop[/url].

EDIT:

@CICCIO87 suggerisce che il metodo migliore è: “installare una seconda applicazione dialer, senza definirne una di default, in modo che, nel caso trovaste un USSD embeddato in una pagina web o un sms o qualunque altra cosa, vi si presenti prima il popup di scelta dell’applicazione da utilizzare per gestirlo e quindi in modo da poter fermare il tutto sul nascere.”

Esempio: [url=https://play.google.com/store/apps/details?id=kz.mek.DialerOne&hl=en]Dialer One[/url]

Io ho fatto il test e sono vulnerabile! :(

[url=http://retetre.rtsi.ch/index.php?option=com_content&task=view&id=4460&Itemid=62]Via[/url]