Problema di sicurezza per Smartphone Android
“We would like to assure our customers that the recent security issue concerning the Galaxy S3 has already been resolved through a software update. We recommend all Galaxy S3 customers to download the latest software update, which can be done quickly and easily via the over-the-air service.”
Cari utilizzatori di Android, detti anche pezzearculo™, abbiamo un problema: Ravishankar Borgaonkar ricercatore nel dipartimento di sicurezza delle telecomunicazioni dell'Università di Berlino.
Cioè no… il problema non è lui ma ciò che ha dimostrato nel corso di una conferenza: una seria falla di sicurezza per tutti i telefonini Android.
Problema
Questa falla potrebbe essere presente su tutti gli smartphone con una versione di Android inferiore alle 4.1. e deriva dall’utilizzo malevolo dei codici USSD (Unstructured Supplementary Service Data) tramite i quali si possono effettuare diverse operazioni, dalle più innocue come mostrare l’IMEI o richiedere il credito, alle più “fastidiose” come il blocco della SIM o un fantastico factory reset!La cosa sconcertante è che che l’attacco può arrivare da una semplicissima pagina web, da un link in un SMS o in una mail o in un codice QR!
Test
Passiamo quindi alla prova pratica: visitate con il vostro smartphone questa pagina di test (innocua).http://androidtest.siamogeek.com/
Se vi appare un popup con il vostro IMEI siete vulnerabili!
Soluzione
Aggiornare Android (se possibile).
Scaricare delle applicazioni che impediscono l’esecuzione automatica dei codici come Auto-Reset Blocker o TelStop.
EDIT:
@CICCIO87 suggerisce che il metodo migliore è: “installare una seconda applicazione dialer, senza definirne una di default, in modo che, nel caso trovaste un USSD embeddato in una pagina web o un sms o qualunque altra cosa, vi si presenti prima il popup di scelta dell’applicazione da utilizzare per gestirlo e quindi in modo da poter fermare il tutto sul nascere.”
Esempio: Dialer One
Io ho fatto il test e sono vulnerabile! :(