Některé verze Samsung TouchWizu obsahují kritickou chybu umožnující smazat data v telefonu

1

Aktualizace 18:50: Údajně jde o poměrně starou díru v Androidu, kterou jednotliví výrobci pomalu záplatují. Bohužel Samsung byl jeden z pomalejších a u některých jeho starších ROMek je stále přítomna.

Bezpečnostní expert Ravi Borgaonkar tento týden na konferenci Ekoparty security odhalil bezpečnostní díru, která může v některých androidích zařízeních od Samsungu s grafickou nadstavbou TouchWiz umožnit zadávat USSD kódy pomocí URL adresy, QR kódů a NFC tagů.

Na tom samotném by nebylo nic až zas tak špatného, kdyby právě pomocí USSD kódů nebylo například možné uvést zařízení bez jakýchkoliv upozornění uživatele do továrního nastavení a v podstatě tak odstranit všechna na zařízení uložená data.

Prozatím není úplně jasné, jaká všechna zařízení touto chybou trpí, nicméně potvrzen je Samsungu Galaxy S III (ICS) (aktuální JB ROM je údajně bezpečná) a S II, přičemž se dá předpokládat, že postižena budou i další zařízení s grafickou nadstavbou TouchWiz. Pomalu se začínají objevovat také spekulace, že stejnými problémy trpí i HTC One X, potvrzeno to nicméně není.

U jednotlivých zařízení se také liší, jak je lze napadnout. U některých je možné USSD kód aktivovat jen přes NFC a QR kód, u jiných to lze provést i skrze chytře upravenou url adresu otevřenou v standartním internetovém prohlížeči od Samsungu nebo tzv. push SMS.

Aktuálně jedinou obranou je používání jiného, než výchozího internetového prohlížeče, vypnutí push-SMS (Zprávy -> Nastavení -> Vypnout Push SMS) a deaktivace všech NFC snímačů, které čto TAGy bez předchozího explicitního povolení od uživatele.

USSD kód je zjednodušeně řečeno speciální posloupnost čísel sloužící k vyvolání různých testovacích procedur. Konkrétně v androidích telefonech pomocí nich můžete vyvolat obnovení továrního nastavení a další, potencionálně nebezpečné možnosti. Standardně by měli být zadávány srze číselník (na kód prostě zavoláte), nicméně na zařízeních od Samsungu jdou aktivovat i pomocí speciální SMS / NFC / url adresy.

Zdroj: acentral, pha, engadget