Frissítés, 26/26: A Samsung azt mondta nekünk, hogy a Galaxy S3 legújabb firmware javítja ezt a kihasználást. Saját tesztelésünk szerint más telefonok, különösen a Galaxy S2 modellek, továbbra is veszélyben vannak. Ha továbbra is aggódik, ellenőrizze az USSD sebezhetőségi tesztet, hogy kiderüljön-e a telefon sebezhető.
Fontos biztonsági rést fedeztek fel néhány TouchWiz-alapú Samsung okostelefonon, beleértve a Galaxy S2-et és bizonyos Galaxy S3-modelleket a régebbi firmware-en. A hibát első nappal ezelőtt Ravi Borgaonkar biztonsági kutató mutatta be az Ekoparty biztonsági konferencián. Ez magában foglalja egy kódsor használatát egy rosszindulatú weboldalon, hogy azonnal indítsa el a gyári alaphelyzetbe állítást anélkül, hogy a felhasználót felszólította volna, vagy lehetővé tenné számukra a folyamat megszakítását. Még komolyabb az a lehetőség, hogy ez hasonló hibával párosítható, hogy a felhasználó SIM-kártyája működésképtelenné váljon. Mivel a rosszindulatú kód URI formátumú, az NFC vagy QR kóddal is kézbesíthető.
A Verizon Galaxy S3-t nem alaphelyzetbe hozták a weboldalba ágyazott rosszindulatú kódok, bár a hiperhivatkozáshoz kötött hasonló kód használatával visszaállítást indíthattunk. Justin Case mobilkészülék azt mondja nekünk, hogy a problémát a legújabb AT&T és a nemzetközi Galaxy S3 firmware javítja, bár a nem frissített eszközök sérülékenyek maradhatnak. Mások beszámoltak arról, hogy az olyan készülékek, mint a Galaxy Ace és a Galaxy Beam, szintén érintettek. Amíg meg tudjuk mondani, a hiba nem érinti az Android alapú Samsung telefonokat, mint például a Galaxy Nexus.
A biztonsági rés annak következménye, hogy a natív Samsung tárcsázó alkalmazás hogyan kezeli az USSD kódokat és telefonos linkeket. Az USSD kódok speciális karakterkombinációk, amelyeket be lehet írni a billentyűzeten bizonyos funkciók végrehajtásához, például a hívásátirányítás engedélyezéséhez vagy a készülék rejtett menüinek eléréséhez. A Samsung telefonokon van egy USSD kód is a telefon gyári alaphelyzetbe állításához (és feltehetően egy másik SIM-kártya nukleáris beállításához). Ez azzal a ténnyel, hogy a tárcsázó automatikusan futtat telefonkapcsolatokat, amelyeket más alkalmazások továbbítanak neki, különösen csúnya kérdést eredményez mindenkinek, akinek elég rossz szerencséje van egy rosszindulatú weboldal futtatására.
Természetesen vannak más alkalmazások ennek a zavarnak - például a számok automatikus tárcsázón keresztüli futtatásának képességével fel lehet hívni a prémium telefonszámot. Nagyon komoly probléma az a tény, hogy csak egy weboldal meglátogatása esetén visszaállíthatja a telefon alaphelyzetét, megtisztíthatja a belső tárhelyet, és eltávolíthatja a SIM-kártyát. Ezért azt javasoljuk, hogy frissítse a szoftvert, ha S3-at futtat, és ha nem, akkor azt javasoljuk, hogy használjon harmadik féltől származó tárcsázót, például a Dialer One-t, amíg mindez el nem múlik.
Felhívtuk a Samsungot, hogy kommentálja ezt a kérdést, és folyamatosan frissítjük Önt az általuk nyújtott valamennyi információval.
Forrás: @Paul Olvia; SlashGear, @backlon, @teamandirc keresztül
