Ekosystém Android dostal včera veľký rozruch odhalením, že jednoduché odkazy - niečo, čo by ste mohli otvoriť iba online - môžu spustiť úplné vymazanie niektorých zariadení s Androidom. Výskumník Ravi Borgaonkar odhalil zneužitie a (samozrejme) zariadením, ktorému sa dostalo všetkej pozornosti, bol najpredávanejší Samsung Galaxy S III. Spoločnosť Samsung už vydala opravu zraniteľnosti. Ukázalo sa však, že veľa ďalších telefónov s Androidom je zjavne zraniteľných voči rovnakému zneužitiu. Podstata problému spočíva v štandardnom vytáčacom systéme Android; aj keď Google problém opravil pred niekoľkými mesiacmi, táto oprava sa možno nedostala na súčasné zariadenia so systémom Android a mnoho z nich ho nikdy nedostane.
Existuje dôvod na obavy, ale nie na úplnú paniku. Takto funguje exploit a niekoľko tipov, ako sa môžu používatelia Androidu chrániť.
Čo je USSD?
Nové využitie systému Android sa spolieha na protokol zabudovaný do väčšiny telefónov s názvom USSD alebo Unstructured Supplementary Service Data. Predstavte si USSD trochu ako protokol textových správ, ale namiesto toho, aby sa používal na prenos krátkych správ medzi používateľmi telefónov, má umožniť výrobcom zariadení aj mobilným operátorom budovať doplnkové služby pre svoje telefóny a sieť. Rovnako ako textové správy, aj správy USSD sú krátke (až 182 znakov), ale na rozdiel od textových správ môžu skutočne otvoriť obojsmerné sieťové pripojenie medzi zariadením a koncovým bodom v sieti, takže reagujú rýchlejšie ako správy SMS a môžu byť používa sa na interaktívne služby v reálnom čase.
Ľudia, ktorí sa spoliehajú na predplatené telefónne služby, pravdepodobne využili služby USSD na kontrolu zostávajúceho predplateného zostatku. Napríklad predplatení používatelia T-Mobile vytočia čísla#999# aby videli ich rovnováhu. To je USSD. USSD však môže podporovať sofistikovanejšie aplikácie, ako sú mobilné platobné služby - v skutočnosti je to jeden z dôvodov, prečo sú niektoré rozvojové krajiny v oblasti mobilných platieb ďalej ako v Severnej Amerike a Európe. Ostatné služby majú zabudované funkcie sociálnych sietí pre Twitter, Facebook a ďalšie služby sociálnych sietí, aj keď tieto sa zvyčajne vyskytujú iba na bežných telefónoch na rozvíjajúcich sa trhoch.
USSD je implementovaný v telefónoch GSM (štandardní používatelia u operátorov ako AT&T a T-Mobile), ale robí to nie znamená, že ste mimo dosahu, ak používate telefón s operátorom CDMA, ako je Verizon alebo Sprint. Mnoho kódov USSD spúšťa akcie na miestnom zariadení a robí to nie vyžadovať mobilného operátora, ktorý podporuje USSD. Mnoho telefónov určených pre siete CDMA bude na tieto kódy reagovať.
USSD je, samozrejme, neštruktúrovaný, čo znamená, že telefóny nepodporujú rovnaké súbory kódov USSD. Rôzni výrobcovia a mobilní operátori sa do veľkej miery riadili svojimi inštinktmi v oblasti vývoja funkcií a služieb USSD. Kód USSD, ktorý na telefóne Nokia umožňuje jednu vec, môže na telefóne LG robiť úplne niečo iné - alebo vôbec nič. Jeden bežne používaný kód však je *#06#, ktorá často zobrazuje jedinečné číslo IMEI (International Mobile Equipment Identity) zariadenia.
Tel: ja príbeh
USSD nie je nič nové a pre Android nepredstavuje žiadnu novú hrozbu. To, čo Ravi Borgaonkar predviedol, bola ohromne jednoduchá kombinácia kódov USSD s protokolom „tel:“ URL. Videli ste protokoly URL napríklad v podobe webových odkazov a e-mailových adries http: a mailto:, resp. Existujú však stovky ďalších protokolov URL.
The tel: protokol umožňuje používateľom vytočiť telefónne číslo z webového prehľadávača: tel: 555-1212 by mal napríklad pripojiť väčšinu Američanov k celonárodnej pomoci s adresármi. Borgaonkarova demonštrácia spojila tel: Schéma URL s konkrétnym kódom USSD, ktorá - uhádli ste - dokáže vykonať obnovenie továrenských nastavení niektorých zariadení s Androidom. Spoločnosť Borgaonkar nazvala tento továrenský reset USSD „tragédiou spoločnosti Samsung“, čiastočne preto, že implementácia príkazu vymazania spoločnosťou Samsung nevyžaduje žiadnu interakciu používateľa. Niektoré ďalšie zariadenia majú podobné príkazy na obnovenie továrenských nastavení, vyžadujú však minimálne manuálne potvrdenie používateľa.
Teoreticky by útočník musel vložiť škodlivú adresu URL na web a každé zraniteľné zariadenie, ktoré túto stránku načíta, by sa obnovilo na pôvodné hodnoty z výroby. (V niektorých prípadoch to dokonca zahrnuje aj vymazanie SIM karty.)
Je lákavé myslieť si, že ide len o zraniteľnosť integrovaného prehliadača telefónu, ale v prípade systému Android je to skutočne v predvolenom vytáčaní systému Android: Borgaonkar tiež predviedol spôsoby, ako vykonať reset USSD pomocou kódov QR, správ WAP Push SMS a (v prípad Galaxy S III) dokonca cez NFC. Nie je potrebné zapojiť prehliadač. Akákoľvek aplikácia, ktorá dokáže vytočiť číslo na telefóne s Androidom, môže potenciálne spustiť príkaz USSD.
Nie je koniec sveta?
Zraniteľnosť sa môže javiť dosť hrozná, ale Hendrik Pilz a Andreas Marx z nezávislej nemeckej bezpečnostnej firmy AV-TEST poznamenávajú, že táto zraniteľnosť pravdepodobne nie je príliš lákavá pre počítačových zločincov.
"Myslíme si, že väčšina autorov škodlivého softvéru nemusí mať záujem o zneužitie zraniteľnosti, pretože nebude mať zmysel utierať telefón alebo blokovať používateľov," uviedli vo vyhlásení prostredníctvom e-mailu. „Malware sa snaží mlčať o vašom systéme, takže vaše mobilné zariadenie môže byť použité na nejaký druh škodlivých, prípadne trestných činov. Toto bude fungovať iba so spusteným a fungujúcim systémom. “
Je váš telefón zraniteľný?
Doteraz bolo preukázané, že iba vybrané telefóny Samsung majú kód USSD, ktorý obnovuje továrenské nastavenia. To však neznamená telefóny od iných dodávateľov nie majú podobné kódy, ktoré by útočníci mohli použiť na utieranie telefónov, stratu dát alebo potenciálne dokonca prihlásenie používateľov na drahé služby. To je koniec koncov obľúbená zábava autorov malvéru pre Android.
Bohužiaľ neexistuje spoľahlivý spôsob, ako určiť, či je telefón so systémom Android zraniteľný voči útoku založenému na USSD, ale iba používatelia môcť skontrolujte, či sú ich dialery zraniteľné.
Bolo potvrdené, že nasledujúce zariadenia sú citlivé na vytáčanie kódov USSD z webovej stránky:
- HTC Desire HD
- HTC Desire Z
- HTC Legend
- HTC One W
- HTC One X
- HTC Sensation (XE) (so systémom Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Milník spoločnosti Motorola
- Motorola Razr (so systémom Android 2.3.6)
- Samsung Galaxy Ace, Beam a S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (so systémom Android 4.0.4)
Opäť to tak je nie Znamená to, že všetky tieto zariadenia je možné vymazať pomocou karty USSD. Doteraz bolo potvrdené, že je možné vymazať iba vybrané telefóny Samsung, a to pomocou príkazu USSD. Mnoho ďalších zariadení môže vytočiť príkazy USSD - a dokonca existujú správy, že niektoré zariadenia, na ktorých je spustený operačný systém Symbian a Samsung Bada, vytočia príkazy USSD pomocou tel: URL.
Borgaonkar ponúkol testovaciu stránku, ktorá sa pomocou iframe snaží presvedčiť prehliadač, aby vytočil kód USSD - v tomto prípade *#06# ktorý zobrazuje číslo IMEI zariadenia:
//www.isk.kth.se/~rbbo/testussd.html
Samozrejmý geek Dylan Reeve tiež zostavil stránku s rýchlym testom, ktorá odhalí, či váš dialer pre Android spracováva kódy USSD pomocou rovnakých *#06# USSD kód:
//dylanreeve.com/phone.php
Pán Reeve však nie je odborníkom na mobilnú bezpečnosť. Ak by bol útočníkom niekto, kto by chcel túto chybu zabezpečenia zneužiť, hackovanie ktorejkoľvek z týchto testovacích stránok by bolo skvelým spôsobom, ako spôsobiť chaos.
Ako sa chrániť
Ak máte telefón Samsung - Spoločnosť Samsung už vydala aktualizáciu firmvéru, ktorá opravuje chybu zabezpečenia. Vzhľadom na to, že vybrané telefóny Samsung sú v súčasnosti jedinými známymi zariadeniami, ktoré sú náchylné na vymazanie, dôrazne odporúčame, aby vlastníci spoločnosti Samsung túto aktualizáciu použili.
Aktualizujte Android - Zatiaľ neexistujú náznaky, že by zariadenia so systémom Android 4.1 Jelly Bean boli náchylné na zraniteľnosť USSD. Ak je Jelly Bean sprístupnený pre vaše zariadenie a vy ste odkladali aktualizáciu, teraz by bol dobrý čas. Dostupnosť Jelly Bean na podporovaných zariadeniach je, bohužiaľ, do veľkej miery na uvážení operátorov a mobilní operátori sú notoricky pomalí v certifikovaní nového softvéru pre svoje siete. Mnoho zariadení náchylných na možné útoky USSD nebude nikdy možné inovovať na Jelly Bean.
Použite alternatívny dialer - Otvorená platforma systému Android môže ponúknuť riešenie: Namiesto spoliehania sa na integrovaný dialer systému Android si môžu používatelia systému Android nainštalovať dialer tretích strán, ktorý neumožňuje splnenie príkazov USSD. Obľúbeným je bezplatný DialerOne, ktorý pracuje s Androidom 2.0 a novším.
Blokovať tel: adresy URL - Ďalším prístupom je blokovanie spracovania súborov tel: URL. Joerg Voss ponúka bezplatnú službu NoTelURL, ktorá v podstate slúži ako dialer: ak sa používatelia stretnú s tel: URL (či už prostredníctvom prehľadávača alebo skenovania kódu), namiesto okamžitého spracovania sa im ponúkne výber dialerov.
Zálohujte si telefón - Malo by to byť samozrejmé, ale svoj telefón s Androidom (a všetky svoje kontakty, fotografie, médiá a dáta) zálohujete pravidelne, však? Či už zálohujete na lokálnom počítači PC, v cloudovej službe alebo používate inú schému, pravidelné ukladanie údajov na bezpečné miesto je najlepšou ochranou v prípade, že dôjde k vymazaniu vášho telefónu - nehovoriac o strate alebo krádeži.
