Ελέγξτε εάν μπορεί κανείς να σβήσει εξ αποστάσεως τα πάντα από το τηλέφωνό σας

Το SII, το smartphone της Samsung που πήραν στα χέρια τους 20 εκατομμύρια χρήστες μέσα σε 100 ημέρες από την πρώτη κυκλοφορία του τον Μάιο του 2012, ήταν το πειραματόζωο για την επίδειξη ενός σοβαρού κενού ασφαλείας που απειλεί να επαναφέρει στις εργοστασιακές ρυθμίσεις smartphone με Android -και ίσως όχι μόνο αυτά- διαγράφοντας οτιδήποτε προσωπικό υπάρχει στο «έξυπνο» τηλέφωνο.

Η επίδειξη έγινε από την Ravi Borgaonkar στο συνέδριο Ekoparty. Ο ερευνητής από το πολυτεχνείο του Βερολίνου έδειξε πως η επίθεση με ένα μήνυμα SMS (push SMS με φορμά WAP) μπορούσε να απενεργοποιήσει την κάρτα SIM του τηλεφώνου και να το επαναφέρει στις εργοστασιακές ρυθμίσεις μέσα σε τρία δευτερόλεπτα χωρίς ο χρήστης να μπορεί να κάνει τίποτα για να το αποτρέψει.

Δείτε το βίντεο με την επίδειξη του Borgaonkar

Η Samsung πάντως ενήργησε τάχιστα και θωράκισε το Samsung Galaxy S III με μια ενημέρωση λογισμικού άμεσα διαθέσιμη (ακόμα και χωρίς σύνδεση σε υπολογιστή, over-the-air).

Το κενό ασφαλείας εντοπίστηκε στο πρωτόκολλο Unstructured Supplementary Service Data (USSD), μέσω του οποίου θα μπορούσε να εκτελεστεί η εντολή για το λεγόμενο factory reset.

Σύμφωνα με την Softpedia, τηλέφωνα της Samsung είναι τα μόνα που επηρεάζονται από το κενό ασφαλείας, καθώς η εταιρεία χρησιμοποιεί USSD Code για την επαναφορά (*2767*3855#, που πληκτρολογείται εύκολα από μια ιστοσελίδα με την εντολή <frame src=»tel:*2767*3855#» />).

• Σε άλλα τηλέφωνα, ο χρήστης πρέπει να πειστεί (με διάφορους δόλιους τρόπους) να εκτελέσει την εντολή.

Δοκιμάστε τις αντοχές του τηλεφώνου σας

Εξαιρετικά ενδιαφέρον είναι ότι ένας σκληροπυρηνικός χρήστης μοιράζεται τα φώτα του με τους ανήσυχους χρήστες Android και προτείνει την διενέργεια ενός τεστ. Το τεστ έχει ως εξής:

• Πληκτρολογήστε από τον dialer του τηλεφώνου σας *#06#, εντολή που επιστρέφει τον μοναδικό αριθμό ΙΜΕΙ του τηλεφώνου σας.

• Στην συνέχεια, επισκεφτείτε από τον browser την σελίδα http://dylanreeve.com/phone.php.

• Κινδυνεύετε, εάν το τηλέφωνό σας εμφανίσει τον αριθμό ΙΜΕΙ χωρίς να χρειαστεί να κάνετε τίποτα περισσότερο.

Στην θέση της εντολής *#06# θα μπορούσε να είναι κάποια άλλη (άλλο USSD code), μεταξύ των οποίων αυτή που επαναφέρει το τηλέφωνο στις εργοστασιακές του ρυθμίσεις. Μια τέτοια ενέργεια θα μπορούσε να ενεργοποιηθεί με διάφορους τρόπους, όπως η επίσκεψη ενός δικτυακού τόπου, η ανάγνωση ενός QR code ή ενός NFC tag.

Εκτελέσαμε το τεστ σε ένα smartphone με Windows Phone 7.5, και η προτροπή για κλήση του αριθμού εμφανίζεται, δεν πραγματοποιείται όμως αυτόματα η κλήση, δηλαδή δεν εκτελείται η εντολή. Άλλοι έκαναν την δοκιμή σε iPhone 3GS με iOS και σε κινητά με Symbian χωρίς σοκαριστικά αποτελέσματα.

• Ο Dylan Reeve περιγράφει σε βάθος το πρόβλημα στο πρωτόκολλο στην διεύθυνση http://dylanreeve.posterous.com/remote-ussd-attack

Οι ειδικοί (μεταξύ των οποίων η εταιρεία antivirus Sophos) προτείνουν να τηρείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας είτε επιδεικνύοντας εμπιστοσύνη στις υπηρεσίες φιλοξενίας στο cloud, είτε με συγχρονισμό στον υπολογιστή σας, ή την μεταφορά σημαντικών αρχείων σε κάρτα μνήμης. Τέλος, στους χρήστες Android προτείνεται η χρήση εναλλακτικού προγράμματος διεκπεραίωσης κλήσεων που δεν χρησιμοποιεί USSD code, όπως το Dialer One.

{{{related}}}

In.gr Τεχνολογία