Android-laitteiden puhelin-sovelluksissa on havaittu vakava tietoturva-aukko, joka mahdollistaa mm. puhelimen etäpyyhinnän. Syöttämällä www-sivuille ns. iframe-objektiin lähteeksi haittakoodia sisältävän puhelinnumeron, käynnistyy puhelin-sovelluksen kautta laitteen tehdasasetusten palautus ilman erillistä käyttäjän hyväksyntää. Samaa temppua on mahdollista myös hyödyntää lähettämällä haittakoodia sisältävä SMS/MMS-viesti toisen puhelimeen, joten kannattaa varoa myös epämääräisistä numeroista tulevia viestejä. Jäämme odottamaan valmistajien reagointia asiaan.
Omissa ja lukijoidemme testeissä saimme tempun onnistumaan satunnaisesti monien eri valmistajien laitteilla, joten aivan 100% varma hyökkäys ei ole kysessä, vaan se on riippuvainen puhelimen päivityksistä ja käytössä olevista ohjelmista/ohjelmistoversiosta. Osassa laitteita IMEI-koodin sai näkyviin tietyllä koodinpätkällä, osassa kaatui kotiruutuja pyörittävä “launcher”-sovellus ja osassa koko laite resetoituu tehdasasetuksille. Suosittelemme tarkistamaan että puhelimeen on asennettu viimeisin saatavilla oleva päivitys, sillä tämä korjaa ongelman osassa laitteita.
Osittaisena ratkaisuna on vaihtaa Android 4.0-laitteissa Google Chrome oletusselaimeksi, sillä se ei aja kyseistä haittakoodia, vaikka tukeekin TEL- komentosarjoja, joilla välitetään puhelinnumeroita www-sivuilta puhelin-sovelluksille.
Samsung on jo ilmoittanut tutkivansa asiaa, mutta painottaa myös käyttäjän roolia laitteiden tietoturvan ylläpidossa. NFC-toimintoja, QR-koodeja ja webbisivuja kannattaa varoa, mikäli niissä on jotain epäilyttävää. Kannattaa aina pitäytyä tunnetuissa sisältölähteissä.
Lähde: Twitter | Youtube
Lue kommentit (8)
Onnistuu myös wap push sms:llä vihun puhelimeen. http://www.youtube.com/watch?v=Q2-0B04HPhs
Kuulemma myös esim Desire Z:lla sopiva vastaanotettu tekstiviesti laukaisee suoraan factoryresetin ilman että viestiä tarvitsee edes avata.
Näkyy olevan korjattu jo ainakin S3:n uusimmassa softassa.
Voisko tuolla satunnaisuudella olla tekemistä sen kanssa, että s3 soittaa automaattisesti, jos nostat sen korvalle?
Eli siis jollain sopivalla liikkeellä tai valaistuksella se lähtisikin soittamaan, eikä vain näytä sitä numeroa dialerissa.
tänään tuli numerosta 12345678910 tai jotain tollasta viesti jossa oli kellon aika tai ainakin luulen, muotoa 16:04:23 en tiedä liittyykö tähän, mutta epäilen. Avasin sen huvikseen vaikka tämän jutun olinkin lukenut. Ei onneks tapahtunut mitään.
Kuulin samanlaisesta viestistä, joku saattaa vain pelotellakin.
Onko turva-aukko myös tableteissa, joissa puhelin?
Näköjään ainaki Avast tietoturvaohjelman uusin päivitys poistaa ongelman. Yritettäessä siirtyä vaaralliselle sivulle ni kysyy että käytetäänkö puhelimen omaa numerovalitsinta vai Avastin "numerovalitsinta". Siinä vaiheessa kun tajuaa vetäytyä...