Telekomunikacja jak na dłoni
Wiadomości Nakładka TouchWiz w Samsungach pozwala na... zdalny reset telefonu

Nakładka TouchWiz w Samsungach pozwala na... zdalny reset telefonu

Q! 25 Września 2012 18:04

0 0

Podczas konferencji Ekoparty 2012 zaprezentowany został sposób na reset wybranych telefonów Samsunga za pomocą specjalnie przygotowanej strony WWW lub kodu USSD. Które modele są zagrożone?

Sposobów na atak na telefon Samsunga z nakładką graficzną TouchWiz są dwa. Jedna z nich zakłada wykorzystanie w tym celu ciągu znaków dla usługi USSD (za jej pomocą sprawdzane jest np. saldo konta w usługach prepaid). Z oczywistych względów nie podamy tego ciągu.

Drugi ze sposobów wykorzystuje jedną linijkę kodu, która umieszczona w kodzie strony WWW pozwoli na reset urządzenia, za pomocą którego strona została otwarta. Ten sposób działa w przypadku wykorzystania przeglądarki systemowej. Pytanie jednak w jaki sposób zachęcić użytkownika do odwiedzenia takiej strony? Nic prostszego.

W tym celu atakujący wykorzystać może kod QR, którego użytkownik nie jest w stanie zweryfikować przed otwarciem. Dodatkowo z pomocą przychodzą czytniki kodów, które w ogromnej większości przypadków otwierają źródło docelowe bez pytania użytkowników o zgodę.




Na tej samej zasadzie, a więc bez akceptacji użytkownika, działają moduły NFC. Przesłane za ich pomocą informacje są otwierane bez zgody lub wiedzy użytkowników. Nie ma on również możliwości zablokowania tej czynności. Ten sposób działania technologii NFC wykorzystany został już wcześniej do ataku. Szerzej o tym pisaliśmy w tej wiadomości.

Wśród testowanych smartfonów Samsunga na podatność miały być narażone m.in. takie modele jak Galaxy S II, Galaxy S III oraz Galaxy S Advance.

Samsung poinformował, że przyjrzy się problemowi.

Źródło tekstu: Ekoparty 2012     

Dodaj do:
w sumie: 10
  • 0

    1. ~eh  2012-09-25 18:19:26  host: 77-254-84-185.adsl.inetia.pl

    a juz chcialem ubic swojego sgs'a jak to dobrze ze jest za stary :D

  • 0

    2.  2012-09-25 18:48:42

    Wszystkie zagraniczne serwisy zdazyly juz zdementowac wiekszosc elementow tej plotki (blad nie dotyczy tylko TouchWiza, ale dawnej dziury Androida i kody USSD dzialaja tez np na HTC, a nawet Samsungi sa juz w duzej mierze polatane i majac najnowsze OTA wiele z nich jest bezpiecznych), a wy dopiero teraz dajecie praktycznie pierwotna wersje "newsa".

  • 0

    3. ~wziuuuu  2012-09-25 18:50:56  host: c47-247.icpnet.pl

    Przecież na niektórych telefonach da się kodem USD zrobić cały restart telefonu i przywrócenie ustawień fabrycznych, więc o co halo? Użytkownik musi go sam wprowadzić, więc o co halo? A ja mogę na Win7 zrobić format dysku C klikając na niego PPM a następnie "formatuj" ! Straszne.

  • 0

    4. ~  2012-09-25 19:16:59  host: 80.54.47.128

    @3 mozesz, pod warunkiem, ze c: nie jest partycja systemowa, wiec nie cwaniakuj. w kodach ussd chodzi o co innego. ty wprowadzasz tylko pytanie kodem, a to dopiero informacja zwrotna moze zresetowac Twoj telefon.

  • 0

    5.  2012-09-25 20:16:44

    Wychodzi na to że muszę sprzedać Galaxy SII tylko co kupić by nie było podatne na ataki? Chyba jedynie Nokie 5110, ale ją posiadam jako sprzęt awaryjny więc wyrzucę SII i będę szczęśliwy? Dziur jest dużo i będzie coraz więcej,(nie tylko w Samsungu) grunt by szybko były łatane, tutaj pole do popisu producentów sprzętu...

  • 0

    6.  2012-09-25 21:34:43

    jak ktos chce sprawdzić, to polecam 2767*3855# ;pp

  • 0

    7. ~m1k0  2012-09-25 22:47:52  host: 088156130250.radom.vectranet.pl

    SGS2 z 4.0.4 nie trybi tego. Sprawdzone na czterech głównych przeglądarkach

  • 1

    8. ~kolo  2012-09-25 23:24:36  host: 37.209.149.236

    Może się mylę ale chodzi o kod serwisowy,którego składania jest tożsama ze skłądnią kodów USSD. Jednak należy zaznaczyć różnicę,ponieważ kod serwisowy po zakończeniu go "#" wykonuje zakodowaną w frimware telefonu operację ( reset,menu serwisowe,zmiana ustawień itp.), natomiast kod USSD po zakończniu go "#" nie wykona żadnej operacji. Po wpisaniu kodu USSD należy nacisnąć symbol słuchawki i wtedy zostanie on wysłany do operatora seci i operator może kontynuować interakcje z użytkownikiem, bądź nie. Gdyby to był kod USSD, to operator musialby w odpowiedzi na konkretny kod USSD zakończony wciśnięciem słuchawki odesłać do terminala kod serwisowy w postaci [*]xx[#]xxxx# a to jest baardzo mało prawdopodobne... Więć moim zdaniem w kontekście opisywanego problemu powinno się raczej mówić kod serwisowy a nie USSD.

  • 0

    9. ~  2012-09-26 16:15:55  host: z42-15.opera-mini.net

    Pisał to jakis fanboy apple? Nigdy nie spotkałem się z wymienionym przypadkiem, więc mi tu nie wciskajcie kitów!

  • 0

    10.  2012-09-28 14:19:40

    Nie, to akurat jest prawda. Ale mozna zainstalowac z Google Playa programik pt. "TelStop" i po problemie, automatycznie juz sie skrypt nie wykona, bo zatrzyma go pytanie o wybor programu ;)

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-161-73-123.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.

Ankieta

Najlepszy dostępny na rynku smartfon to:

10 najlepszych smartfonów (październik 2017)

 

Zobacz wynik | Opinie (11)

Archiwum Ankiet