Вчера большинство причастных к гаджетам людей обсуждало уязвимость, найденную в некоторых Android-смартфонах компании Samsung. Она позволяла без разрешения пользователя сбрасывать данные на устройстве. Теперь же стало известно, что уязвимости подвержены и телефоны других производителей, есть среди них и некоторые смартфоны HTC. Уязвимость основана на том, что некоторые версии Android не совсем правильно обрабатывают активные ссылки с телефонными номерами, в том числе и USSD-кодами – фактически, выполняют их без подтверждения со стороны пользователя. Причем, код может быть передан на устройство несколькими способами: NFC, SMS, QR-код или ссылка в Сети. Понятно, что наиболее опасным для обычных пользователей смартфонов является последний вариант, такую ссылку подложить можно практически на любом сайте. Распространенность QR-кодов делает и этот метод довольно опасным, но уже для заметно меньшего количества пользователей.
{youtube}Q2-0B04HPhs&feature{/youtube}
Интересно то, что компания Google в курсе об этой уязвимости и закрыла ее в коде Android три месяца назад! По сути, виноваты в уязвимости существующих сейчас смартфонов именно производители устройств, которые банальным образом поленились закрыть столь важную прореху. Среди уязвимых смартфонов отмечается и HTC One X, не обновленный до последней версии ПО (то есть работающие на данный момент с Android 4.0.3 и Sense 4.0). Интересно, что и разработчики некоторых сторонних прошивок также не закрыли уязвимость – владельцы смартфонов с кастомами, будьте внимательны!
Дилан Рив (Dylan Reeve), эксперт по мобильной безопасности, создал специальную страничку, которая позволит проверить, уязвим ваш смартфон или нет. Для этого достаточно зайти на по данной ссылке: http://dylanreeve.com/phone.php (QR-код под абзацем). Если смартфон показал только номеронабиратель с *#06#, то вы защищены, если же на экране появился IMEI-код смартфона, то уязвимость вас касается. Кстати, если брать только ссылки в Сети, то они будут работать в стандартном браузере Android и его кастомизациях, а вот с Chrome или Opera проблем возникнуть не должно.
Что же делать тем, чьи телефоны оказались уязвимы? Как одно из решений, Дилан Рив советует установить альтернативный «диалер», чтобы отменять выполнение подобных ссылок, когда система будет спрашивать о выборе приложения для набора номера. Кроме того, есть приложения для набора номера, которые не работают с USSD, такие можно временно установить как основные.
Редакция YouHTC предлагает пользователям в комментариях писать модель, прошивку и наличие уязвимости. Это поможет пользователям устройств быстрее сориентироваться и защитить себя от возможных вредоносных хулиганских атак.