Εχτές αναφέρθηκε ένα πρόβλημα ασφάλειας στο Touchwiz UI της Samsung που επιτρέπει, μεταξύ άλλων, να γίνει διαγραφή δεδομένων. Τα καλά νέα είναι ότι έχει ήδη βγει patch. Τα κακά νέα είναι ότι ο Dylan Reeve αναφέρει ότι δεν επηρεάζονται μόνο οι συσκευές της Samsung.
Ο Reeve εξηγεί πως το πρόβλημα ασφάλειας στους κωδικούς Unstructured Supplementary Service Data (USSD) επηρεάζει πολλά τηλέφωνα και το έχει επιβεβαιώσει ο ίδιος σε ένα HTC One X (που τρέχει το HTC Sense 4.0 σε Android 4.0.4) και σε ένα Motorola Defy (που τρέχει Cyanogen Mod 7 σε Android 2.3.5). Άλλες αναφορές λένε ότι και το Sony Xperia Active αλλά και το Sony Xperia Arc S έχουν το ίδιο πρόβλημα, όπως επίσης και το HTC Desire που τρέχει Android 2.2 και η λίστα δεν σταματάει εδώ. Έτσι ο Reeve έφτιαξε στα γρήγορα έναν ιστότοπο που μπορεί ο καθένας να δοκιμάσει εάν η Android συσκευή του έχει το πρόβλημα ασφαλείας: dylanreeve.com/phone.php.
Πως εκμεταλλεύονται οι hackers αυτό το πρόβλημα; Ο Reeve εξηγεί ότι η ρίζα του προβλήματος είναι στο τυπικό dialer του Android, που βρέθηκε και βγήκε patch για αυτό εδώ και 3 μήνες:
Τα τηλέφωνα υποστηρίζουν ειδικούς κωδικούς κλήσης, ονόματι USSD, οι οποίοι εμφανίζουν συγκεκριμένες πληροφορίες ή εκτελούν συγκεκριμένες λειτουργίες. Ανάμεσα σε αυτούς είναι μερικοί κοινοί (*#06# για να εμφανιστεί το IMEI) και μερικοί ειδικοί για την κάθε συσκευή (συμπεριλαμβανομένη, σε μερικά τηλέφωνα, την αρχικοποίηση της σε εργοστασιακή κατάσταση - Factory Reset, που διαγράφει πλήρως όλα τα δεδομένα του χρήστη).
Υπάρχει ένα URL scheme prefix το tel: το οποίο μπορεί να χρησιμοποιηθεί σε συνδέσμους για τηλεφωνικούς αριθμούς. Κάνοντας κλικ σε ένα tel: URL ενεργοποιείται ο dialer του τηλεφώνου για να καλέσει αυτόν τον αριθμό.
Σε μερικά τηλέφωνα ο dialer θα εκτελέσει την διαδικασία αυτή αυτόματα χωρίς να χρειάζεται παρέμβαση από τον χρήστη. Αν ο αριθμός είναι USSD κωδικός, ο dialer θα την χειριστεί σαν να την έγραψε ο χρήστης χειροκίνητα, που σημαίνει ότι θα εκτελεστεί και αυτόματα.
Οι συσκευές που επηρεάζονται από αυτό το πρόβλημα περιορίζονται ανάλογα ποιους USSD κωδικούς μπορούν να εκτελεστούν (για παράδειγμα, εάν το Factory Reset δεν υπάρχει, τότε δεν υπάρχει και πρόβλημα), αλλά και πως λειτουργεί το tel: στο κάθε τηλέφωνο.
Αν και έχει βγει patch για αυτή τη τρύπα ασφαλείας, δεν το έχουν βγάλει όλοι οι κατασκευαστές ή οι πάροχοι κινητής και δεν έχουν ενημερώσει όλοι οι καταναλωτές τις συσκευές τους με τις τελευταίες αναβαθμίσεις. Είναι έτσι δυνατόν πως οποιοδήποτε Android τηλέφωνο που έχει τον standard dialer 3 μήνες παλιό, ή κάποιον βασισμένο σε αυτόν, να είναι εκτεθειμένο σε hacking.
Τι μπορείτε να κάνετε εσείς; Εκτός από το να περάσετε όλες τις τελευταίες αναβαθμίσεις και ενημερώσεις στην Android συσκευή σας, ο Reeve προτείνει και να εγκαταστήσετε έναν άλλον dialer. Μπορείτε να εγκαταστήσετε έναν που δεν έχει το πρόβλημα ή απλά να έχετε έναν δεύτερο έτσι ώστε να σας εμφανίζεται το μήνυμα "Complete action using" κάθε φορά που ένα website θα προσπαθήσει να hackάρει την συσκευή σας, όπου μπορείτε πολύ απλά να το ακυρώσετε.
Αυτή η λύση είναι δυνατή γιατί το Android επιτρέπει την εγκατάσταση dialer από τρίτους. Ο dialer που εμφανίζεται στην παραπάνω εικόνα είναι διαθέσιμος από το επίσημο Google Play store. Αφού δεν εκτελεί τους USSD κωδικούς, ο Dialer One σας επιτρέπει να αποφύγετε την έκθεσή σας σε επιθέσεις hack. Αν προτιμάτε κάποιον διαφορετικό dialer, δοκιμάστε τον με το website που του Reeve ώστε να είστε σίγουροι ότι δεν εκτελεί τα tel: URL χωρίς παρέμβαση του χρήστη.
Πηγη: TNW
Εμφάνιση 1-15 από 58
-
28-09-12, 00:54 Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #1
Τελευταία επεξεργασία από το μέλος NeK : 28-09-12 στις 01:32.
-
28-09-12, 01:03 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #2
επιπλεον μπορειτε να βαλετε και αυτο https://play.google.com/store/apps/d....voss.notelurl
They see me postin', they hatin'...
-
28-09-12, 01:30 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #3
Και σε Alcatel OT-995 εκτελείται αμέσως η εντολή και εμφανίζει το ΙΜΕΙ, ενώ σε Galaxy S με stock samsung firmware android 2.3.6 δεν εμφανίζει ΙΜΕΙ, μόνο γράφει στον dialer *#06#. (η έκδοση αυτή είναι από Δεκέμβρη 2011, οπότε όχι απλά 3 μήνες παλιά, ένα χρόνο σχεδόν παλιά!)
Απλά το πήραν χαμπάρι μερικοί και το έκαναν για αρχή στο S3 προφανώς για δυσφήμηση.
-
28-09-12, 02:18 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #4
Ερώτηση από newbie: το patch που αναφέρει στην αρχή κατεβαίνει μέσα από την επιλογή "Software Update" από το "About Phone"; Γιατί μου επιστρέφει "No update available".
Συμβαίνει σε Galaxy W με Android 2.3.5 (έχει κοπεί το support σ'αυτήν την έκδοση; )
Παρεμπιπτόντως, χωρίς το NoTelURL, το site του dylanreeve μου βρίσκει το τηλέφωνο vulnerable, ενώ όντως όταν εγκατασταθεί μου εμφανίζει τον dialer.You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
28-09-12, 02:21 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #5
Μόλις δοκίμασα το URL και δεν "τρέχει" τον κωδικό (galaxy s3, non-rooted stock rom, android 4.0.4, χωρίς κάτι ιδιαίτερο custom ρυθμισμένο). Στον default browser, απλά εμφανίζει τον dialer (έτσι απλά, χωρίς καν το *#06#), ενώ στον Opera απλά ανοίγει το site χωρίς να κάνει τίποτα.
-
28-09-12, 02:21 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #6
-
28-09-12, 02:25 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #7
-
28-09-12, 02:28 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #8
ααα αλλάζει το θέμα τότε, θα πάρεις update λογικά κάποια στιγμή μέσω του Samsung KIES (δε ξέρω αν λειτουργεί η αναβάθμιση μέσα από το μενού του τηλεφώνου) Ναι παίζει ρόλο απο που είναι αγορασμένο γιατί έχει διαφορετικό product code αναλόγως την χώρα και το λογισμικό, οπότε τα Updates που παίρνεις σε κάθε χώρα είναι διαφορετικα. Απλά στην Ελλάδα δεν δίνουν σχεδόν ποτέ update
Επίσης αν εμφανίζει αμέσως το ΙΜΕΙ ναι έχεις το πρόβλημα αλλά δεν είσαι κι ο μόνος
-
28-09-12, 02:34 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #9
ωραια νεα!!!!
VAMOS ARIS
-
28-09-12, 03:03 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #10You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
28-09-12, 03:31 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #11
Αν λύνεται με dialer τότε εντάξει. Έτσι και αλλιώς τον one χρησιμοποιώ. Οχι βέβαια οτι δεν είναι σημαντικό θέμα αφού ενα σωρό κόσμος χρησιμοποιεί τον default και δεν έχει κάνει και ποτέ αναβάθμιση στο τηλέφωνο του.
-
28-09-12, 03:44 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #12
Εμ φίλε μου αν είχες το Galaxy S θα σου έλεγα τι αναβαθμίσεις υπάρχουν και σε ποιες χώρες και πως να το αναβαθμίσεις χειροκίνητα, αλλά δε γνωρίζω για το W. Κι εγώ δεν συμπαθώ το KIES, δεν το έχω χρησιμοποιήσει ποτέ, και εξάλλου έχουμε πλέον βαρεθεί να περιμένουμε την Samsung να δώσει αναβαθμίσεις στην Ελλάδα για παλαιότερα μοντέλα. (για παράδειγμα το galaxy S έχει να πάρει αναβάθμιση από το καλοκαίρι του '11 ενώ η μαμά Samsung έχει βγάλει καμιά 10αριά αναβαθμίσεις από τότε και έχουν δοθεί σε άλλες χώρες... )
Τέλος το offtopic από μένα
-
28-09-12, 04:35 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #13
Με neo v τη πρώτη φορά που το άνοιξα, έβγαλε το IMEI. Το επανέλαβα 2-3 φορές και δεν το έβγαλε.
4.0.4 με στοκ dialer και browser.* Όταν ακούς «τάξη» ανθρώπινο κρέας μυρίζει.
* Μες την έρμη κι άδεια πολιτεία μένει, το χέρι που μονάχα, με μπογιά θα γράψει στους μεγάλους τοίχους, ΨΩΜΙ ΚΙ ΕΛΕΥΘΕΡΙΑ.
Οδυσσέας Ελύτης
οδηγός δικαιωμάτων μισθωτών εκπαιδευτικών
-
28-09-12, 08:51 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #14
Είναι πάντως κουλό πως έχει περάσει αυτό έτσι. Μιλάμε για πολύ, πολύ χοντρή πατάτα.
Είναι σαν να μπαίνεις σε ένα απλό site με τον υπολογιστή και στα καλά καθούμενα να σου γίνεται format.Portable CD player
-
28-09-12, 09:51 Απάντηση: Διαγραφή δεδομένων σε Android τηλέφωνα από απόσταση #15
Δεν το είχα καταλάβει ότι το android υπάρχει περίπου τέσσερα χρόνια, πάντα έλεγα στον εαυτό μου είναι καινούργιο... Δεν είναι καινούργιο. Το android κάποια μέρα ΘΑ γίνει καλύτερο...
Παρόμοια Θέματα
-
Καταγραφή δεδομένων θέσης του χρήστη σε αρχείο και από το Android
Από Mouse Potato στο φόρουμ ΕιδήσειςΜηνύματα: 99Τελευταίο Μήνυμα: 27-04-11, 17:17 -
Πρόγραμμα για ολοκληρωτική διαγραφή δεδομένων.
Από Vasilis 07 στο φόρουμ Σκληροί δίσκοι, αποθηκευτικά μέσα και λοιπά περιφερειακάΜηνύματα: 11Τελευταίο Μήνυμα: 21-04-11, 01:35 -
Πρόβλημα με διαγραφή σε βάση δεδομένων
Από stefanos2110 στο φόρουμ Web authoring, development & web designΜηνύματα: 5Τελευταίο Μήνυμα: 22-11-09, 00:46 -
Διαγραφή δεδομένων και ανάκτηση τους
Από Winterswimmer στο φόρουμ Σκληροί δίσκοι, αποθηκευτικά μέσα και λοιπά περιφερειακάΜηνύματα: 3Τελευταίο Μήνυμα: 13-10-09, 20:05 -
Διαγραφη Δεδομενων
Από athletic στο φόρουμ WindowsΜηνύματα: 4Τελευταίο Μήνυμα: 21-03-09, 23:37
Bookmarks