Ekosystém Android dostal včera otřes díky odhalení, že jednoduché odkazy - něco, co byste mohli otevřít pouze online - by mohly spustit úplné vymazání některých zařízení Android. Výzkumník Ravi Borgaonkar odhalil zneužití a (samozřejmě) zařízením, kterému byla věnována veškerá pozornost, byl nejprodávanější Samsung Galaxy S III. Společnost Samsung již vydala opravu chyby zabezpečení. Ukázalo se však, že spousta dalších telefonů Android je zjevně zranitelná stejným zneužitím. Kořen problému spočívá ve standardním vytáčeném systému Android; i když Google problém opravil před několika měsíci, tato oprava se možná nedostala na aktuální zařízení Android a mnoho z nich jej nikdy neobdrží.
Existuje důvod k obavám, ale ne vyloženě panika. Tady je ukázka toho, jak exploit funguje, a několik tipů, jak se mohou uživatelé Androidu chránit.
Co je USSD?
Nové využití Androidu se spoléhá na protokol zabudovaný do většiny telefonů s názvem USSD nebo Nestrukturovaná data doplňkové služby. Představte si USSD trochu jako protokol pro zasílání textových zpráv, ale místo toho, aby se používal k přenosu krátkých zpráv mezi uživateli telefonů, má to umožnit výrobcům zařízení i mobilním operátorům vytvářet doplňkové služby pro jejich telefony a síť. Stejně jako textové zprávy jsou zprávy USSD krátké (až 182 znaků), ale na rozdíl od textových zpráv mohou ve skutečnosti otevřít obousměrné síťové připojení mezi zařízením a koncovým bodem v síti, takže jsou citlivější než zprávy SMS a mohou být používá se pro interaktivní služby v reálném čase.
Lidé, kteří spoléhají na předplacené telefonní služby, pravděpodobně využili služby USSD ke kontrole zbývajícího předplaceného zůstatku. Například předplacení uživatelé T-Mobile vytáčejí#999# vidět jejich rovnováhu. To je USSD. USSD však může podporovat sofistikovanější aplikace, jako jsou mobilní platební služby - ve skutečnosti je to jeden z důvodů, proč jsou některé rozvojové země s mobilními platbami dále než v Severní Americe a Evropě. Jiné služby mají zabudované funkce sociálních sítí pro Twitter, Facebook a další služby sociálních sítí, ačkoli ty se obvykle objevují pouze na běžných telefonech na rozvíjejících se trzích.
USSD je implementován v telefonech GSM (standardní uživatelé dopravci jako AT&T a T-Mobile), ale je tomu tak ne znamená, že jste mimo dosah, pokud používáte telefon s operátorem CDMA, jako je Verizon nebo Sprint. Mnoho kódů USSD spouští akce na místním zařízení a dělá je ne vyžadovat mobilního operátora, který podporuje USSD. Mnoho telefonů vytvořených pro sítě CDMA bude na tyto kódy reagovat.
USSD je ze své podstaty nestrukturovaný, což znamená, že telefony nepodporují stejné sady kódů USSD. Různí výrobci a mobilní operátoři se do značné míry řídili svými instinkty, jak vyvíjejí funkce a služby USSD. Kód USSD, který na telefonu Nokia dělá jednu věc, může na telefonu LG dělat něco úplně jiného - nebo vůbec nic. Jeden běžně používaný kód však je *#06#, který často zobrazuje jedinečné číslo IMEI (International Mobile Equipment Identity) zařízení.
Tel: já příběh
USSD není nic nového a pro Android není žádnou novou hrozbou. Ravi Borgaonkar předvedl neuvěřitelně jednoduchou kombinaci kódů USSD s protokolem „tel:“ URL. Protokoly URL jste viděli například v podobě webových odkazů a e-mailových adres http: a mailto:, resp. Existují však stovky dalších protokolů URL.
The tel: protokol umožňuje uživatelům vytočit telefonní číslo z webového prohlížeče: tel: 555-1212 by měl například připojit většinu Američanů k celostátní pomoci s adresáři. Demonstrace Borgaonkar spojila tel: Schéma URL s konkrétním kódem USSD, které - uhodli jste - může provést obnovení továrního nastavení některých zařízení Android. Společnost Borgaonkar nazvala tento tovární reset USSD „tragédií společnosti Samsung“, zčásti proto, že implementace příkazu vymazání společností Samsung nevyžaduje žádnou interakci s uživatelem. Některá další zařízení mají podobné příkazy pro obnovení továrního nastavení, ale přinejmenším vyžadují ruční potvrzení od uživatele.
Teoreticky by útočník musel vložit škodlivou adresu URL na web a jakékoli zranitelné zařízení, které tuto stránku načte, by se resetovalo na výchozí tovární nastavení. (V některých případech to zahrnuje i vymazání SIM karty.)
Je lákavé si myslet, že se jedná pouze o zranitelnost integrovaného prohlížeče telefonu, ale v případě Androidu je to opravdu ve výchozím vytáčení pro Android: Borgaonkar také předvedl způsoby, jak provést reset USSD pomocí QR kódů, WAP Push SMS zpráv a (v v případě Galaxy S III) dokonce prostřednictvím NFC. Není třeba zapojovat prohlížeč. Každá aplikace, která dokáže vytočit číslo na telefonu Android, může potenciálně spustit příkaz USSD.
Není to konec světa?
Zranitelnost se může zdát docela hrozná, ale Hendrik Pilz a Andreas Marx z nezávislé německé firmy zabývající se bezpečností AV-TEST poznamenávají, že tato chyba pravděpodobně není příliš lákavá pro kyberzločince.
"Myslíme si, že většina autorů malwaru nemusí mít zájem o zneužití této chyby zabezpečení, protože nebude mít smysl utírat telefon nebo blokovat uživatele," uvedli v prohlášení prostřednictvím e-mailu. "Malware se snaží mlčet o vašem systému, takže vaše mobilní zařízení může být použito pro nějaký druh škodlivé, možná kriminální činnosti." To bude fungovat pouze se spuštěnými a funkčními systémy. “
Je váš telefon zranitelný?
Doposud bylo prokázáno, že pouze vybrané telefony Samsung mají kód USSD, který provádí obnovení továrního nastavení. To však neznamená telefony od jiných dodavatelů ne mají podobné kódy, které by útočníci mohli použít k vymazání telefonů, ztrátě dat nebo potenciálnímu přihlášení uživatelů k drahým službám. To je koneckonců oblíbená zábava autorů malwaru pro Android.
Bohužel neexistuje žádný spolehlivý způsob, jak určit, zda je telefon Android zranitelný útokem založeným na USSD, ale uživatelé umět zkontrolujte, zda jsou jejich vytáčecí čísla zranitelná.
Bylo potvrzeno, že následující zařízení jsou citlivá na vytáčení kódů USSD z webové stránky:
- HTC Desire HD
- HTC Desire Z
- HTC Legend
- HTC One W
- HTC One X
- HTC Sensation (XE) (se systémem Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Milník společnosti Motorola
- Motorola Razr (se systémem Android 2.3.6)
- Samsung Galaxy Ace, Beam a S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (se systémem Android 4.0.4)
To opět platí ne znamená, že všechna tato zařízení lze vymazat pomocí USSD. Zatím bylo potvrzeno, že lze vymazat pouze vybrané telefony Samsung pomocí příkazu USSD. Mnoho dalších zařízení může vytočit příkazy USSD - a dokonce existují zprávy, že některá zařízení s operačním systémem Symbian a Samsung Bada vytočí příkazy USSD pomocí tel: URL.
Borgaonkar nabídl testovací stránku, která se pomocí iframe pokouší přesvědčit prohlížeč, aby vytočil kód USSD - v tomto případě *#06# který zobrazuje číslo IMEI zařízení:
//www.isk.kth.se/~rbbo/testussd.html
Popsaný geek Dylan Reeve také sestavil rychlou testovací stránku, která odhalí, zda váš Android dialer zpracovává kódy USSD pomocí stejných *#06# USSD kód:
//dylanreeve.com/phone.php
Pan Reeve však není odborníkem na mobilní zabezpečení, a pokud by se jednalo o útočníka, který by chtěl tuto chybu zabezpečení zneužít, hackování kterékoli z těchto testovacích stránek by bylo skvělým způsobem, jak způsobit chaos.
Jak se chránit
Pokud máte telefon Samsung - Společnost Samsung již vydala aktualizaci firmwaru, která tuto chybu zabezpečení opravuje. Vzhledem k tomu, že vybrané telefony Samsung jsou v současné době jedinými známými zařízeními, která jsou citlivá na vymazání, důrazně doporučujeme, aby majitelé Samsung tuto aktualizaci použili.
Aktualizujte Android - Zatím neexistují žádné indikace, že zařízení se systémem Android 4.1 Jelly Bean jsou náchylná k chybě zabezpečení USSD. Pokud je Jelly Bean zpřístupněn pro vaše zařízení a vy jste odkládali aktualizaci, nyní by byl dobrý čas. Dostupnost Jelly Bean na podporovaných zařízeních je bohužel do značné míry na uvážení dopravců a mobilní operátoři jsou notoricky pomalí v certifikaci nového softwaru pro své sítě. Mnoho zařízení citlivých na možné útoky USSD nikdy nebude možné upgradovat na Jelly Bean.
Použijte alternativní dialer - Otevřená platforma Androidu může nabídnout řešení: Místo spoléhání se na integrovaný dialer Androidu si uživatelé Androidu mohou nainstalovat dialer třetích stran, který neumožňuje předávání příkazů USSD. Oblíbeným je bezplatný DialerOne, který pracuje s Androidem 2.0 a novějším.
Blokovat tel: URL - Dalším přístupem je blokovat zpracování tel: URL. Joerg Voss nabízí bezplatnou NoTelURL, která v zásadě funguje jako komunikátor: pokud se uživatelé setkají s tel: URL (ať už prostřednictvím prohlížeče nebo skenování kódu), namísto okamžitého zpracování jim bude nabídnuta volba dialerů.
Zálohujte telefon - Mělo by to být samozřejmé, ale svůj Android telefon (a všechny své kontakty, fotografie, média a data) zálohujete pravidelně, že? Ať už zálohujete na místní počítač, do cloudové služby nebo používáte jiné schéma, pravidelné ukládání dat na bezpečné místo je nejlepší ochranou pro případ, že dojde k vymazání telefonu - nemluvě o ztrátě nebo odcizení.
