Android-økosystemet fikk et støt i går med avsløringen om at enkle lenker - noe du bare kan åpne online - kan utløse en fullstendig sletting av noen Android-enheter. Forsker Ravi Borgaonkar avslørte utnyttelsen, og (selvfølgelig) enheten som fikk all oppmerksomhet var den bestselgende Samsung Galaxy S III. Samsung har allerede utstedt en oppdatering for sårbarheten. Men det viser seg at mange andre Android-telefoner tilsynelatende er sårbare for samme utnyttelse. Roten til problemet ligger i den vanlige Android-oppringeren; selv om Google lapp opp problemet for flere måneder siden, kan det hende at løsningen ikke har gjort det til nåværende Android-enheter, og mange vil aldri motta det.
Det er grunn til bekymring, men ikke direkte panikk. Slik fungerer utnyttelsen, og noen tips for hvordan Android-brukere kan beskytte seg selv.
Hva er USSD?
Den nye Android-utnyttelsen er avhengig av en protokoll innebygd i de fleste telefoner som kalles USSD eller Unstructured Supplementary Service Data. Tenk på USSD litt som en tekstmeldingsprotokoll, men i stedet for å bli brukt til å overføre korte meldinger mellom telefonbrukere, er det ment å la både enhetsprodusenter og mobiloperatører bygge tilleggstjenester for sine telefoner og nettverk. I likhet med tekstmeldinger er USSD-meldinger korte (opptil 182 tegn), men i motsetning til tekstmeldinger kan de faktisk åpne en toveis nettverkstilkobling mellom en enhet og et nettverksendepunkt, slik at de er mer responsive enn SMS-meldinger og kan være brukes til sanntids interaktive tjenester.
Folk som er avhengige av forhåndsbetalte telefontjenester, har sannsynligvis brukt USSD-tjenester for å sjekke den gjenværende forhåndsbetalte saldoen. For eksempel ringer T-Mobile forhåndsbetalte brukere#999# å se balansen deres. Det er USSD. Imidlertid kan USSD støtte mer sofistikerte applikasjoner som mobile betalingstjenester - faktisk er det en grunn til at noen utviklingsland er lenger sammen med mobilbetalinger enn Nord-Amerika og Europa. Andre tjenester har bygget sosiale nettverksfunksjoner for Twitter, Facebook og andre sosiale nettverkstjenester, selv om de vanligvis bare ses på funksjonstelefoner i fremvoksende markeder.
USSD er implementert i GSM-telefoner (standardbrukere av operatører som AT&T og T-Mobile), men det gjør ikke betyr at du ikke hører til hvis du bruker en telefon med en CDMA-operatør som Verizon eller Sprint. Mange USSD-koder utløser handlinger på den lokale enheten og gjør ikke krever en mobiloperatør som støtter USSD. Mange telefoner bygget for CDMA-nettverk vil svare på disse kodene.
USSD er per definisjon ustrukturert, noe som betyr at telefoner ikke støtter de samme settene med USSD-koder. Ulike produsenter og mobiloperatører har i stor grad fulgt sine egne instinkter om hvordan de utvikler USSD-funksjoner og -tjenester. En USSD-kode som gjør en ting på en Nokia-telefon, kan gjøre noe annet helt på en LG-telefon - eller ingenting i det hele tatt. Imidlertid er en vanlig brukt kode *#06#, som ofte viser enhetens unike IMEI-nummer (International Mobile Equipment Identity).
Tel: meg en historie
USSD er ikke noe nytt, og er ikke noen ny trussel mot Android. Det Ravi Borgaonkar demonstrerte var en utrolig enkel kombinasjon av USSD-koder med "tel:" URL-protokollen. Du har sett URL-protokoller i ting som nettkoblinger og e-postadresser - det er de http: og mailto:, henholdsvis. Imidlertid er det hundrevis av andre URL-protokoller.
De tlf: protokollen lar brukerne ringe et telefonnummer fra en nettleser: tlf: 555-1212 skal for eksempel koble de fleste amerikanere til landsdekkende katalogassistanse. Borgaonkars demonstrasjon kombinerte tlf: URL-ordning med en bestemt USSD-kode som - du gjettet det - kan tilbakestille fabrikken til noen Android-enheter. Borgaonkar kalte denne fabrikken tilbakestill USSD til "Samsung-tragedien", delvis fordi Samsungs implementering av wipe-kommandoen ikke innebærer brukerinteraksjon. Noen andre enheter har lignende tilbakestillingskommandoer, men krever i det minste manuell bekreftelse fra brukeren.
I teorien er det eneste som en angriper trenger å gjøre, er å legge inn en ondsinnet URL på et nettsted, og enhver sårbar enhet som laster siden vil bli tilbakestilt til fabrikkinnstillingene. (I noen tilfeller inkluderer dette til og med å tørke ut SIM-kortet.)
Det er fristende å tro at dette bare er et sårbarhet med telefonens innebygde nettleser, men i Androids tilfelle er det virkelig i standard Android-oppringeren: Borgaonkar demonstrerte også måter å utføre USSD-tilbakestillingen ved hjelp av QR-koder, WAP Push SMS-meldinger, og (i saken til Galaxy S III) til og med via NFC. Det er ikke nødvendig å involvere en nettleser. Enhver app som kan ringe et nummer på en Android-telefon, kan potensielt utløse en USSD-kommando.
Ikke verdens ende?
Sårbarheten kan virke ganske alvorlig, men Hendrik Pilz og Andreas Marx i det uavhengige tyske sikkerhetsfirmaet AV-TEST bemerker at sårbarheten sannsynligvis ikke er veldig tiltalende for nettkriminelle.
"Vi tror at flertallet av malware-forfattere kanskje ikke er interessert i å utnytte sårbarheten, da det ikke vil være fornuftig å tørke en telefon eller låse brukere ut," sa de i en uttalelse via e-post. “Malware prøver å være stille på systemet ditt, slik at mobilenheten din kan brukes til en slags ondsinnet, muligens kriminell aktivitet. Dette vil bare fungere med løpende og fungerende systemer. ”
Er telefonen din sårbar?
Så langt har bare utvalgte Samsung-telefoner vist seg å ha en USSD-kode som utfører en tilbakestilling av fabrikken. Det betyr imidlertid ikke at telefoner fra andre leverandører ikke gjør det har lignende koder som angripere kan bruke til å tørke telefoner, forårsake tap av data, eller potensielt til og med registrere brukere for dyre tjenester. Det er tross alt et yndet tidsfordriv for Android-malware-forfattere.
Dessverre er det ingen sikker måte å avgjøre om en Android-telefon er sårbar for et USSD-basert angrep, men brukere kan sjekk om oppringerne er sårbare.
Følgende enheter er bekreftet å være sårbare for å ringe USSD-koder fra en webside:
- HTC Desire HD
- HTC Desire Z
- HTC Legend
- HTC One W.
- HTC One X
- HTC Sensation (XE) (kjører Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Motorola Milestone
- Motorola Razr (kjører Android 2.3.6)
- Samsung Galaxy Ace, Beam og S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (kjører Android 4.0.4)
Igjen, dette gjør det ikke betyr at alle disse enhetene kan tørkes via USSD. Så langt har bare utvalgte Samsung-telefoner blitt bekreftet å kunne tørkes via en USSD-kommando. Mange andre enheter kan ringe USSD-kommandoer - og det rapporteres til og med at noen enheter som kjører Symbian og Samsungs bada-operativsystem vil ringe USSD-kommandoer ved hjelp av tlf: URLer.
Borgaonkar tilbød en testside som bruker en iframe for å prøve å overbevise en nettleser om å ringe en USSD-kode - i dette tilfellet *#06# som viser enhetens IMEI-nummer:
//www.isk.kth.se/~rbbo/testussd.html
Selvbeskrevet nerd Dylan Reeve satte også sammen en rask testside som kan avsløre om Android-oppringeren din behandler USSD-koder, ved å bruke den samme *#06# USSD-kode:
//dylanreeve.com/phone.php
Imidlertid er Mr. Reeve ikke en mobil sikkerhetsekspert, og hvis en var en angriper som ønsket å utnytte dette sikkerhetsproblemet, ville hacking av en av disse testsidene være en fin måte å forårsake noe kaos.
Hvordan beskytte deg selv
Hvis du har en Samsung-telefon - Samsung har allerede gitt ut en firmwareoppdatering som oppdaterer sårbarheten. Gitt at utvalgte Samsung-telefoner for øyeblikket er de eneste enhetene som er kjent for å være utsatt for tørk, anbefaler vi på det sterkeste Samsung-eiere å bruke oppdateringen.
Oppdater Android - Så langt er det ingen indikasjoner på at enheter som kjører Android 4.1 Jelly Bean er utsatt for USSD-sårbarheten. Hvis Jelly Bean er gjort tilgjengelig for enheten din, og du har utsatt oppdateringen din, vil det være en god tid. Dessverre er tilgjengeligheten av Jelly Bean på støttede enheter i stor grad etter transportørens skjønn, og mobiloperatører er notorisk sakte med å sertifisere ny programvare for sine nettverk. Mange enheter som er sårbare for mulige USSD-angrep, kan aldri oppgraderes til Jelly Bean.
Bruk en alternativ oppringing - Androids åpne plattform kan tilby en løsning: I stedet for å stole på Androids innebygde oppringing, kan Android-brukere installere en tredjepartsoppringing som ikke lar USSD-kommandoer passere. En favoritt er gratis DialerOne, som fungerer med Android 2.0 og nyere.
Blokkér tlf: URL-er - En annen tilnærming er å blokkere behandlingen av tlf: URLer. Joerg Voss tilbyr gratis NoTelURL som egentlig utgjør en oppringing: hvis brukere støter på en tlf: URL (enten via en nettleser eller skanning av en kode) får de tilbud om valg av oppringere i stedet for å få den behandlet umiddelbart.
Sikkerhetskopier telefonen - Det burde si seg selv, men du sikkerhetskopierer ofte Android-telefonen din (og alle kontaktene, bildene, media og data), ikke sant? Enten du tar sikkerhetskopi til en lokal PC, til en skybasert tjeneste eller ved hjelp av en annen ordning, er det best å lagre dataene dine på et sikkert sted hvis telefonen blir tørket - for ikke å nevne tapt eller stjålet.
