Ravi Borgaonkar, un ricercatore presso il dipartimento delle telecomunicazioni della Technical University di Berlino, ha dimostrato alla conferenza sulla sicurezza argentina Ekoparty l’esistenza di una severa vulnerabilità di alcuni telefoni Android e altri telefoni Samsung basati su sistemi operativi differenti.
Il problema si basa sulla gestione dell’URI tel: e consentirebbe ad un attaccante di convincere la vittima a visitare una pagina web ad hoc per cancellare il contenuto del telefono attraverso un apposito codice USSD.
La pagina che sfrutta la vulnerabilità deve contenere questo codice HTML:
<iframe src="tel:..."></iframe>
Dove al posto dei tre puntini si mette il codice USSD per cancellare il telefono.
Per verificare se un telefono è vulnerabile si può visitare la pagina androidtest.siamogeek.com che contiene l’exploit descritto sopra per visualizzare il codice IMEI del telefono. Se la pagina mostra il codice IMEI del telefono, quella versione del software è vulnerabile.
Un metodo per mitigare il problema dei telefoni vulnerabili è installare un’applicazione dialler (l’applicazione che mostra una tastiera numerica del telefono e permette di comporre un numero) alternativa. In questo caso l’URL tel: dovrebbe provocare la comparsa di una finestra che chiede quale dei dialler utilizzare e impedirebbe la composizione immediata del codice USSD.
Sicuramente gli Android 4.1 non sono vulnerabili. I telefoni basati su altri sistemi operativi o su Android Open Source Project (ASOP) diverso da 4.1 potrebbero essere interessati dal problema.
Un fix si può trovare qua: USSD Fix