Sledujte nás na YouTube

Upozornění: Smartphony Samsung disponují závažnou bezpečnostní chybou

Pokud patříte mezi majitele smartphonů Samsung s uživatelskou nadstavbou TouchWiz, měli byste nyní zpozornit. Na internetu se objevily informace poukazující na závažnou bezpečnostní chybu, která může neznalým uživatelům nenávratně smazat celý obsah smartphonu. Za celým problémem stojí USSD příkaz ukrytý v krátkém HTML kódu, kterým lze spustit wipe zařízení přímo z internetového prohlížeče. Kromě přímého linku se může tento USSD příkaz skrývat dokonce i pod QR kódem, textovou zprávou či NFC tagem.

Za tímto bezpečnostním rizikem stojí chyba v uživatelské nadstavbě výrobce TouchWiz, která umožňuje nativně zpracovávat USSD příkazy. Důrazně Vám tedy doporučujeme vypnout automatické načítání QR kódů a NFC značek. Dále je vhodné používat místo standartního prohlížeče například Google Chrome, který je vůči této chybě imunní.

 

Ohrožení se netýká uživatelů, kteří mají ve svém smartphonu Samsung nahranou jednu z alternativních ROM. Ze hry jsou i zařízení s operačním systémem Android ve verzi 4.1, která sice USSD kód načtou, ale nepovolí jeho automatické zpracování. Samsung byl již na rizikovou chybu upozorněn, ale zatím se k celé události nevyjádřil.

Za vhodné řešení bych považoval urgentní uvolnění aktualizace pro všechna zařízení, která jsou tímto nedostatkem zranitelná. V současné době využíváme smartphony čím dál častěji k choulostivým operacím, jakými jsou například bezkontaktní platby a ukládáme do nich i velice citlivá data. Do budoucna tedy můžeme zcela jistě počítat s tím, že se kolem nás začnou objevovat jedinci, kteří se budou chtít těchto dat zmocnit a využít je ve svůj prospěch či obohacení. Nepřecházejte tedy podobné zprávy pouhým mávnutím rukou a věnujte jim zvýšenou pozornost.

Aktualizováno: Samsung před malou chvílí uvolnil aktualizaci pro postižená zařízení, která bezpečnostní chybu opravuje. OTA update můžete vyvolat z nabídky nastavení – informace o systému – aktualizace software.

Zdroj

Richard Streit

Redaktor serveru SMARTmania.cz, fanoušek mobilní a výpočetní techniky. Vyznává a aktivně provozuje adrenalinové sporty. Mezi další zájmy patří hudba, příroda a moderní vědy. Jeho velkou vášní je Apple a partnerský web CeskyMac.cz.

25 komentářů

  1. Jirka (neregistrovaný)

    Chyba jiz je udajne odstranena v nove aktualizaci. zdroj: [odkaz]

  2. uni (neregistrovaný)

    heh, zrovna včera mě pobavil spoluhráč na tréninku, HTC Sensation (ale to je jedno): „nahoře nějaké upozornění, ťuk->cink SMS „tato SMS byla zpoplatněna 99,-, pro odhlášení….“. JJ, radosti „svobody“.

  3. mara_n (neregistrovaný)

    Můj Galaxy Note tímto neduhem netrpí. I bez jakékoli aktualizace…

  4. bkf1 (neregistrovaný)

    Na telefonu jedine Operu, takze jsem z toho asi venku :)

    • xxx (neregistrovaný)

      Opera Mobile ochrání jen před vloženým rámcem. Pokud dá někdo kód rovnou do odkazu. Nepomůže snad žádný prohlížeč.

      A Opera Mini otevírá i vložený rámec.

  5. daemon (neregistrovaný)

    Nechce to na SGSIII vyzkoušet, zda to tak opravdu je? :D …Mě se do toho nechce;)

    Stock 4.0.4 I9300BULG2

    • daemon (neregistrovaný)

      Tak mi to nedalo:D … Po otevření stránky se otevře klávesnice, ale nic se nestane;)

    • E233 (neregistrovaný)

      Hele chtěl jsem se tě zeptat jestli už ti mobil nabídl aktualizaci na JB.mám taky i9300BULG2

      díky

  6. Honza (neregistrovaný)

    POZOR NETÝKÁ SE POUZE SAMSUNGU!

    Dle diskuze na [odkaz] funguje postup i na telefonech s CM9 a některých HTC.

    Jde o částečně o chybu prohlížeče a hlavně dialeru. Prohlížeč může za to, že se kód načte ihned po navštívení stránky. Což je bohužel ta méně závažná část problému. Protože číslo (i USSD kód) jde do dialeru vložit přes klasický odkaz (a je to standardní chování!).

    Horší je proto chyba dialeru, který spustí akci pro USSD kód i po vložení kódu jinak než uživatelem. Správně by se měl USSD kód aktivovat po zadání posledního znaku právě uživatelem přes klávesnici dialeru. Tudíž i při kliknutí na odkaz v prohlížeči by se měl USSD kód vložit, ale neměl by se aktivovat (takto se chová např. LG P500 s AOS 2.3.3).

    To samé platí pro načtení USSD kódu přes QRkód a NFC. Načíst by se měl. Aktivovat bez interakce uživatele už ne.

    Za nějakou dobu sem hodím odkaz, kde si budete moci otestovat váš telefon (dialer) na tuto zranitelnost.

  7. Honza (neregistrovaný)

    Už to funguje. Zatoulaná uvozovka :)

  8. h00ked (neregistrovaný)

    joooo, zlatý nexus zařízení :)

  9. Dano (neregistrovaný)

    Pre vsetkych, ktori sa chcu pred samospustanim USSD kodov branit su tieto dve apky priamo z Play marketu:

    [odkaz].

    [odkaz].

  10. siris (neregistrovaný)

    S2 ma dle mne touchwiz, mam ofiko distribuci ICS 4.0.3 a zadna aktualizace k dispozici neni, tak co je spatne?

    • TomasNM (neregistrovaný)

      Asi to sem ku nam do tej „malej smradlavej kotlinky“ nezavitalo. Holt,snad si to v tej megasuperperfektnej amerike uzivas,ci kde to vlastne si,ked na nas nadavas(vid diskusia [odkaz] ).

    • siris (neregistrovaný)

      Je to zajimave, jak vsichni predpokladate, ze kdyz jsem nekde v cizine, tak to tam musi byt megasuperperfektni. Delam na projektu ve Vidni, protoze tu proste je pro mne prace. V Cechach jsem dost casto, minimalne 1x do mesice, v tuhle chvili i casteji, takze familierni nazev „mala smradlava kotlinka“ je minen s nadsazkou videno perspektivou ze zahranici, coz si myslim neni nic spatneho, mit moznost sebereflexe.

      Kazdopadne ani v Cechach ani v Rakousku se mi nepovedlo telefon aktualizovat :-).

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *