Уязвимости с удалением данных (Android)

[F1sh]

Уязвимости с удалением данных подвержены также смартфоны HTC, Motorola и Sony. Сайт для проверки проблемы

 

Как оказалось, неожиданной уязвимости с удалением данных при посещении страницы со специально сформированной ссылкой, которую Samsung успела оперативно исправить буквально через день, подвержены также и устройства HTC One X, HTC Desire, Motorola Defy, Sony Xperia Active и Sony Xperia Arc S.

 

Главной причиной уязвимости была признана не TouchWiz, которую Samsung устанавливает на свои смарфтоны, а особенности обработки «телефонных» ссылок на некоторых Android-устройствах, при которой внедрённый в тело обычной гиперссылки USSD-код выполняется сразу, без подтверждения пользователя — говорит специалист по компьютерной безопасности Дилан Рив. При этом указанная проблема известна сравнительно давно и исправлена Google, однако сами производители смартфонов, по всей вероятности, не спешат использовать патч, рискуя, таким образом, безопасностью данных пользователя.

 

До тех пор, пока производители не выпустят соответствующее исправление, Рив предлагает пользователям установить какой-нибудь альтернативный «диалер», при использовании которого Android даст выбрать через какую программу совершать звонок, если вдруг попадётся вредоносная ссылка.

 

Для того, чтоб определить, подвержен ли ваш смарфтон уязвимости с USSD-кодом, уже существует специальный сайт http://dylanreeve.com/phone.php (короткая ссылка — http://bit.ly/QC03LM). Если при посещении его Android немедленно предлагает позвонить и при этом отображает IMEI-аппарата, то данное устройство уязвимо к удалённой USSD-атаке.

 

UPD: QR-код на сайт с тестом на уязвимость

 

http://habrastorage.org/storage2/45a/677/bd1/45a677bd11b4614c5ae7b80b770b187e.gif

© Хабр

[BLZxSmaX]

Недостатки открытых платформ.

[Злой]

На гэлакси таб 2 при входе на этот сайт появляется экран набора с набраным USSD кодом. Сам не звонит, IMEI не показывает.

[Tetro]

а я то думал, какого хрена у меня приложения удаляются... тоже подвержен, sgs2, гррр

[mistiman]

Пошутил над коллегой, теперь боюсь зайти в кабинет. Таки полный вайп, а бэкапов нет