Вчора екосистема Android потряслася, виявивши, що прості посилання - те, що ви можете просто відкрити в Інтернеті - можуть викликати повне знищення деяких пристроїв Android. Дослідник Раві Боргаонкар розкрив експлойт, і (звичайно) пристроєм, який привернув всю увагу, став найбільш продаваний Samsung Galaxy S III. Samsung вже випустив виправлення для вразливості. Але виявляється, що багато інших телефонів Android, мабуть, вразливі для того самого подвигу. Корінь проблеми лежить у стандартному дозвоні Android; навіть незважаючи на те, що Google виправив проблему кілька місяців тому, можливо, це виправлення не потрапило на поточні пристрої Android, і багато хто ніколи її не отримають.
Привід для занепокоєння є, але не відверта паніка. Ось як працює експлойт і кілька порад щодо того, як користувачі Android можуть захиститися.
Що таке USSD?
Нова версія Android використовує протокол, вбудований у більшість телефонів, який називається USSD, або Неструктуровані додаткові службові дані. Подумайте про USSD трохи як протокол обміну текстовими повідомленнями, але замість того, щоб використовувати його для передачі коротких повідомлень між користувачами телефонів, він призначений як виробникам пристроїв, так і мобільним операторам створювати додаткові послуги для своїх телефонів та мережі. Як і текстові повідомлення, USSD-повідомлення є короткими (до 182 символів), але на відміну від текстових повідомлень, вони насправді можуть відкрити двостороннє мережеве з'єднання між пристроєм і кінцевою точкою мережі, тому вони більш чутливі, ніж SMS-повідомлення, і можуть бути використовується для інтерактивних послуг у режимі реального часу.
Люди, які покладаються на передплачені телефонні послуги, напевно, використовували USSD-послуги, щоб перевірити залишок передплаченого залишку. Наприклад, передплачені користувачі T-Mobile набирають номер#999# щоб побачити їх рівновагу. Це USSD. Однак USSD може підтримувати більш складні додатки, такі як мобільні платіжні послуги - насправді, це одна з причин, чому деякі країни, що розвиваються, перебувають нарівні з мобільними платежами, ніж Північна Америка та Європа. Інші служби мають вбудовані функції соціальних мереж для Twitter, Facebook та інших служб соціальних мереж, хоча вони, як правило, можна побачити лише на функціональних телефонах на ринках, що розвиваються.
USSD реалізовано в GSM-телефонах (звичайних користувачів операторами, як AT&T та T-Mobile), але це робить ні означає, що ви не в курсі, якщо користуєтесь телефоном із оператором CDMA, таким як Verizon або Sprint. Багато USSD-кодів запускають дії на локальному пристрої та виконують їх ні вимагати мобільного оператора, який підтримує USSD. Багато телефонів, побудованих для мереж CDMA, реагуватимуть на ці коди.
USSD, за визначенням, неструктурований, що означає, що телефони не підтримують однакові набори кодів USSD. Різні виробники та мобільні оператори здебільшого дотримувались власних інстинктів щодо того, як вони розробляють функції та послуги USSD. Код USSD, який робить одне на телефоні Nokia, може зробити щось інше на телефоні LG - або взагалі нічого. Однак одним із загальновживаних кодів є *#06#, на якому часто відображається унікальний номер пристрою IMEI (International Mobile Equipment Identity).
Тел: мені історія
USSD не є чимось новим і не є якоюсь новою загрозою для Android. Те, що продемонстрував Раві Боргаонкар, - це приголомшливо проста комбінація кодів USSD з протоколом URL-адреси „tel:”. Ви бачили протоколи URL-адрес у таких речах, як веб-посилання та адреси електронної пошти http: і mailto:відповідно. Однак існують сотні інших протоколів URL.
тел .: Протокол дозволяє користувачам набирати телефонний номер із веб-браузера: tel: 555-1212, наприклад, повинен підключити більшість американців до загальнодержавної довідкової служби. Демонстрація Боргаонкара поєднала в собі тел .: Схема URL-адреси з певним кодом USSD, який - як ви вже здогадалися - може виконати заводські скидання деяких пристроїв Android. Боргаонкар назвав це відновлення заводських налаштувань USSD "трагедією Samsung", частково тому, що реалізація Samsung команди видалення не передбачає взаємодії користувача. Деякі інші пристрої мають подібні команди відновлення заводських налаштувань, але принаймні вимагають підтвердження користувача вручну.
Теоретично зловмиснику потрібно було лише вставити шкідливу URL-адресу на веб-сайт, а будь-який вразливий пристрій, який завантажує цю сторінку, буде скинутий до заводських значень. (У деяких випадках це включає навіть видалення SIM-карти.)
Спокусливо думати, що це лише вразливість із вбудованим у телефоні браузером, але у випадку Android це дійсно в наборі номера за замовчуванням для Android: Borgaonkar також продемонстрував способи виконати скидання USSD за допомогою QR-кодів, WAP-SMS-повідомлень та (в у випадку з Galaxy S III) навіть через NFC. Не потрібно залучати браузер. Будь-яка програма, яка може набрати номер на телефоні Android, може потенційно викликати команду USSD.
Чи не кінець світу?
Вразливість може здатися досить жахливою, але Хендрік Пілц та Андреас Маркс у незалежній німецькій фірмі безпеки AV-TEST зазначають, що вразливість, мабуть, не дуже приваблює кіберзлочинців.
"Ми вважаємо, що більшість авторів зловмисного програмного забезпечення можуть бути не зацікавлені у використанні вразливості, оскільки не має сенсу стирати телефон або блокувати користувачів", - сказали вони в заяві електронною поштою. “Шкідливе програмне забезпечення намагається мовчати у вашій системі, тому ваш мобільний пристрій можна використовувати для якихось зловмисних, можливо злочинних дій. Це буде працювати лише з запущеними та робочими системами ".
Ваш телефон вразливий?
Наразі лише на деяких телефонах Samsung було продемонстровано код USSD, який виконує скидання до заводських налаштувань. Однак це не означає телефонів інших постачальників ні мають подібні коди, які зловмисники могли використовувати для витирання телефонів, спричинення втрати даних або, навіть, потенційно навіть підписувати користувачів на дорогі послуги. Зрештою, це улюблене заняття авторів шкідливих програм Android.
На жаль, не існує надійного способу визначити, чи телефон Android є вразливим до атак на основі USSD, але користувачі може перевірте, чи не вразливі їх набирачі номерів.
Наступні пристрої підтверджено вразливими до набору кодів USSD з веб-сторінки:
- HTC Desire HD
- HTC Desire Z
- Легенда HTC
- HTC One W
- HTC One X
- HTC Sensation (XE) (під управлінням Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Motorola Milestone
- Motorola Razr (під управлінням Android 2.3.6)
- Samsung Galaxy Ace, Beam і S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (під управлінням Android 4.0.4)
Знову ж таки, це так ні означає, що всі ці пристрої можна стерти через USSD. Наразі підтверджено, що лише деякі телефони Samsung можна чистити за допомогою команди USSD. Багато інших пристроїв можуть набирати USSD-команди - і навіть є повідомлення, що деякі пристрої, на яких запущена операційна система Symbian та Bada Bada, будуть набирати USSD-команди за допомогою тел .: URL-адреси.
Боргаонкар запропонував тестову сторінку, яка використовує iframe, щоб спробувати переконати браузер набрати код USSD - у цьому випадку *#06# що відображає номер IMEI пристрою:
//www.isk.kth.se/~rbbo/testussd.html
Дикан Рів, який сам описав, також створив сторінку швидкого тестування, яка може показати, чи обробляє ваш телефон для набору Android USSD-коди, використовуючи ті самі *#06# Код USSD:
//dylanreeve.com/phone.php
Однак містер Рів не є експертом з мобільної безпеки, і, якби хтось зловмисник прагнув використати цю вразливість, злом будь-якої з цих тестових сторінок був би чудовим способом викликати хаос.
Як захиститися
Якщо у вас телефон Samsung - Samsung вже випустив оновлення мікропрограми, яке виправляє вразливість. Враховуючи, що вибрані телефони Samsung на даний момент є єдиними відомими пристроями, які піддаються стиранню, ми настійно рекомендуємо власникам Samsung застосувати оновлення.
Оновіть Android - Поки що немає жодних ознак того, що пристрої під управлінням Android 4.1 Jelly Bean сприйнятливі до вразливості USSD. Якщо Jelly Bean був доступний для вашого пристрою, і ви відкладали своє оновлення, зараз був би вдалий час. На жаль, доступність Jelly Bean на підтримуваних пристроях здебільшого залежить від розсуду операторів, і мобільні оператори, як відомо, повільно сертифікують нове програмне забезпечення для своїх мереж. Багато пристроїв, вразливих до можливих атак USSD, ніколи не можна оновити до Jelly Bean.
Використовуйте альтернативний набір номера - Відкрита платформа Android може запропонувати обхідний шлях: замість того, щоб покладатися на вбудований дозвонщик Android, користувачі Android можуть встановити сторонній дозвон, який не дозволяє передавати команди USSD. Улюбленим є безкоштовний DialerOne, який працює з Android 2.0 та новішими версіями.
Заблокувати tel: URL-адреси - Інший підхід - блокувати обробку тел: URL-адреси. Joerg Voss пропонує безкоштовний NoTelURL, який по суті позначається номеронабирачем: якщо користувачі стикаються з тел .: URL-адреси (через браузер чи сканування коду), їм буде запропоновано вибір номеронабирачів, замість того, щоб обробляти їх негайно.
Створіть резервну копію телефону - Зрозуміло, але ви регулярно створюєте резервні копії телефону Android (і всіх ваших контактів, фотографій, медіа та даних), чи не так? Незалежно від того, чи створюєте ви резервну копію на локальному ПК, у хмарній службі чи використовуєте якусь іншу схему, регулярне збереження даних у безпечному місці є найкращим захистом у випадку, якщо телефон витирається - не кажучи вже про втрату чи викрадення.
