Як не дати хакерам стерти ваш телефон Android за допомогою одного посилання

Вчора екосистема Android отримала поштовх, коли стало відомо, що прості посилання – те, що ви могли просто відкрити в Інтернеті – можуть призвести до повного видалення деяких пристроїв Android. Дослідник Раві Боргаонкар (Ravi Borgaonkar) виявив цю уразливість, і (звичайно ж) пристроєм, який привернув до себе всю увагу, став найбільш продаваний Samsung Galaxy S III. Компанія Samsung вже випустила патч для усунення уразливості. Але виявляється, що багато інших телефонів на базі Android, очевидно, вразливі до цієї ж уразливості. Корінь проблеми лежить в стандартному наборі номера Android; хоча Google виправив проблему кілька місяців тому, це виправлення могло не дійти до сучасних пристроїв Android, і багато з них ніколи його не отримають.

Є привід для занепокоєння, але не для паніки. Ось як працює експлойт і кілька порад, як користувачі Android можуть захистити себе.

Що таке USSD?

Новий експлойт для Android заснований на протоколі, вбудованому в більшість телефонів, який називається USSD (Unstructured Supplementary Service Data – неструктуровані додаткові службові дані). Уявіть собі USSD як протокол обміну текстовими повідомленнями, але замість того, щоб використовуватися для передачі коротких повідомлень між користувачами телефонів, він призначений для того, щоб виробники пристроїв і мобільні оператори могли створювати додаткові сервіси для своїх телефонів і мереж. Як і текстові повідомлення, USSD-повідомлення короткі (до 182 символів), але на відміну від текстових повідомлень, вони можуть фактично відкривати двостороннє мережеве з’єднання між пристроєм і кінцевою точкою мережі, тому вони більш швидкі, ніж SMS-повідомлення, і можуть використовуватися для інтерактивних послуг в режимі реального часу.

• Топ-9 Instagram: як побачити свої 9 найкращих фотографій 2022 року
• Як перенести фотографії з iPhone на iPhone
• Як налаштувати новий телефон Samsung Galaxy як професіонал

Люди, які покладаються на передплачені телефонні послуги, ймовірно, використовували послуги USSD для перевірки залишку передоплаченого балансу. Наприклад, користувачі передплачених послуг T-Mobile набираютьщоб побачити свій баланс. Це і є USSD. Однак USSD може підтримувати більш складні додатки, такі як послуги мобільних платежів – фактично, це одна з причин, чому деякі країни, що розвиваються, просунулися в розвитку мобільних платежів далі, ніж Північна Америка і Європа. Інші сервіси створили функції соціальних мереж для Twitter, Facebook та інших соціальних мереж, хоча вони, як правило, доступні лише на функціональних телефонах на ринках, що розвиваються.

USSD реалізовано в телефонах GSM (стандарт, який використовують такі оператори, як AT&T і T-Mobile), але це не означає, що ви не будете мати доступу до нього, якщо ви користуєтеся телефоном оператора CDMA, наприклад, Verizon або Sprint. Багато USSD-кодів запускають дії на локальному пристрої і не потребують мобільного оператора, який підтримує USSD. Багато телефонів, створених для мереж CDMA, будуть реагувати на ці коди.

USSD, за визначенням, є неструктурованим, що означає, що телефони не підтримують однакові набори USSD-кодів. Різні виробники та оператори мобільного зв’язку в значній мірі слідують власним інстинктам при розробці функцій та послуг USSD. USSD-код, який виконує одну функцію на телефоні Nokia, може виконувати зовсім іншу на телефоні LG – або взагалі нічого не виконувати. Однак, одним з найпоширеніших кодів є * який часто відображає унікальний номер IMEI (Міжнародний ідентифікатор мобільного обладнання) пристрою.

Тел: мені історія

USSD не є чимось новим, і не є якоюсь новою загрозою для Android. Те, що продемонстрував Раві Боргаонкар, було приголомшливо простою комбінацією USSD-кодів з “tel:” URL-протокол. Ви бачили протоколи URL-адрес в таких речах, як веб-посилання і адреси електронної пошти – це http: і mailto:, відповідно. Однак існують сотні інших протоколів URL-адрес.

Протокол tel: дозволяє користувачам набирати телефонний номер з веб-браузера: наприклад, tel:555-1212 повинен з’єднати більшість американців з загальнонаціональною довідковою службою. Демонстрація Боргаонкара поєднала схему URL tel: з певним USSD-кодом, який – як ви вже здогадалися – може виконати скидання до заводських налаштувань деяких пристроїв Android. Боргаонкар назвав цей USSD-код для скидання до заводських налаштувань “трагедією Samsung”, частково через те, що реалізація Samsung своєї команди wipe не передбачає жодної взаємодії з користувачем. Деякі інші пристрої мають подібні команди скидання до заводських налаштувань, але принаймні вимагають ручного підтвердження від користувача.

Теоретично, все, що потрібно зловмиснику, – це вбудувати шкідливу URL-адресу в веб-сайт, і будь-який вразливий пристрій, який завантажить цю сторінку, буде скинуто до заводських налаштувань за замовчуванням. (У деяких випадках це навіть включає стирання SIM-карти).

Спокусливо думати, що це просто вразливість у вбудованому браузері телефону, але у випадку з Android це дійсно вразливість у стандартному наборі номера Android: Боргаонкар також продемонстрував способи виконання USSD-скидання за допомогою QR-кодів, WAP Push SMS-повідомлень і (у випадку з Galaxy S III) навіть через NFC. Для цього не потрібно використовувати браузер. Будь-який додаток, який може набрати номер на телефоні Android, може потенційно запустити USSD-команду.

Не кінець світу?

Вразливість може здатися досить страшною, але Хендрік Пільц і Андреас Маркс з незалежної німецької фірми з безпеки AV-TEST відзначають, що вразливість, ймовірно, не дуже приваблива для кіберзлочинців.

“Ми вважаємо, що більшість авторів шкідливих програм можуть бути не зацікавлені у використанні цієї вразливості, оскільки немає сенсу стирати дані з телефону або блокувати користувачів”, – йдеться в повідомленні, надісланому електронною поштою. “Шкідливе програмне забезпечення намагається залишатися безшумним у вашій системі, тому ваш мобільний пристрій може бути використаний для якоїсь шкідливої, можливо, злочинної діяльності. Це буде працювати тільки з запущеними і працюючими системами”.

Чи вразливий ваш телефон?

Наразі було продемонстровано, що лише окремі телефони Samsung мають USSD-код, який виконує скидання до заводських налаштувань. Однак це не означає, що телефони інших виробників не мають подібних кодів, які зловмисники можуть використовувати для стирання телефонів, втрати даних або потенційно навіть підписувати користувачів на дорогі послуги. Зрештою, це улюблене заняття авторів шкідливих програм для Android.

На жаль, не існує надійного способу визначити, чи вразливий телефон Android до USSD-атак, але користувачі можуть перевірити, чи вразливий їхній телефонний набір.

Підтверджено, що наступні пристрої є вразливими до набору USSD-кодів з веб-сторінок:

• HTC Desire HD
• HTC Desire Z
• HTC Legend
• HTC One W
• HTC One X
• HTC Sensation (XE) (під управлінням Android 4.0.3)
• Huawei Ideos
• Motorola Atrix 4G
• Motorola Milestone
• Motorola Razr (під управлінням Android 2.3.6)
• Samsung Galaxy Ace, Beam та S Advance
• Samsung Galaxy S2
• Samsung Galaxy S3 (під управлінням Android 4.0.4)

Знову ж таки, це не означає, що всі ці пристрої можна буде стерти за допомогою USSD. Наразі підтверджено, що лише деякі телефони Samsung можна очистити за допомогою USSD-команди. Багато інших пристроїв можуть набирати USSD-команди – і є навіть повідомлення про те, що деякі пристрої, що працюють під управлінням операційних систем Symbian і bada від Samsung, набирають USSD-команди за допомогою tel: URL-адрес.

Боргаонкар запропонував тестову сторінку, яка використовує iframe, щоб спробувати переконати браузер набрати USSD-код – в даному випадку, * який відображає номер IMEI пристрою:

Самоописаний гік Ділан Рів також склав швидку тестову сторінку, яка може виявити, чи обробляє ваш набірний пристрій Android коди USSD, використовуючи ту ж саму *. USSD-код:

Однак, пан Рів не є експертом з мобільної безпеки і, якби хтось був зловмисником, який хоче використати цю вразливість, злом будь-якої з цих тестових сторінок був би чудовим способом спричинити певний хаос.

Як захистити себе

Якщо у вас телефон Samsung – компанія Samsung вже випустила оновлення прошивки, яке виправляє вразливість. Враховуючи, що деякі телефони Samsung на даний момент є єдиними пристроями, які можуть бути вразливими до стирання, ми настійно рекомендуємо власникам Samsung встановити це оновлення.

Оновлення Android – На даний момент немає жодних ознак того, що пристрої під управлінням Android 4.1 Jelly Bean можуть бути вразливими до USSD-уразливості. Якщо Jelly Bean стала доступною для вашого пристрою і ви відкладали оновлення, зараз саме час це зробити. На жаль, наявність Jelly Bean на підтримуваних пристроях значною мірою залежить від операторів, а мобільні оператори, як відомо, не поспішають сертифікувати нове програмне забезпечення для своїх мереж. Багато пристроїв, вразливих до можливих USSD-атак, ніколи не будуть оновлені до Jelly Bean.

Використовуйте альтернативний набір – відкрита платформа Android може запропонувати обхідний шлях: Замість того, щоб покладатися на вбудований в Android дозвонщик, користувачі Android можуть встановити сторонній дозвонщик, який не пропускає USSD-команди. Улюбленим є безкоштовний DialerOne, який працює з Android 2.0 і новішими версіями.

Блокування tel: URL-адрес – Інший підхід полягає в тому, щоб заблокувати обробку tel: URL-адрес. Joerg Voss пропонує безкоштовний NoTelURL, який по суті видає себе за номеронабирач: якщо користувачі стикаються з tel: URL (будь то через браузер або сканування коду), їм буде запропоновано вибір номеронабирачів замість того, щоб негайно обробити його.

Створюйте резервні копії телефону – це само собою зрозуміло, але ви регулярно створюєте резервні копії свого телефону Android (і всіх своїх контактів, фотографій, медіа та даних), чи не так? Незалежно від того, чи створюєте ви резервну копію на локальному комп’ютері, в хмарному сервісі або використовуєте якусь іншу схему, регулярне збереження даних в безпечному місці є найкращим захистом на випадок, якщо ваш телефон буде стертий, не кажучи вже про втрату або крадіжку.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• Як легко створювати та обмінюватися фотоальбомами на iPhone
• Щойно придбали новий iPhone? Ось 12 порад і підказок, які допоможуть його освоїти
• Snapchat Wrapped 2022: як побачити свій рік в оглядовій історії
• Що таке Amazon Music: все, що потрібно знати

Source: digitaltrends.com