Адрес для входа в РФ: exler.world
Уязвимость в Samsung Galaxy
В смартфонах Samsung Galaxy обнаружена уязвимость, которая позволяет удаленно стереть личные данные с устройства, пишет The Next Web.
Удаление пользовательской информации (операция возврата к заводским настройкам) в этих аппаратах осуществляется с помощью USSD-запроса, состоящего из символов "звездочка" (*), "решетка" (#) и цифр. Потенциальный злоумышленник может отформатировать аппарат жертвы, "спрятав" запрос в коде сайта, передав его на аппарат через канал NFC или зашифровав его в QR-коде.
По данным The Next Web, атаке могут быть подвергнуты смартфоны с фирменной "оболочкой" Samsung под названием TouchWiz. В их число входят аппараты Galaxy S III, Galaxy Beam, Galaxy S Advance, Galaxy Ace и Galaxy S II. (Отсюда.)
Прикольно. Впрочем, я TouchWiz не использую, у меня установлена Nova Launcher - она нравится больше всего.
Проверял по ссылке : dylanreeve.com
Встроенный браузер - показывает IMEI
Opera Mobil - показывает страничку как на десктопе :
If your phone is vulnerable to the recently disclosed tel: URL attack then this website will cause your phone to open the dialler and display the IMEI code. With other USSD codes it could do any number of other things, including wipe all phone data.
You can find some more information and a simple workaround here: dylanreeve.posterous.com
What does it all mean?!
If visiting this page automatically causes your phone's dialler application to pop up with *#06# displayed then you are not vulnerable. If, however, the dialler pops up and then you immediately see your phone IMEI number (a 14- or 16-digit number) then you are potentially vulnerable to attack.
Заодно и бонус - долгожданные русские буквы в звонилке.
Выход, конечно, есть - шить кастом, благо для того же DHD есть даже относительно рабочий JB. Но не каждый на это способен.
само наличие такого кода без запроса подтверждения вайпа (лучше нескольких) - уже полный звездец. хотел сгс3 несмотря на долго существующую расовую ненависть к ведроиду, но после таких приколов....
само наличие такого кода без запроса подтверждения вайпа (лучше нескольких) - уже полный звездец. хотел сгс3 несмотря на долго существующую расовую ненависть к ведроиду, но после таких приколов....
Нет, это просто код, набирающий на клаве определенную последовательность. Трубку нужно нажмать Вам лично.
Уязвимость на днях закроют. А про ненависть - у конкурирующий платформы джейлбрейк, если мне не изменяет память, на каких-то моделях происходил примерно аналогично - заходом на специально сформированную страничку или что-то такое.
Смартфон (на любой платформе) штука сложная. И есть масса мест, где можно ошибиться.
Yesterday we reported on a particularly nasty security vulnerability in some Samsung smartphones, which could lead to a factory reset being triggered upon visiting a website containing malicious code. Phones confirmed to be affected included the Galaxy S2, Galaxy Beam and Galaxy Ace. Our testing on various Galaxy S3 models was inconclusive, though. Some models seemed vulnerable, while others were immune.
www.androidcentral.com/samsung-confirms-galaxy-s3-already-updated-ussd-exploit-fix
И ответ Самсунга:
"We would like to assure our customers that the recent security issue concerning the GALAXY S III has already been resolved through a software update.
We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service."
Итог: Мини уязвима, а Мобайл - нет.
Вот такие дела.
А что такое "обычная опера" ?
Вот такие дела.
А что такое "обычная опера" ?
Мобайл, а не мини.
HTC Sensation, ARHD 6.7.2 (Android 4.0.4)
P.S. поставил Chrome - то же самое... Так что... Остается надеяться, что т а заплатка от левой компании - не еще один backdoor
HTC Sensation, ARHD 6.7.2 (Android 4.0.4)
Это интересно, т.к. у многих - нет.
Подобных "уязвимостей" -- типа telnet://host:port -- в десктопных броузерах (и прочем софте) лет пятнадцать назад было предостаточно. Поназакрывали, вроде сообщество пришло к консенсусу о вреде подобной "расширяемости".
Но история развивается по спирали -- и какой-то новый дурачок, считающий себя гением и неспособный думать о последствиях, опять сделал подлянку миллионам. Только фиксится сейчас подобное намного быстрее 😄
Хе-хе. Хороший пластырь 😄
Это, интересно, почему? Какая версия ОС?
SGS2 Андроид 4.1.1 AOKP. Сссылка mk.am
Браузеры отрабатывают передачу USSD-кода звонилке, но код не обрабатывается. Безопасно.
В телефонах с JB, вроде, пофиксили. Но как быть со старыми?
В телефонах с JB, вроде, пофиксили. Но как быть со старыми?
Что за глупости? В сеть ничего не передается, это сугубо локальные сервисные коды.
это да... это беда...
The issue was present in core Android source code until three months ago (the commit history verifies this) so in theory any phone using the core Android Contacts/Dialer package will be vulnerable to some extent, as will any phone using a dialer based on that code.
Проверить, уязвим ли телефон можно тут: ninpo.qap.la
или тут: mk.am
ВНИМАНИЕ!
На момент публикации они выполняли безопасный код *#06#, т.е. вывод IMEI (на большинстве телефонов)
То что уязвимы не только самсунги (и не только СГС3) в сети уже проверили.
В частности HTC Desire HD (сток 2.3.5)
Единственный простой выход - пользоваться браузером Opera. Он по этой ссылке не перейдет.
И Дельфин и ФФ на моем DHD (да и у других тоже) спокойно переходят по этой ссылке и выводят IMEI (а может и чего похуже)
Единственное надежда, что USSD код для вайпа есть только у самсунга 😄
Кроме того в более новых версиях андройда это, похоже, пофиксили.
Уязвимость в браузере, а не в ланчере. Так что рекомендую отказаться отстандартного браузера и пользоваться чем то из сторонних - Chrome/Dolphin/Firefox/Opera. По крайней мере, пока не будет закрыта данная уязвимость.