Android-økosystemet fik en støt i går med åbenbaringen om, at enkle links - noget du måske kun åbner online - kunne udløse en komplet sletning af nogle Android-enheder. Forsker Ravi Borgaonkar afslørede udnyttelsen, og (selvfølgelig) den enhed, der fik al opmærksomhed, var den bedst sælgende Samsung Galaxy S III. Samsung har allerede udstedt en patch til sårbarheden. Men det viser sig, at mange andre Android-telefoner tilsyneladende er sårbare over for den samme udnyttelse. Roden til problemet ligger i standard Android dialer; selvom Google lappede problemet for måneder siden, har den rettelse muligvis ikke gjort det til nuværende Android-enheder, og mange vil aldrig modtage det.
Der er grund til bekymring, men ikke direkte panik. Sådan fungerer udnyttelsen, og nogle tip til, hvordan Android-brugere kan beskytte sig selv.
Hvad er USSD?
Den nye Android-udnyttelse er afhængig af en protokol, der er indbygget i de fleste telefoner kaldet USSD eller ustruktureret supplerende servicedata. Tænk på USSD lidt som en sms-protokol, men i stedet for at blive brugt til at sende korte beskeder mellem telefonbrugere, er det beregnet til at lade både enhedsproducenter og mobiloperatører opbygge tilføjelsestjenester til deres telefoner og netværk. Ligesom tekstbeskeder er USSD-beskeder korte (op til 182 tegn), men i modsætning til tekstbeskeder kan de faktisk åbne en tovejs netværksforbindelse mellem en enhed og et netværksendepunkt, så de er mere lydhøre end SMS-beskeder og kan være bruges til interaktive tjenester i realtid.
Folk, der stoler på forudbetalte telefontjenester, har sandsynligvis brugt USSD-tjenester til at kontrollere deres resterende forudbetalte saldo. For eksempel ringer T-Mobile forudbetalte brugere#999# at se deres balance. Det er USSD. USSD kan dog understøtte mere sofistikerede applikationer som mobile betalingstjenester - faktisk er det en af grundene til, at nogle udviklingslande er længere sammen med mobilbetalinger end Nordamerika og Europa. Andre tjenester har opbygget sociale netværksfunktioner til Twitter, Facebook og andre sociale netværkstjenester, selvom de typisk kun ses på funktionstelefoner i nye markeder.
USSD er implementeret i GSM-telefoner (standardbrugerne af luftfartsselskaber som AT&T og T-Mobile), men det gør ikke betyder, at du ikke kan køre, hvis du bruger en telefon med en CDMA-operatør som Verizon eller Sprint. Mange USSD-koder udløser handlinger på den lokale enhed og gør ikke kræve en mobiloperatør, der understøtter USSD. Mange telefoner, der er bygget til CDMA-netværk, reagerer på disse koder.
USSD er pr. Definition ustruktureret, hvilket betyder, at telefoner ikke understøtter de samme sæt USSD-koder. Forskellige producenter og mobiloperatører har stort set fulgt deres egne instinkter om, hvordan de udvikler USSD-funktioner og -tjenester. En USSD-kode, der gør en ting på en Nokia-telefon, kan muligvis gøre noget andet helt på en LG-telefon - eller slet ikke noget. En almindelig anvendt kode er dog *#06#, der ofte viser en enheds unikke IMEI-nummer (International Mobile Equipment Identity) -nummer.
Tel: mig en historie
USSD er ikke noget nyt og er ikke en ny trussel mod Android. Hvad Ravi Borgaonkar demonstrerede var en forbløffende enkel kombination af USSD-koder med “tel:” URL-protokollen. Du har set URL-protokoller i ting som weblinks og e-mail-adresser - det er de http: og mailto:, henholdsvis. Der er dog hundredvis af andre URL-protokoller.
Det tlf: protokol giver brugerne mulighed for at ringe et telefonnummer fra en webbrowser: tel: 555-1212 skal f.eks. forbinde de fleste amerikanere til landsdækkende biblioteksassistance. Borgaonkars demonstration kombinerede tlf: URL-skema med en bestemt USSD-kode, der - du gættede det - kan udføre en fabriksindstilling af nogle Android-enheder. Borgaonkar kaldte denne fabriksindstilling USSD til "Samsung-tragedien", dels fordi Samsungs implementering af dens wipe-kommando ikke involverer brugerinteraktion. Nogle andre enheder har lignende fabriksåbningskommandoer, men kræver i det mindste manuel bekræftelse fra brugeren.
I teorien er alt, hvad en angriber skal gøre, at integrere en ondsindet URL på et websted, og enhver sårbar enhed, der indlæser den side, nulstilles til fabriksindstillingerne. (I nogle tilfælde inkluderer dette endda sletning af SIM-kortet.)
Det er fristende at tro, at dette bare er en sårbarhed med en telefons indbyggede browser, men i Android's tilfælde er det virkelig i standard Android-opkalderen: Borgaonkar demonstrerede også måder til at udføre USSD-nulstillingen ved hjælp af QR-koder, WAP Push SMS-beskeder og (i tilfældet med Galaxy S III) selv via NFC. Det er ikke nødvendigt at involvere en browser. Enhver app, der kan ringe et nummer på en Android-telefon, kan potentielt udløse en USSD-kommando.
Ikke verdens ende?
Sårbarheden kan virke ret alvorlig, men Hendrik Pilz og Andreas Marx hos det uafhængige tyske sikkerhedsfirma AV-TEST bemærker, at sårbarheden sandsynligvis ikke er meget tiltalende for cyberkriminelle.
"Vi tror, at de fleste malware-forfattere måske ikke er interesserede i at udnytte sårbarheden, da det ikke giver mening at slette en telefon eller låse brugere ud," sagde de i en erklæring via e-mail. “Malware forsøger at forblive tavs på dit system, så din mobile enhed kan bruges til en slags ondsindet, muligvis kriminel aktivitet. Dette fungerer kun med kørende og arbejdende systemer. ”
Er din telefon sårbar?
Indtil videre har kun udvalgte Samsung-telefoner vist sig at have en USSD-kode, der udfører en fabriksnulstilling. Det betyder dog ikke telefoner fra andre leverandører gør det ikke har lignende koder, som angribere kan bruge til at rydde telefoner, forårsage tab af data eller potentielt endda tilmelde brugere til dyre tjenester. Det er trods alt et yndet tidsfordriv for forfattere af Android-malware.
Desværre er der ingen sikker måde at afgøre, om en Android-telefon er sårbar over for et USSD-baseret angreb, men brugere kan Kontroller, om deres opkald er sårbare.
Følgende enheder er blevet bekræftet at være sårbare over for opkald til USSD-koder fra en webside:
- HTC Desire HD
- HTC Desire Z
- HTC Legend
- HTC One W.
- HTC One X
- HTC Sensation (XE) (kører Android 4.0.3)
- Huawei Ideos
- Motorola Atrix 4G
- Motorola milepæl
- Motorola Razr (kører Android 2.3.6)
- Samsung Galaxy Ace, Beam og S Advance
- Samsung Galaxy S2
- Samsung Galaxy S3 (kører Android 4.0.4)
Igen gør dette det ikke betyder, at alle disse enheder kan slettes via USSD. Indtil videre er kun udvalgte Samsung-telefoner blevet bekræftet, at de kan tørres via en USSD-kommando. Mange andre enheder kan ringe til USSD-kommandoer - og der er endda rapporter, nogle enheder, der kører Symbian, og Samsungs bada-operativsystem vil ringe USSD-kommandoer ved hjælp af tlf: URL'er.
Borgaonkar tilbød en testside, der bruger en iframe til at forsøge at overbevise en browser om at ringe til en USSD-kode - i dette tilfælde *#06# der viser en enheds IMEI-nummer:
//www.isk.kth.se/~rbbo/testussd.html
Selvbeskreven nørd Dylan Reeve sammensatte også en hurtig testside, der kan afsløre, om din Android-opkaldsproces behandler USSD-koder ved hjælp af den samme *#06# USSD-kode:
//dylanreeve.com/phone.php
Hr. Reeve er dog ikke en mobil sikkerhedsekspert, og hvis man var en angriber, der ønskede at udnytte denne sårbarhed, ville hacking på en af disse testsider være en fantastisk måde at forårsage kaos på.
Sådan beskytter du dig selv
Hvis du har en Samsung-telefon - Samsung har allerede udgivet en firmwareopdatering, der opdaterer sårbarheden. I betragtning af at udvalgte Samsung-telefoner i øjeblikket er de eneste kendte enheder, der er modtagelige for en sletning, anbefaler vi kraftigt Samsung-ejere at anvende opdateringen.
Opdater Android - Indtil videre er der ingen indikationer på, at enheder, der kører Android 4.1 Jelly Bean, er modtagelige for USSD-sårbarheden. Hvis Jelly Bean er gjort tilgængelig for din enhed, og du har udsat din opdatering, ville det være et godt tidspunkt. Desværre er tilgængeligheden af Jelly Bean på understøttede enheder stort set efter transportørens skøn, og mobiloperatører er notorisk langsomme med at certificere ny software til deres netværk. Mange enheder, der er sårbare over for mulige USSD-angreb, kan aldrig opgraderes til Jelly Bean.
Brug et alternativt opkald - Androids åbne platform kan muligvis tilbyde en løsning: I stedet for at stole på Android's indbyggede dialer kan Android-brugere installere en tredjeparts dialer, der ikke lader USSD-kommandoer passere. En favorit er den gratis DialerOne, som fungerer med Android 2.0 og nyere.
Bloker tel: URL'er - En anden tilgang er at blokere behandlingen af tlf: URL'er. Joerg Voss tilbyder den gratis NoTelURL, der i det væsentlige udgør en opkaldsnummer: hvis brugerne støder på en tlf: URL (hvad enten det er via en browser eller ved at scanne en kode), vil de blive tilbudt et valg af opkald i stedet for at få det behandlet med det samme.
Sikkerhedskopier din telefon - Det siger sig selv, men du sikkerhedskopierer din Android-telefon (og alle dine kontakter, fotos, medier og data) regelmæssigt, er du ikke? Uanset om du sikkerhedskopierer til en lokal pc, til en skybaseret tjeneste eller bruger en anden ordning, er det bedst at gemme dine data på et sikkert sted, hvis din telefon bliver tørret - for ikke at nævne mistet eller stjålet.
