Brutte notizie in arrivo per tutti, o quasi, i possessori di uno smartphone Samsung: stando a quanto reso noto nel corso delle ultime ore una grave vulnerabilità è in grado di mettere in pericolo i device della sudcoreana, i dati in essi archiviati e, ovviamente, anche gli utenti in loro possesso.
Una sola linea di codice HTML, infatti,è in grado di attivare il Factory Reset sul recentissimo Samsung Galaxy S3 andando quindi a cancellare tutto ciò che risulta contenuto sulla memoria del device.
Durante la conferenza Ekoparty il ricercatore di sicurezza Ravi Borgaonkar ha infatti dimostrato come possa essere sfruttata la vulnerabilità individuata nell’interfaccia TouchWiz per resettare da remoto lo smartphone andando quindi a cancellare, così come precedentemente descritto, tutti i dati personali dell’utente presenti sullo smartphone.
Il bug, però, non affligge soltanto il Galaxy S3 ma anche il Galaxy S2, il Galaxy Beam, il Galaxy Ace e il Galaxy S Advance, il Galaxy Nexus, invece, è risultato, almeno per il momento, immune al problema.
I Samsung afflitti dal bug sfruttando il protocollo USSD per comunicare con i server del gestore telefonico di riferimento.
Il ricercatore ha anche scoperto e messo in evidenza un bug nel modo in cui TouchWiz interagisce con USSD: inviando allo smartphone un falso codice.
Per far ciò, infatti, è sufficiente che il falso codice sia nascosto in una pagina web per poter avviare in maniera automatica la procedura di reset senza che l’utente possa fare qualcosa per interromperla.
Il medesimo risultato, inoltre, può essere ottenuto mediante un codice QR, un SMS o, ancora, un tag NFC il che mette chiaramente in evidenza quanto possa essere grave la vulnerabilità in questione.
La versione originale di Android, quella impiegata nel Galaxy Nexus, mostra sullo schermo il codice senza però eseguirlo, la versione modificata da Samsung per il suo Galaxy S3, invece, avvia l’esecuzione automatica del codice maligno ed in questo caso l’utente, quindi vedrà tutto sul display del proprio smartphone, ma non potrà fare nulla per fermare la cancellazione dei dati.
La vulnerabilità, inoltre, può anche essere sfruttata da un diverso codice USSD per eliminare tutto il contenuto della scheda SIM, così come sottolineato da Borgaonkar.
In attesa che Samsung provveda a fornire una valida soluzione alla problematica è possibile disattivare la funzione di Service Loading.
Via | Slashgear