I de siste dagene har det blitt kjent at i alle fall Samsungs Galaxy S II og III-mobiler kan bli tilbakestilt til fabrikkinnstillingene, dersom brukerne besøker et nettsted med en spesiell kode. Det hele er knyttet til funksjonalitet som gjør at mobilen skal kunne ringe til telefonnummer som er oppgitt som en URI (Uniform Resource Identifier) på websider.
Problemet er at nummeret, eller kode, som er oppgitt, ikke behøver å være et telefonnummer. Det kan like godt være en USSD-kode (Unstructured Supplementary Service Data). Slike koder kan blant annet brukes til å få mobilen til å vise IMEI-identifikatoren (International Mobile Equipment Identity). Men på en del mobiler er det også mulig å nullstille hele mobilen ved hjelp av en slik kode.
Samsung har tatt tak i dette. En oppdatering til Galaxy S III fjernet sårbarheten allerede for noe tid tilbake. Som bruker av Android-mobiler kan man be mobilen sjekke om det er nye oppdateringer via Innstillinger/Om enheten/Programvareoppdatering.
_logo.svg.png){kind=logo}
En oppdatering til Galaxy S II skal være underveis.
Men mye tyder nå på at problemet ikke er knyttet til Samsung og selskapets TouchWiz-skall, men til selve standardapplikasjonen for oppringing (Dialpad) i Android. Dette skriver Dylan Reeve, en blogger som har involvert seg i saken. For bare tre måneder siden ble nemlig en slik sårbarhet fjernet fra denne applikasjonen, som trolig brukes av de fleste Android-mobiler. Når sikkerhetsfiksen er på plass, vil programvaren ignorere USSD-koder brukt på den aktuelle måten.
Reeve kan selv bekrefte at sårbarheten også funnes i flere andre Android-mobiler – helt spesifikt HTC One X med Android 4.0.3 og Motorola Defy med Cyanogen Mod 7 basert på Android 2.3.5.
Dette antyder at problemet verken er isolert til Samsung-mobiler eller til bare nyere Android-versjoner.
Betydningen av dette for den enkelte, avhenger av hvilke USSD-koder som kan kjøres på ulike mobiler. Det er ikke gitt at alle støtter koder for full tilbakestilling.
Dersom man laster denne testsiden inn i nettleseren til mobilen, og deretter får opp mobilens IMEI-kode, bør man være på vakt. Dersom man bare kommer til nummertastaturet, er mobilen sannsynligvis ikke berørt av denne sårbarheten.
Det er ingen grunn til å tro at brukere av noe eldre mobiler vil motta en sikkerhetsfiks for dette, spesielt ikke dersom mobilen i tillegg tilpasset av mobiloperatøren. Brukere som mistenker at deres mobiler er berørt av sårbarheten, kan motvirke sårbarheten ved å installere en alternativ ringeapplikasjon. Det finnes en rekke å velge mellom i Google Play Store, men velg én som har fått gode tilbakemeldinger fra andre brukere.
Et annet alternativ er å installere denne applikasjonen, som skal kunne blokkere kjøring av USSD-koder via URI-er. Digi.no har ikke testet denne og kan ikke gå god for at den virker eller er uproblematisk å bruke.
I videoen nedenfor demonstreres sårbarheten av Ravi Borgaonkar under en konferanse denne uken.
Les også:
- [25.02.2013] HTC pålagt å fjerne sårbarheter
