Seria vulnerabilità di alcuni Android

BT engineer at Covent GardenRavi Borgaonkar, un ricercatore presso il dipartimento delle telecomunicazioni della Technical University di Berlino, ha dimostrato alla conferenza sulla sicurezza argentina Ekoparty l’esistenza di una severa vulnerabilità di alcuni telefoni Android e altri telefoni Samsung basati su sistemi operativi differenti.

Il problema si basa sulla gestione dell’URI tel: e consentirebbe ad un attaccante di convincere la vittima a visitare una pagina web ad hoc per cancellare il contenuto del telefono attraverso un apposito codice USSD.

La pagina che sfrutta la vulnerabilità deve contenere questo codice HTML:

<iframe src="tel:..."></iframe>

Dove al posto dei tre puntini si mette il codice USSD per cancellare il telefono.

Per verificare se un telefono è vulnerabile si può visitare la pagina androidtest.siamogeek.com che contiene l’exploit descritto sopra per visualizzare il codice IMEI del telefono. Se la pagina mostra il codice IMEI del telefono, quella versione del software è vulnerabile.

Leggi tutto “Seria vulnerabilità di alcuni Android”