Nel fine settimana, un ricercatore di sicurezza ha scoperto un bug in Android 4.x che potrebbe causare il riavvio o impedire la connessione alla rete dati dei Google Nexus, Nexus 4 e Nexus 5, nel caso in cui venisse ricevuto un particolare messaggio, denominato Class 0 SMS o Flash SMS. Per proteggere gli smartphone contro questo exploit, gli utenti possono installare l’app Class0Firewall, in attesa della patch di Google.
Come si vede nel video, la vulnerabilità è presente anche nell’ultima versione del sistema operativo, ovvero Android 4.4 KitKat. Dopo la ricezione del messaggio, il Nexus 4 si riavvia, ma durante la conferenza DefCamp di Bucarest il ricercatore ha mostrato che l’exploit potrebbe anche causare la perdita della connessione mobile, quindi l’utente non riceverà né chiamate né messaggi. In alcuni casi, il terminale non si riavvia, ma non può accedere ad Internet. Dato che i Flash SMS sono “silenziosi” (non viene emesso nessun suono), l’utente non si accorge di nulla. Se il numero di SMS supera una certa soglia, l’app di messaggistica va in crash e/o lo smartphone diventa inutilizzabile.
Class0Firewall è stata sviluppata proprio per evitare la ricezione di messaggi ripetuti, sebbene nella descrizione sia specificato che su Nexus 5 con Android 4.4 l’app non funzioni sempre correttamente. Il tool permette di indicare il numero massimo di SMS che possono essere ricevuti. Se viene superata questa soglia, i messaggi vengono scartati. Con la seconda opzione, invece, si può indicare per quanto tempo il mittente deve essere bloccato.
Per testare il funzionamento del “firewall” si possono utilizzare diverse app che inviano messaggi Class 0, come HushSMS, pubblicata sullo store dallo stesso autore. Se il blocco ha successo viene mostrata una notifica con il numero di telefono del mittente. L’azienda di Mountain View dovrebbe rilasciare a breve un aggiornamento che risolve il problema in via definitiva.
Aggiornamento
Lo sviluppatore ha comunicato che, a causa di modifiche alle API in Android 4.4 KitKat, l’applicazione non ha effetto. Verrà quindi rilasciata una nuova versione. Al momento funziona solo con Android 4.3 Jelly Bean.