Il ricercatore di sicurezza Bodgan Alecu ha scoperto una vulnerabilità che espone gli smartphone Nexus di Google ad attacchi di tipo denial-of-service (DOS) basati su uno specifico tipo di SMS. La problematica è presente su tutti i firmware Android 4.x dei Galaxy Nexus, Nexus 4 e Nexus 5.
L’attacco è basato sullo specifico su Flash SMS, noto anche come Class 0 SMS, ovvero un tipo di messaggio breve che appare direttamente sul display del dispositivo senza esser però memorizzato nella casella inbox. Non c’è dunque la possibilità di non aprirlo e sui Nexus viene visualizzato su qualsiasi finestra attiva, con uno sfondo nero semi-trasparente.
Il ricercatore ha scoperto che dopo una trentina di Flash SMS inviati in rapida successione, i Nexus si comportano in maniera anomala presentando episodi di riavvio, freeze e crash. Se la scheda SIM è protetta da un PIN, il dispositivo peraltro non si connette alla rete e dato che i Flash SMS non emettono una notifica sonora – anche se impostata per i tradizionali SMS – l’utente potrebbe anche non accorgersi di aver perso la connettività finché non comprenderà qual è la natura della problematica.
Con alcuni modelli di Nexux pare che bastino tre messaggi consecutivi per mandare in crash l’applicazione per gli SMS e in ogni caso l’unico metodo per ristabilire funzionalità e connessione è quella di riavviare il dispositivo. Il ricercatore sostiene di aver avvertito Google della vulnerabilità circa un anno fa, e mentre l’azienda aveva promesso una patch il problema è ancora presente su Android 4.4 KitKat, la più recente release del proprio sistema operativo mobile.
La vulnerabilità sembra esser comunque riguardare solo gli smartphone Nexus poiché gli altri dispositivi Android testati non sono vulnerabili ad attacchi di questo tipo. Nel Google Play Store vi sono peraltro diverse app che possono inviare Flash SMS. Il colosso di Mountain View ha commentato quanto reso noto da Alecu spiegando a PC World di esser al lavoro per indagare sulla questione.