Una singola linea di codice HTML può attivare il cosiddetto Factory Reset sul recente Samsung Galaxy S III cancellando di fatto ogni singolo elemento contenuto (immagini, contatti) sulla memoria del dispositivo. Trattasi dell’effetto di una clamorosa vulnerabilità che mette in immediato pericolo tutti i possessori di dispositivi Samsung e che l’utenza dovrà imparare a conoscere in tempi brevi onde evitare possibili gravi ricadute sui propri device.
Durante la conferenza Ekoparty, il ricercatore di sicurezza Ravi Borgaonkar ha mostrato infatti come possa essere sfruttata la vulnerabilità individuata nell’interfaccia TouchWiz per resettare da remoto lo smartphone, cancellando irrimediabilmente tutti i dati personali dell’utente. Anche Galaxy S II, Galaxy Beam, Galaxy Ace e Galaxy S Advance sono afflitti dallo stesso bug, mentre il Galaxy Nexus appare immune al problema.
Per comunicare con i server del gestore telefonico, il Samsung Galaxy S III (come altri smartphone) utilizza il protocollo USSD (Unstructured Supplementary Service Data). Il ricercatore ha scoperto però un bug nel modo in cui TouchWiz interagisce con USSD. È infatti sufficiente inviare allo smartphone un falso codice, nascosto ad esempio in una pagina web, per avviare automaticamente la procedura di reset senza possibilità di intervento da parte dell’utente. Lo stesso risultato si può ottenere mediante un QR code, un SMS o un tag NFC, il che evidenzia quanto grave possa essere una vulnerabilità di questo tipo
La versione originale di Android, usata nel Galaxy Nexus, mostra sullo schermo il codice USSD senza eseguirlo. La release modificata da Samsung per il suo Galaxy S III, invece, avvia l’esecuzione automatica del codice maligno. L’utente vedrà tutto, ma non potrà fare nulla per fermare la cancellazione dei dati. Borgaonkar afferma che l’attacco potrebbe avere conseguenze ancora peggiori, in quanto la vulnerabilità può essere sfruttata da un diverso codice USSD per “distruggere” il contenuto della SIM card.
In attesa di una soluzione da Samsung, il problema può essere mitigato disattivando la funzionalità Service Loading, ovvero il caricamento automatico di una pagina web. Inoltre sembra che il codice funzioni solo con il browser stock e con Galaxy S III originali, sui quali non è stata installata una ROM custom.
Update
Samsung segnala la disponibilità della patch tramite aggiornamento OTA (“over the air”): si consiglia di controllare la disponibilità dell’update sul proprio terminale ed eventualmente avviare l’installazione senza ulteriori attese così da evitare sgradevoli inconvenienti nel caso in cui l’exploit dovesse prendere piede con eccessiva pericolosità.
[nggallery id=447 template=inside]