Držitelia Android smartfónov, pozor na USSD útok

27.09.2012 | 15:31 | dodoedo | Novinky

Priatelia, držitelia Android smartfónov, pozor na USSD útok. USSD útok je umožnený bežným automatickým spracovávaním konkrétnej špeciálnej sekvencie alfa-numerických znakov, ktoré následujú po špeciálnom znaku #. Táto fake-sekvencia sa dá získať aj návštevou zlomyselnej web-stránky na internete, obsahujúcej škodlivý kód (testovacia stránka na otestovanie smartfónu tu). Doporučuje sa na váš Android smartfón okamžitá inštalácia jednej app z Google Obchod play s názvom TelStop app. Táto aplikácia po svojej inštalácii aspoň zabráni automatickému skrytému spusteniu ničivej sekvencie na vašom Android smartfóne a ukáže relevantné varovanie pred nezvyčajným kódom. Treba to brať vážne, pretože nepriatelia linuxových Android iba čakajú na niečo takéto. Vzhľadom k tomu, že sme na Slovensku, naši hlavní operátori ešte stále nedistribuujú opravné patch, ktoré napríklad Samsung už vydalo pred časom, a nepovoľujú z nepochopiteľných dôvodov update systému. Treba tlačiť na príslušného operátora, kedy sa už mu uráči vydať opravu alebo upgrade systému Android. Update správy: pozri odpoveď Orange a tiež aj odpoveď Telekom.

    • Držitelia Android smartfónov, pozor na USSD útok 27.09.2012 | 16:17
      Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
      Tak nie len Samsung Android, ako som zistil, dokonca aj Cyanogenmod trpí týmto problémom. Aplikácia TelStop naozaj zabrala.

      Slovenský operátori su saláti, treba skúsiť nejakého poľskeho tí to mávajú ako prvý.
      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • Re: Držitelia Android smartfónov, pozor na USSD útok 27.09.2012 | 17:28
        Avatar Grawp   Používateľ
        To ešte niekto kupuje mobily od operátorov? Však na tom už nič neušetrí.
        • Re: Držitelia Android smartfónov, pozor na USSD útok 27.09.2012 | 17:51
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
          Občas sa niečo oplatí, ale osobne sa tomu tiež vyhýbam :)
          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • Re: Držitelia Android smartfónov, pozor na USSD útok 27.09.2012 | 17:52
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
          Ale pre firmy sa to oplatí.
          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • Re: Držitelia Android smartfónov, pozor na USSD útok 28.09.2012 | 11:09
        WlaSaTy   Návštevník
        Tá chyba vychádza z bezpečnostného konceptu Androidu. Google jednoducho zle informuje o bezpečnostných politikách aplikácií a dosť často tým aplikáciám priraďuje na tvrdo práva ktoré nepotrebujú. Samozrejme, že samotný Android nemá v sebe možnosť správy bezpečnostnej politiky ktorá by odňala nepotrebné privilégiá aplikáciám. To mu IMHO bráni v masovom nasadení do podnikovej sféry. Antivírus ktorý dokáže tieto práva aplikáciám odňať zas zožerie polovicu baterky (mám to otestované).

        Takže, je jednoduché podhodiť URI tel: namiesto http: alebo https: v vnorenom rámčeku a vstavaný prehliadač to bez problémov vytočí. Aj keby sa malo jednať o hovor na silno spoplatňované telefónne čísla tak ako si niektorí ľudia pamätajú hrozbu dialerov z čias dialup-u.

        Edo: Ďík za správičku týkajúcu sa narušenej bezpečnosti platformy Android. Síce sa ma to priamo netýka (do ani jedného Androidu čo vlastním nepchám SIM kartu), ale pobavil som sa nad zavlečením hrozby z minulého tisícročia do aktuálneho software. Najmä v súvislosti s štvorročným výročím ktoré teraz niekedy oslavuje Android. Tá chyba asi nebude mladá pár dní aj keď je ževraj Android Open Source.
        • Re: Držitelia Android smartfónov, pozor na USSD útok 28.09.2012 | 19:50
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
          Niekto z vývojárov implementoval RFC 3966 len ju zabudol dočítať dokonca:

          Web clients and similar tools MUST NOT use the "tel" URI to place
          telephone calls without the explicit consent of the user of that
          client. Placing calls automatically without appropriate user
          confirmation may incur a number of risks, such as those described
          below:
          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
          • Re: Držitelia Android smartfónov, pozor na USSD útok 29.09.2012 | 14:32
            WlaSaTy   Návštevník
            Áno. Vykonanie hovoru aplikáciou bez opýtania je funkcionalita ktorou v minulom tisícročí obťažovali dialery nešťastníkov. Tie účty boli na zaplakanie. Problém bol v tom, že takéto chovanie umožňovalo navýšenie zisku aj Tel. operátorom. Boli prípady keď operátori tarifikovali aj hovory na neexistujúce čísla zo skupiny čísel s vysokou tarifikáciou.

            História sa opakuje, a mne to naozaj pripadá tak, že sponzori Androidu chcú znova zarábať na nešťastí druhých. A preto sa znova oživila táto dávno pochovaná chyba.

            PS: Presne kôli tomuto som prestal používať napríklad google maps. Mapový software nemá podľa môjho názoru vytáčať telefónne čísla bez povolenia. Najmä ak si do toho zoznamu komerčných POI môže dať alošnú vizitku kadejaký príštipkár, biely kôň alebo iný podvodník. Moja negatívna reakcia na túto funkcionalitu bola niekoľko krát vymazaná z play store, ešte v čase keď sa to volalo market.
            • Re: Držitelia Android smartfónov, pozor na USSD útok 01.10.2012 | 11:34
              Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
              Google je pre mňa jediný sympatický gigant vďaka postoju k slobodnému softvéru. Bohužiaľ pri kritike sa chová rovnako ako hocijaký iný neobmedzený vládca.
              Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
              • Re: Držitelia Android smartfónov, pozor na USSD útok 01.10.2012 | 15:00
                WlaSaTy   Návštevník
                Google je len komerčný hráč, ktorý si vybral open source na ktorom generuje zisk. To, či aj open source podporuje je zbytočné rozoberať. Na jednu stranu má market ktorý akceptuje len zdrojáky (kôli ich aspoň základnému auditu), a na druhej strane moc do jadra Linuxu nevracia (stačí sa zamyslieť nad zadrátovaním blov-ov pre grafické jadrá, alebo si pozrieť ako ráta napríklad uptime na viac procesorovom ARM CPU).

                V jednom je google dobrý, to mu treba uznať. Platforma Android ktorá vychádza z jadra Linux-u dokázala poraziť MS na ďalšom poli a teraz je otvorená vojna na platforme končiacich desktopov a znovu objavených tenkých klientov. I keď sa otvorilo iné bojisko na strane serverovej virtualizácie a tam to začína byť zaujímavé. ARM má v sebe virtualizáciu už roky rokúce, a teraz sa navyše začali robiť aj servre na báze ARM.

                Ja som si vybral Android kôli pomeru cena/výkon. Veci, teda napríklad špehovanie emailu a výpalné za dokumenty v Cloud-e aj s ich revíziami či náhodou neobsahujú niečo nepekné sa ma priamo netýkajú. Mám to jednoducho zakázané.

                A navyše sa dosť zabávam na tom, že v Android-e vstavaný prehliadač internetu sa po vypnutí mobilného prehliadania hási ako prehliadač od Apple. Toto je prirodzenou vlastnosťou Androidu. A nebudem spomínať, koho táto skutočnosť ide za každym rozhodiť keď vidí príspevok z telefónu podpísaný prehliadačom z Intel MAC OS X. Len kôli tomu, že to ten človek ešte nikdy nemal v ruke.
                • Re: Držitelia Android smartfónov, pozor na USSD útok 01.10.2012 | 22:30
                  Avatar bedňa antiX, Devuan, LegacyIce  Administrátor
                  Google prispel do Kenelu za posledné obdobie oportunistickým uspávaním, je ťažko povedať či je to dosť, alebo málo.

                  Áno tenký klienti zažívajú obrodenie, všetko hraje v prospech Linuxu, či už kuriózne platformy, alebo kompilácia ala embedded, čo MS zaspal.

                  Áno v pomere cena/výkon vyhráva Android HW, preto MS certify časom padne.

                  Pri tom množstve Rom čo som použil, nemôžem potvrdiť, že by sa androidí prehliadač hlásil ako iApple, ale ani to nevyvraciam. Je to Rom od ROM.
                  Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                  • Re: Držitelia Android smartfónov, pozor na USSD útok 01.10.2012 | 23:30
                    WlaSaTy   Návštevník
                    No, k tomu aby si mohol skontrolovať či sa HTTP USER AGENT v prehliadači podpisuje ako iná platforma potrebuješ kontrolovať hlavičky requestu na strane servra. A pochopiteľne aj vypnúť mobilné prehliadanie v nastaveniach Androidu.

                    A to že bol pridaný ďalší typ uspávania do jadra Linuxu nehovorí nič ani o postupnom uzatváraní Androidu a ani o kvalite kódu ktorá je od Google stále zúfalá.
    • Orange odpovedá ... 28.09.2012 | 12:10
      Avatar dodoedo Fedora Linux  Používateľ
      Vazeny zakaznik,

      dakujeme Vam za vyuzitie nasej sluzby.

      Reagujeme na Vas e-mail, v ktorom sa informujete o aktualizacii softveru mobilneho telefonu Samsung Galaxy SIII.

      Dovolte nam, aby sme Vas informovali, ze aktualizacie na mobilne telefony vzdy pripravuje ich vyrobca. Standardne vydavaju aktualizacie najskor na nebrandovane telefony a nasledne na brandovane (telefony urcene pre operatorov). Snazime sa tieto aktualizacie zabezpecit pre nasich zakaznikov, akonahle su uvolnene od vyrobcu, zial, tieto aktualizacie pre brandovane telefony su pripravovane vzdy neskor ako pre nebrandovane telefony.

      Niektore telefony same upozornuju na nove dostupne aktualizacie pre svoju verziu priamo v telefone, ine je potrebne prepojit cez pocitac a upozorni ich napr. Android Suite (market).

      Odporucame Vam navstivit aj nasu stranku www.orange.sk/nastavenia, kde sa snazime informovat aj my o pripadnych dostupnych aktualizaciach na Android telefonoch.

      Ak mate akekolvek otazky, mozete nas kontaktovat prostrednictvom Zakaznickej linky 905 (0905 905 905), ktora je Vam k dispozicii 24 hodin denne, 7 dni v tyzdni. V pripade Vasho zaujmu mozete tiez vyuzit kontaktny formular na nasej stranke www.orange.sk/otazky.

      S pozdravom

      Michaela Vlckova
      Usek sluzieb zakaznikom
      Orange Slovensko, a.s.
      G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
    • Odpoveď Telekom 29.09.2012 | 12:10
      Avatar dodoedo Fedora Linux  Používateľ
      Vazeny zakaznik,

      dakujeme Vam, ze vyuzivate sluzby nasej spolocnosti.


      Softverova aktualizacia operacneho systemu v smartfonoch je na vyrobcovi mobilneho telefonu. Zalezi od toho, kedy ju spristupni pre pouzivatelov mobilnych telefonov danej znacky. Pre blizsie informacie Vam odporucame obratit sa na vyrobcu.


      Zelame Vam prijemny den.


      S pozdravom




      Slovak Telekom, a.s.
      Ondrej Levak
      Sluzby zakaznikom
      Karadzicova 10, 825 13 Bratislava
      G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."