Samsung: un hack permette di cancellare tutti i dati

27 settembre, 2012 Nessun commento »

All’Ekoparty 2012, un hacker ha mostrato al mondo come sia possibile resettare un certo numero di smartphone Samsung alle loro impostazioni di fabbrica semplicemente facendo visitare loro una pagina Web.


Il baco risiede nel software di gestione delle chiamate Samsung, e viene innescato utilizzando il protocollo tel nella URL. Fortunatamente non si applica a tutti gli smartphone dell’azienda, ma quelli che sono vulnerabili ad esso potrebbero vedersi il PIN modificato o i dati completamente cancellati in un sol colpo dopo aver visitato un semplice sito Web o magari letto un particolare QR code o tag NFC.

Il protocollo tel è utilizzato generalmente per rendere cliccabili i numeri telefonici sul Web: tappando sul link corrispondente nel browser del device si avvia il software che gestisce le chiamate, che effettua la chiamata a quel numero. Solitamente questa dev’essere confermata con il tasto “dial”, ovvero il classico tasto con la cornetta verde, ma alcuni numeri non richiedono la conferma di chiamata, e proprio grazie a questi è possibile mandare in tilt la sicurezza del telefono.

Ad esempio, se si digita il numero *#06# su un qualunque telefono GSM si ottiene la visualizzazione del codice IMEI, e senza dover confermare l’immissione tramite il tasto verde di chiamata. Questo è un codice benigno, ma se si prova ad utilizzare il codice *2767*3855# su un Samsung Galaxy S3 si ottiene la cancellazione dei contenuti e il ripristino alle condizioni di fabbrica del telefono. Fortunatamente non tutti i device Samsung sono affetti da questo problema: alcuni, con browser modificato dal vendor di turno, non permettono di gestire direttamente i numeri contenuti su pagine Web. Altri browser, a parte quello standard di Android, paiono essere immuni. Ad esempio Google Chrome non pare soffrire del problema, ma altri sì.

Samsung non ha confermato l’attacco, ma è lecito supporre che presto verrà rilasciato un fix per esso, visto che comunque non è un qualcosa di estremamente difficile da fare. Se qualcuno volesse provare questo hack il forum XDA Developers ha reso disponibili alcuni esempi non distruttivi. In ogni caso, pare difficile che qualcuno decida di sfruttare questo bug, visto nessuno guadagnerebbe nulla distruggendo i dati sul telefono delle persone. In ogni caso, se avete un Samsung, fate molta attenzione ai link che cliccate nei prossimi giorni…

Immagine anteprima YouTube

Fonte: The Register

Potrebbero interessarti ...