www.MegaLab.it

La minaccia che colpisce l'amato robottino verde stavolta è di quelle serie, da non sottovalutare: tutti i dispositivi Android in commercio, dalla versione 1.6 alla recente 4.1, sono fortemente a rischio di formattazione completa del dispositivo (Wiping in gergo Androidiano), con perdita irreversibile dei propri dati ed impossibilità di avvio del proprio device: un Wiping sbagliato renderebbe infatti inutilizzabile il proprio dispositivo in maniera irreversibile.

Il tremendo bug può essere veicolato tramite la semplice visita di una pagina web opportunamente modificata, con l'iniezione, tramite codice HTML5, di codici USSD nel dispositivo che avvia l'esecuzione di operazioni ad avvio automatico.

L'amara sorpresa è che i codici USSD possiedono sufficienti permessi per accedere anche a funzionalità normalmente disponibili solo per l'utente root, quindi anche i dispositivi non rootati sono a rischio.

Una pagina di prova del bug è possibile ottenerla qui:

Pagina prova bug Android

Pagina prova bug Android (nuovo host)

Tranquilli sono del tutto innocue, si limitano ad iniettare codice USSD benigno (*#06#, che serve per visualizzare il codice IMEI del dispositivo).

Se eseguite una delle pagine su Android e come risultato ottenete il vostro IMEI, siete a rischio "Hard Wiping", mentre invece se ottenete il codice *#06# il vostro device non è affetto da tale vulnerabilità.

I dispositivi colpiti sono numerosissimi: infatti in teoria tutti gli smartphone equipaggiati con il sistema operativo di Google sono a rischio. Anche prodotti recenti, come il Samsung Galaxy S3, rischiano di diventare le vittime illustri di tale bug. La lista ufficiale di dispositivi che possono essere danneggiati in maniera irriversibile è disponibile a questo link.

In prima istanza si credeva che il bug fosse causato dal Launcher Samsung TouchWiz, solo dopo si è scoperto che tantissimi altri dispositivi (anche di altri produttori) sono soggetti a tale vulnerabilità.

Effettuate una prova con la pagina web innocua e verificate che risultato ottenete sul vostro dispositivo.

Quali sono le contromisure adottate dai produttori o adottabili provvisoriamente?

Al momento per gli tutti gli utenti delle versioni di Android ufficiali l'unica soluzione è aspettare l'aggiornamento via OTA per tutti i dispositivi sicuramente coinvolti, oppure il lancio del nuova nuova release 4.2 del sistema che dovrebbe essere immune al problema.

Le ROM Cyanogenmod 10 sono state considerate sicure grazie ad un preventivo fix rilasciato da mesi, quindi se il vostro dispositivo è compatibile consiglio di passare alla versione più recente e stabile disponibile presso gli sviluppatori terzi.

Purtroppo sia le CM7 che le CM9 sono soggette a tale bug, così come altre mod famose disponibili per Android.

Alcuni utenti sul web hanno segnalato che il codice sembra essere inefficace se eseguito su browser diversi da quello di default, il che potrebbe essere una soluzione provvisoria.

Altri metodi segnalati sul forum o sul web

- L''utente totocl segnala che avast! Mobile Security riesce ad impedire l'avvio del codice maligno, deviando la richiesta sul dialer sicuro di avast;

- Un metodo molto efficace per bypassare il bug consiste nello scaricare un nuovo dialer per il proprio dispositivo (come questo).