www.MegaLab.it

[farbix89]

Android a forte rischio: basta un clic per rendere inutilizzabile il dispositivo! (Aggiornato!) - Commenti

Basta visitare un sito web compromesso per perdere tutti i dati sul device o, nella peggiore delle ipotesi, perdere del tutto il dispositivo, che rischia di diventare seriamente un soprammobile da soggiorno. [continua...]

[Ale2695]

Bello grosso come bug, ed al momento solo il mio tablet, aggiornato con la CM10, è al sicuro. Il mio cellulare, fermo alla CM7.2, invece è a rischio. Che si sappia, gli antivirus per Android come Avast o Kaspersky sanno riconoscere e bloccare tali pagine malevole?

[Andy94]

A me si apre il dialer, però non visualizza nulla.

Samsung Galaxy SIII, stock firmware Android 4.0.4

[farbix89]

A me si apre il dialer, però non visualizza nulla.

Samsung Galaxy SIII, stock firmware Android 4.0.4

Il 4.0.4 (e 4.1.x) sembrano veicolare già il fix, devo controllare ma ne sono quasi sicuro.

Resta il problema per chi non ha aggiornato oppure ha versioni di Android inferiori a 4.0.4.

anche CM7 e CM9 sono ancora vulnerabili, ma sono più fiducioso sul loro rilascio che non su eventuali aggiornamenti ufficiali :(

[KillerPenguin]

Anche io sono in pericolo vedo, pur possedendo la Cyanogenmod 7.2 . Spero in una nuova relase stabile della cyanogenmod!

[farbix89]

Che si sappia, gli antivirus per Android come Avast o Kaspersky sanno riconoscere e bloccare tali pagine malevole?

non credo lo facciano direttamente perché USSD è una funzionalità intrinseca dei dialer dei telefonini che permette di eseguire codice speciale (controllo credito o altre operazioni via operatore).

che poi intervengano sulla pagina web bloccando il codice HTML5 è plausibile, ma visto come si presenta questo codice non è immediato bloccarlo.

insomma permessi speciali per tutti :/

[farbix89]

Come segnalato nell'articolo Opera Mini e Opera mobile sembrano immuni all'avvio del codice, non riesce ad aprire il dialer (un bug che diventa salvavita e miracoloso in questo caso, un bug di Opera utile :D)

Chi può provi ad avviare il codice innocuo su altri browser e segnali qui eventuali workarounds ;)

[The Doctor]

Avevo letto qualcosa ma ancora non avevo verificato. Purtroppo il mio Samsung Galaxy S2 con la 4.0.4 è affetto dal bug

Utilizzo Chrome o Dolphin come browser, speriamo bene... in attesa dell'aggiornamento a JB

[mattpillon]

sul nexus S con android 4.1.1 jelly bean (non root) si apre il dialer ed appare il *#06#, sia con il browser di default che con chrome...
direi che sono al sicuro....

[farbix89]

Sì i nuovi Jelly Bean sino al sicuro hanno già ricevuto la patch.

mi sorprende che il 4.0.4 di Doc sia vulnerabile

Ma ha la stessa versione di Andy!

Andy hai usato il browser di default per avviare la pagina di prova?

[The Doctor]

Il mio è no brand, sarà forse per questo?

[ste_95]

Galaxy Nexus con Android 4.1 si apre il dialer ma NON con il codice IME, sono al sicuro

[farbix89]

Devo indagare su questa cosa, ci sono 4.0.4 con fix o senza fix.



Andy, per essere al sicuro deve uscire il codice USSD nudo, un dialer vuoto sembra non indicare nulla.

Ce siano disattivati i codici USSD dagli stessi operatori?

[totocl]

Ragazzi vi dico la mia (rispondendo in parte anche ad Ale2695):

Ho un galaxy s2 con installato l'antivirus "avast! mobile security", cliccando sul link di prova invece di farmi vedere l'IMEImi ha chiesto di "completare l'azione" usando o "avast! number validator" o"telefono". Se scegliessi "telefono" mi farebbe vedere l'IMEI (perciò lo smartphone sarebbe a rischio), ma io ho cliccato sulla prima, che mi ha dato questo messaggio:

" An application tried to execute an USSD code, which is very likely intended to harm your system. Avast! Mobile Security blocked execution of this code. *#06# "

Quindi penso che visto che blocca il codice dovrebbe essere una buona alternativa per proteggersi da questa minaccia! Ditemi voi che ne pensate..

[farbix89]

Grazie per il feedback, quindi Avast almeno in parte la blocca (però se si sbaglia a scegliere il dialer parte comunque e non è buono).

Almeno è già qualcosa per prevenire la minaccia ;)

[totocl]

Sisi, solo che quando ti fa decidere se usare avast o il dealer puoi anche mettere la spunta in "usa come predefinito"..così se usi avast la prima volta poi non rischi più di sbagliare!

[farbix89]

[farbix89]

Per aiutare altri utenti segnalate senza problemi eventuali soluzioni e workaround oppure specificate se il modello in vostro possesso è affetto dal bug o no

[Andy97]

Galaxy Next (non Turbo ma primo modello) con rom New Experience 2.0 (by autoradio78) quindi CM7.2 a rischio... (uso Dolphin HD)
Inviato dal mio GT-S5570 usando Tapatalk

[developerwinme]

Ovviamente non ho un dispositivo Android con cui provare, ma comunque posso confermare che con Windows Phone 7.5 Refresh (build 8773) parte correttamente il pre-dialer, sia in un caso che nell'altro.

P.S. @farbix: ho reso il link non cliccabile, per evitare che qualcuno si ripulisca il telefono per sbaglio.