Samsung TouchWiz, l'interfaccia è vulnerabile agli attacchi

Aggiornamento 26 settembre 2012: Samsung ha risposto a poche ore di distanza dalla diffusione della notizia: secondo la società, i Samsung Galaxy S III aggiornati all'ultima versione del software Android non corrono alcuni rischio. In realtà, i test effettuati sull'exploit hanno restituito risultaati diversi: alcuni riuscivano ad arrivare a cancellare il contenuto degli smartphone, in altri casi non era possibile grazie all'update di sicurezza installato sui Galaxy S III aggiornati di recente. Samsung ha commentato ufficialmente: "vogliamo rassicurare i nostri clienti che i problemi di sicurezza riguardanti il Samsung Galaxy S III sono già stati risolti grazie ad una patch software. Raccomandiamo agli utenti di scaricare l'ultimo aggiornamento, che può anche essere effettuato "Over The Air"

25 settembre: Oltre che per i grandi successi di vendite del Samsung Galaxy S III, Samsung è al centro dell'attenzione a causa di un'importante falla riscontrata nell'interfaccia utente personalizzata, precaricata sui dispositivi con sistema operativo Android della compagnia: sembra che Samsung TouchWiz offra una via d'accesso ai malintenzionati.

La notizia è stata diffusa e commentata alla conferenza sulla sicurezza EkoParty, dove Ravi Borgaonkar - ricercatore in tema di sicurezza nelle telecomunicazioni presso la Technical University di Berlino - ha presentato una sessione dal titolo "Dirty use of USSD Codes in Cellular Network", ovvero l'uso dei codici USSD per scopi illegali sulla rete cellulare.

Per dimostrare le proprie teorie, Ravi Borgaonkar ha utilizzato degli smartphone Samsung con sistema operativo Android e interfaccia utente personalizzata TouchWiz, tra i vari terminali sfruttati. Borgaonkar ha dimostrato direttamente al pubblico come una sola riga di codice HTML possa arrivare a cancellare i dati presenti sui telefoni in questione semplicemente cliccandovi, dal momento che TouchWiz ha una funzione che compone automaticamente un codice quando un link viene cliccato.

Lo stesso vale per le scansioni QR e NFC: l'interfaccia utente Samsung TouchWiz fa in modo che il dialer esegua automaticamente la sequenza, che può potenzialmente forzare sul telefono dell'ignaro utente un codice che lo resetta completamente, lo porta alle condizioni d'acquisto e cancella completamente i dati.

Nel video in apertura possiamo vedere la dimostrazione di ciò che Borgaonkar sostiene.

Via | PhoneArena

  • shares
  • Mail
4 commenti Aggiorna
Ordina: