[VULNERABILIDAD] MUY GRAVE en varios fabricantes con Android

[cybdani]

Solo os escribo para que estéis al loro de lo que está pasando por ahí......

Consecuencias: WIPE DATA RESET en REMOTO

Esto significa que te borran en remoto, debido a un xploit iframe en navegador/dialer (vamos, un link), todos tus datos de aplicaciones. No daña el teléfono ni la partición de sistema. Es lo mismo que hacer un wipe data reset (borrado de datos de usuario) desde el recovery, solo que te lo pueden ejecutar en remoto si sigues un enlace.

Sistemas afectados:

Cualquier teléfono con android que sea inferior a Android 4.1.1 (Jelly Bean).

Primero se pensaba que solo ocurría en los Samsung pero varios usuarios están reportando que ocurre en todas las marcas y modelos. Sobretodo en Samsung y HTC. De momento se esperan reportes de gente con Sony/Ericsson.

Da igual que tengas ROOT o no. Esto no influye.

Da igual que tengas una custom ROM o una rom original. No influye en el xploit.

Solución:

1-Tener instalado CWM Recovery + root para poder haceros primero un backup ENTERO de vuestro sistema en la SD. Backup que debéis luego tener copiado fuera del teléfono también por si las moscas.

2-Actualizar el sistema a la última versión del fabricante (Jelly Bean) o que el fabricante del teléfono tenga una OTA con parche del USSD.

3-En el caso de Samsung inferior a 4.1.1, el xploit se detiene instalando un dialer distinto.

4-Instalar el BitDefender USSD Wipe Stopper (GRATUITO) de aquí

https://play.google.com/store/apps/details?id=com.bitdefender.ussdstopper&feature=search_result

5-No pinchar en enlaces de gente que no conoces o de sitios cuyo dominio sea sospechoso.

Aquí tenéis un vídeo de como se ejecuta el código:

[ame=http://www.youtube.com/watch?v=Q2-0B04HPhs]Demo Dirty use of USSD Codes in Cellular Network en Ekoparty 2012 - YouTube[/ame]

[CLF]

La leche!!!!!

[sampat4]

Tengo entendido que Samsung ya lo ha solucionado en sus modelos mediante una actualización... lo que no me queda claro es si esa actualización es general o sólo aplica a los modelos libres o no customizados por compañías, que liberan sus propias actualizaciones...

[Mamba Negra]

Gracias por la info Cybdani!

[cybdani]

Esta vulnerabilidad se conoce desde antes que saliera Jelly Bean para S3. No se hizo pública para evitar una caída masiva (se entiende por pública a que cualquier mindundi sepa como ejecutar el código y mandar links para hacer caer a la gente). ¿Pero ahora que pasará con HTC, LG, Motorola y Sony? HTC suele ponerse las pilas en estas cosas (pero están casi al borde de la extinción). Sony es la más lenta a la hora de publicar actualizaciones, sobretodo si se trata de una versión nueva de Android. LG.....pfffff mejor ni hablar. Motorola engullida por Google va a dejar de vender sus teléfonos en las tiendas al público...

En mi primer post he dicho que la vulnerabilidad solo afecta a teléfonos con android inferior a 4.1.1 (JB). De esto ya se deduce que el xploit ha sido parcheado en Jelly Bean. El único teléfono de Samsung (a excepción del Nexus que es de google) que tiene actualización a Jelly Bean es el S3 a día de hoy.

Como también he dicho, esto afecta a otros fabricantes y modelos.

Para dejarlo claro. La vulnerabilidad afecta desde ICS (Android 4.04) hacia abajo.

[sampat4]

Pues es mas grave de lo que parecía entonces... el problema de la gente que tiene uno de estos teléfonos y no se va a enterar de esta información, es que están expuestos y seguro que aunque solo sea por joder, mas de una web va a incorporarlo en su código...

[cybdani]

Aquí tenéis la información con enlaces a aplicaciones para evitar el ataque. Leer con atención por que ya hay un test realizado en un Sony Xperia, HTC One X y Motorola Defy. Todos con ICS o Android GB (2.3):

http://dylanreeve.posterous.com/remote-ussd-attack

http://dylanreeve.posterous.com/remote-ussd-attack-its-not-just-samsung

Y aquí una app gratuita para bloquear el ataque:

https://play.google.com/store/apps/details?id=org.mulliner.telstop 

[CLF]

Bueno, otro agujero mas de segurdad de la informatica, ya casi, estamos acostumbrados, menos mal que con los miles de millones que tenemos cada uno....poco van a sacar

[cybdani]

Si,lo mejor es no tener dinero en el banco, como yo

Todo debajo del colchón, así nadie te lo choriza.

Bromas a parte, el problema es que esto tardará en taparse y en que lo sepan muchos usarios. Incluso no creo que ningún fabricante saque parche para gb (esperemos que no y que saquen algo).

De todas formas el parche es muy sencillo y es un tema de permisos en el dialer. Si tu abres el dialer para marcar un numero y le metes el código del wipe lo ejecutas igualmente.

Hay algunos terminales y versiones de roms que piden confirmación antes de ejecutar el wipe pero otros no.

Lo que habría que hacer es simplemente bloquear nativamente en el sistema la ejecución de esos códigos desde otra aplicación. Esto es lo que hace ahora mismo el bitdefender que puse en el link. Tan solo deberían sacar un update como ese pero incluido en el dialer.apk

[sampat4]

Cybdani, hay que difundirlo. Yo voy a tuitear y compartir en Facebook el enlace que pusiste de bitdefender. Todos a hacer lo mismo.

[CLF]

Si,lo mejor es no tener dinero en el banco, como yo

Todo debajo del colchón, así nadie te lo choriza.

.....

jajajjaja, ¿algo duro ¿no?

Cybdani, hay que difundirlo. Yo voy a tuitear y compartir en Facebook el enlace que pusiste de bitdefender. Todos a hacer lo mismo.

Pues si, con tu permiso cybdani...

[cybdani]

Yo lo he enviado a La Vanguardia.

[Lluis40]

Gracias por la información Cybdani

Saludos

[cybdani]

De nada.

Lo estoy intentando difundir donde pueda.

Lluis, passat per el post de kdd girona