Способ узнать, подвержен ли смартфон критической уязвимости Android

Несколько дней тому назад стало известно о бреши в оболочке Samsung TouchwizUI, с помощью которой можно было удаленно очистить память телефона до заводского состояния. Samsung оперативно выпустила патч, исправляющий проблему. Но, как отмечает эксперт по компьютерной безопасности Дилан Рив, такой уязвимости подвержены многие аппараты на базе Android. Он создал сервис, с помощью которого можно узнать, попадает ли телефон в категорию риска.

По словам исследователя, чтобы лишиться всей информации в смартфоне, пользователю достаточно просто серфить в интернете, как обычно. Если юзер зайдет на сайт, в котором злоумышленник прописал специальный USSD-код (с помощью этих кодов часто проверяется состояние баланса или заказываются дополнительные услуги у операторов), телефон сразу же сбросится до заводского состояния. Дилан лично обнаружил, что в категории риска находятся HTC OneX (с оболочкой HTC Sense 4.0), HTC Desire (с Android 2.2) и Motorola Defy (с оболочкой CyanogenMod 7). Также он предполагает, что Sony Xperia Active и Xperia Arc S тоже могут пострадать от этой уязвимости.

Брешь в аппаратах на базе Android появилась из-за стандартного диалера. Среди USSD-кодов есть известные всем комбинации, например, *#06# покажет IMEI смартфона. А есть специфические коды для каждого телефона, например, сброс до заводского состояния. Если щелкнуть по URL-ссылке с таким кодом, телефон сразу начнет процедуру очистки своей памяти.

Хотя об уязвимости известно уже более трех месяцев, лишь небольшое число производителей выпустило заплатки для нее и еще меньше пользователей – установили их. Поэтому любой телефон, использующий стандартный диалер Android старше трех месяцев, подвержен риску.

В качестве временной меры господин Рив предлагает отказаться от дефолтной «звонилки» Android и заменить это приложение на стороннее. Например, можно установить DialerOne. Он хотя бы предупреждает при несанкционированном использовании USSD-кодов и позволяет отменить действие.