Tehnoloģiju jaunumi un ziņas. Partneru programmas
Rakstu kategorijas
Izklaide [35]
Viedtālruņi [82]
par viedtalruniem jaunumi apskati jauninājumi
Portatīvie datori [20]
info, jaunumi, apskati
Planšetdatori [27]
jaunumi, ziņas
Partneru programma [7]
par partneru programmu
Interaktīvā TV [1]
Lattelecom TV
Interneta TV [1]
Lattelecom interneta TV
Telekomunikācijas [1]
Lattelecom pakalpojumi
Viss sievietēm [1]
apģērbs,apavi,veļa
Apdrošināšana [1]
octa.cc izdevīgāk
Kredīts [1]
pieprasītākais - smscredit
Hostings [1]
hostinga pakalpojumu serviss
Tehnoloģijas [64]
Nozares ziņas- telefoni,viedtālruņi planšetes,portatīvie...
Datortehnika [1]
datoru komponentes, izejmateriāli,serveri, telefoni,printeri, monitori...
Vietnes izvēlne
Kredīts
.
.
free counters
Ātrākais internets
internets
www.easy.lv
EASY.LV Interneta resursu reitings
Nobalso
Nobalso!
Europuls.eu
Galvenie » Raksti » Tehnoloģijas

Samsung Android ierīces pakļautas riskam
Melnā diena Samsung un faktiski lielai daļai šīs kompānijas ražoto produktu īpašniekiem. Drošības caurums kompānijas izstrādātajā TouchWiz grafiskajā saskarnē ļauj izpildīt atbilstoši sagatavotu kodu un nonullēt ierīci.

Pareizi noformējot ierīces uzstādījumu/datu nonullēšanas USSD kodu (piemēram, sagatavojot to kā HTML kodu) var bez lietotāja ziņas nonullēt ierīci. Ievainojamība var tikt izmantota arī upurim nosūtot atbilstoši noformētu NFC ziņu ar saiti uz kaitnieciskā koda vietni vai nolasot šādu saiti no QR koda. Lietotājam no telefona pietiek atvērt atbilstoši sagatavotu tīmekļa lapu un ierīce var tikt nonullēta. 

Avots: Pau Oliva (Twitter)

Android Smartphones with ICS from Samsung support WAP Push messages to enable the user to receive Logos, Ringtones etc.

The default setting for WAP Push messages is set to always accept which leaves these Smartphones open to attacks.

There are two kind of WAP Push Messages:

Attack 1.) Service Indication Message (SI) will present a message on the device with an embedded URL. The user can open the message and follow the URL by one click.

The senders number is not displayed by the device. The user is unable to verify who sent this message and if the contained link can be trusted. This leaves room for either social engineering, phishing or, if an exploit exists a compromise of the whole device. Obviously this kind of sms also allows malicious people to sent anonymous messages to their victims.

Attack 2.) Service Load Message (SL) will allow a provider to push software updates to the device or let logos or ringtones be pushed to the device.

A service load message can be configured in the way it should be received by the target device. Among others one option is to force the target device to load the defined content from a URL without interacting with the user. Again the senders number is not displayed by the device. If such a forced message is received by the device it will open the default browser and either display the URL defined in the message or download the targeted payload from the URL. This can be any filetype, even an APK. In case of an APK the user gets asked to if he will install the file. If sideloading is activated in the device settings the provided file will be installed.
If the browser contains a vulnerability this kind of message can be used to fully compromise the device.

Risk Mitigation: Open the SMS App and Press Menu -> Settings. Go to "Push message settings” and either disable the service, or if you need it set "Service loading” to "Prompt” or "Never”. To test if your devices is vulnerable you can use HushSMS for Android to send WAP Push SI and WAP Push SL messages.

Avots: silentservices.de

Ir apstiprinājusies informācija, ka problēmas skar Samsung Galaxy S II, Galaxy S III, Galaxy Beam, Galaxy S, Galaxy S Advance viedtālruņus.

Kā pārbaudīt vai tavs telefons pakļauts riskam?

Uz paša risku var pamēģināt atvērt šo tīmekļa vietni: http://www.misterjonjon.com/p/samsung-ussdgate-test.html. Tā līdzīgā manierē izmanto nevis ierīces nonullēšanas USSD kodu, bet kodu *#06#, kas izpildīts parāda ierīces IMEI numuru. Atver no telefona saiti un, ja telefons parādīs tā IMEI numuru, ir liela iespējamība, ka līdzīgā manierē tas var izpildīt arī nonullēšanas kodu.

Ko iesākt?

Atveram SMS aplikāciju, dodamies uz tās uzstādījumiem un atspējojam Push message servisu vai arī iestatām tā "Service loading” režīmu uz "Promt” vai "Never”.

Kamēr sagaidīsim oficiālu informāciju no Samsung un atbilstošu drošības atjauninājumu, labāk nestaigāt no telefona pa aizdomīgām tīmekļa vietnēm. Ja šī problēma tiešām darbojas tik vienkārši kā tiek ziņots Internetā, tad tā ir vērtējama kā kritiska un jācer, ka Samsung ļoti ātri tiks galā ar to. Esam uzmanīgi!

Drošības problēma darbībā demonstrēta Ekoparty drošības konferencē:









Avots: http://www.androids.lv
Kategorija: Tehnoloģijas | Pievienoja: Eduards65 (26.09.2012)
Skatījumu skaits: 1286 | Komentāri: 1 | Atslēgvārdi: Samsung, android | Reitings: 0.0/0
Komentāru kopskaits: 0
Vārds *:
Email *:
Kods *:
Tulkotājs
Dalies ar draugu
Sievietēm
apavi un veļa
.
Meklēt
Nobalso
.
area.lv
Dateks
Tavam banerim
www.BANNERI.lv
Copyright MyCorp © 2024