Samsung Galaxy S3, così ti possono cancellare tutti i dati
Tecnologia

Samsung Galaxy S3, così ti possono cancellare tutti i dati

Scoperto un bug che causa il ripristino totale su alcuni smartphone della linea Galaxy. Ecco come verificare se siete al sicuro

Non sono tempi facili per gli smartphone. Non tanto per gli utenti, che possono contare su una vasta gamma di modelli a disposizione, quanto più per i produttori, ora più che mai sotto la lente della sicurezza “on mobile”. L’ultima notizia, in ordine di tempo, riguarda il Samsung Galaxy S3. Sembra infatti che basti un codice inserito in una pagina web per far impazzire il terminale di punta della gamma Android e cancellarne tutti i dati memorizzati. Il bug è ancora più grave se si pensa che l’indirizzo può essere anche stampato su un codice NFC e fargli puntare tutti gli smartphone che si vuole, puntando sulla novità della tecnologia NFC di cui sono dotati.

La scoperta si deve ad un gruppo di ricerca di sicurezza che ha mostrato alla EkoParty Security Conference di Buenos Aires (giunta all’ottava edizione) come è possibile utilizzare una sola riga di codice USSD per ripristinare completamente (Factory Reset) uno smartphone Samsung S3 e disattivare la carta SIM in meno di tre secondi. La prova di quanto mostrato in Argentina è su YouTube, in un video che riprende live il momento dell’hacking ad opera di Ravi Borgaonkar, poi ripreso e spiegato nel dettaglio dal filmato del portale EFTM. Il problema è che non è solo il Galaxy S3 ad esserne interessato ma anche il Galaxy Beam, l’S Advance, il Galaxy Ace e il Galaxy S2.

L’esperto di sicurezza Borgaonkar, che lavora nel settore delle telecomunicazioni all’Università Tecnica di Berlino, ha evidenziato come sono innumerevoli le possibilità di “spingere” un Galaxy S3 verso la formattazione. Uno dei metodi è quello di inserire l’indirizzo di un sito web che contiene la riga di comando che invia il reset, all’interno di un tag NFC o di un codice QR e mostrarlo all’utente. Un hacker potrebbe riprodurre i tag all’interno di annunci pubblicitari, volantini o altri siti web, con l’obiettivo di azzerare lo smartphone e disattivare la scheda SIM.

Ma quali sono i reali pericoli per gli utenti?

“In realtà non ce ne sono di specifici – ci ha spiegato Luca Perencin, esperto di sicurezza dei NoLabs – visto che il bug non permette di rubare informazioni personali e dati sensibili ma solo di cancellarli resettando il dispositivo. Uno dei possibili utilizzi pericolosi del codice malevolo sarebbe quello di inserirlo in tag NFC o codici QR con il solo scopo di danneggiare i possessori dei terminali Android affetti dal problema di sicurezza”. L’USSD (Unstructured Supplementary Service Data) è un codice di protocollo che I telefoni cellulari utilizzano per comunicare con i computer del fornitore dei servizi per la configurazione del telefono. Il team di sicurezza ha dimostrato come il codice possa essere utilizzato in maniera totalmente opposta, per recare danno all'utente più che aiutarlo. Il problema questa volta non dipende quindi da Android, sistema operativo troppo spesso accusato di badare poco alla sicurezza degli utenti, in Rete c’è chi afferma che la colpa sia di Samsung e della sua interfaccia TouchWiz, rea di facilitare l’esecuzione delle procedure di comunicazione con il protocollo USSD, attraverso il dialer e il browser integrato nel telefono.

Qualche ora fa Samsung ha rilasciato una nota ufficiale nella quale afferma di aver rilasciato un aggiornamento OTA (over-the-air) per il Galaxy S3 con il quale risolve il bug del codice USSD. Tuttavia sembra che non tutti gli utenti abbiano ricevuto l’aggiornamento e per questo Samsung invita a ricercarlo periodicamente dal menu dello smartphone. Il problema semmai riguarda gli altri terminali citati, ugualmente affetti dal bug del reset, per i quali l’azienda coreana non si è ancora espressa e non sembra aver in programma aggiornamenti prossimi. Tuttavia c’è un metodo veloce per verificare se il vostro device Android è vulnerabile al bug USSD. Basta andare con il proprio smartphone sul sito Android Central e cliccare in fondo su “Click here to begin. Se dopo aver cliccato vi appare una finestra di pop-up con il codice IMEI/MEID dovete preoccuparvi perché il terminale è a rischio bug, se il dialer che compare non mostra nulla o il codice *#06# potete stare tranquilli, almeno per ora.

Seguimi su Twitter: @Connessioni

I più letti

avatar-icon

Antonino Caffo

Nato un anno prima dell’urlo di Tardelli al Mondiale, dopo una vita passata tra Benevento e Roma torno a Milano nel cui hinterland avevo emesso il primo vagito. Scrivo sul web e per il web da una quindicina di anni, prima per passione poi per lavoro. Giornalista, mi sono formato su temi legati al mondo della tecnologia, social network e hacking. Mi trovate sempre online, se non rispondo starò dormendo, se rispondo e sto dormendo non sono io. "A volte credo che la mia vita sia un continuo susseguirsi di Enigmi" (Guybrush Threepwood, temibile pirata).

Read More