Logo th.androidermagazine.com
Logo th.androidermagazine.com
» ข่าว
ข่าว

ช่องโหว่ด้านความปลอดภัยที่สำคัญในโทรศัพท์ซัมซุงบางรุ่นอาจเปิดใช้การรีเซ็ตจากโรงงานผ่านหน้าเว็บ

ช่องโหว่ด้านความปลอดภัยที่สำคัญในโทรศัพท์ซัมซุงบางรุ่นอาจเปิดใช้การรีเซ็ตจากโรงงานผ่านหน้าเว็บ
Anonim

อัปเดต, 09/26: ซัมซุงได้บอกกับเราว่าเฟิร์มแวร์ Galaxy S3 รุ่นล่าสุดแก้ไขข้อได้ เปรียบ นี้ การทดสอบของเราเองได้แสดงโทรศัพท์อื่น ๆ โดยเฉพาะรุ่น Galaxy S2 อาจยังมีความเสี่ยงอยู่ หากคุณยังกังวลคุณสามารถตรวจสอบการทดสอบความเสี่ยงของ USSD เพื่อดูว่าโทรศัพท์ของคุณมีช่องโหว่หรือไม่

ช่องโหว่ด้านความปลอดภัยที่สำคัญถูกค้นพบในสมาร์ทโฟน Samsung ที่ใช้ TouchWiz รวมถึง Galaxy S2 และ Galaxy S3 บางรุ่นบนเฟิร์มแวร์รุ่นเก่า ข้อผิดพลาดนี้แสดงให้เห็นเป็นครั้งแรกเมื่อหลายวันก่อนโดยนักวิจัยด้านความปลอดภัย Ravi Borgaonkar ในการประชุมความปลอดภัย Ekoparty มันเกี่ยวข้องกับการใช้รหัสบรรทัดเดียวในเว็บเพจที่เป็นอันตรายเพื่อทริกเกอร์การรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานทันทีโดยไม่ต้องแจ้งให้ผู้ใช้หรืออนุญาตให้ผู้ใช้ยกเลิกกระบวนการ สิ่งที่ร้ายแรงยิ่งกว่าก็คือความเป็นไปได้ที่จะจับคู่กับความผิดพลาดที่คล้ายกันเพื่อทำให้ซิมการ์ดของผู้ใช้ไม่สามารถใช้งานได้ และเนื่องจากรหัสที่เป็นอันตรายอยู่ในรูปแบบ URI จึงสามารถส่งทาง NFC หรือรหัส QR ได้

Verizon Galaxy S3 ของเราไม่ได้ถูกรีเซ็ตด้วยรหัสที่เป็นอันตรายซึ่งฝังอยู่ในหน้าเว็บแม้ว่าเราจะสามารถทำการรีเซ็ตโดยใช้รหัสที่คล้ายกันซึ่งเชื่อมโยงกับไฮเปอร์ลิงก์ Mobile dev Justin Case บอกเราว่าปัญหาได้รับการแก้ไขในเฟิร์มแวร์ล่าสุดของ AT&T และ Galaxy S3 ระหว่างประเทศแม้ว่าอุปกรณ์ที่ไม่ได้รับการอัพเดตอาจยังคงมีช่องโหว่อยู่ คนอื่น ๆ รายงานว่าอุปกรณ์เช่น Galaxy Ace และ Galaxy Beam ก็ได้รับผลกระทบเช่นกัน เท่าที่เราสามารถบอกได้ว่าข้อผิดพลาดไม่ ได้ ส่งผลกระทบต่อโทรศัพท์ซัมซุงที่ใช้สต็อก Android เช่น Galaxy Nexus

ช่องโหว่นี้เป็นผลมาจากวิธีที่แอพ Samsung dialer ใช้จัดการรหัส USSD และลิงก์โทรศัพท์ รหัส USSD เป็นชุดอักขระพิเศษที่สามารถป้อนลงในปุ่มกดเพื่อทำงานบางอย่างเช่นเปิดใช้การโอนสายหรือเข้าถึงเมนูที่ซ่อนอยู่ในอุปกรณ์ สำหรับโทรศัพท์ซัมซุงนั้นยังมีรหัส USSD สำหรับการรีเซ็ตโทรศัพท์เป็นค่าเริ่มต้นจากโรงงาน เมื่อรวมกับความจริงที่ว่าผู้หมุนหมายเลขเรียกใช้การเชื่อมโยงโทรศัพท์โดยอัตโนมัติผ่านแอพอื่น ๆ ส่งผลให้เกิดปัญหาที่น่ารังเกียจโดยเฉพาะอย่างยิ่งสำหรับทุกคนที่โชคร้ายพอที่จะทำงานโดยหน้าเว็บที่เป็นอันตราย

แน่นอนว่ามีแอปพลิเคชันอื่น ๆ ของความผิดพลาดนี้ - ตัวอย่างเช่นความสามารถในการเรียกใช้หมายเลขอัตโนมัติผ่านตัวเรียกเลขหมายสามารถใช้โทรหมายเลขโทรศัพท์อัตราพิเศษได้ แต่ความจริงที่ว่าเมื่อคุณเยี่ยมชมเว็บไซต์สามารถรีเซ็ตโทรศัพท์เป็นค่าเริ่มต้นจากโรงงานการลบที่เก็บข้อมูลภายในและการล้างซิมของคุณเป็นปัญหาที่ร้ายแรงมาก ดังนั้นเราขอแนะนำให้คุณอัปเดตซอฟต์แวร์ของคุณหากคุณใช้ S3 และหากคุณไม่ได้ใช้เราขอแนะนำให้ใช้โปรแกรมโทรออกของบุคคลที่สามเช่น Dialer One จนกระทั่งสิ่งเหล่านี้หมดไป

เราได้ติดต่อกับ Samsung เพื่อให้ความเห็นเกี่ยวกับปัญหานี้และเราจะแจ้งให้คุณทราบถึงข้อมูลที่พวกเขาให้

ที่มา: @Paul Olvia; ผ่าน SlashGear, @backlon, @teamandirc

ข่าว

ตัวเลือกของบรรณาธิการ