Szerző: Bodnár Ádám

2013. december 2. 10:07

Speciális SMS-ekkel megbéníthatók a Nexusok

Szolgáltatásmegtagadásos támadások indítására alkalmas hibát talált a Google Nexusok szoftverében egy román biztonsági szakértő. Bogdan Alecu egy éve értesítette a keresőcéget, de semmilyen érdemi választ nem kapott.

A Google Nexus okostelefonok szolgáltatásmegtagadásos (denial of service) támadását demonstrálta egy múlt heti biztonsági konferencián Bogdan Alecu. A szakértő szerint ún. "Class 0" vagy "Flash" SMS-ek tömeges küldésével a telefonok lebéníthatók, amelyen szélsőséges esetben csak az újraindítás segít, írja az amerikai PC World.

A "Class 0" vagy "Flash" SMS-ek olyan üzenetek, amelyek közvetlenül a telefon szoftverének kezdőképernyőjén jelennek meg, viszont nem tárolódnak el azonnal az üzenetmemóriában, a felhasználónak kell eldöntenie, hogy elmenti vagy törli az üzenetet. Az üzenetek érkezésétől nem érkezik figyelmeztetés sem, így a felhasználó egészen addig nem szerez róluk tudomást, amíg rá nem néz a készülék kijelzőjére.

Alecu azt találta, hogy a Google Nexus készülékek ezeket az üzeneteket a nyitóképernyőn jelenítik meg, és amíg a felhasználó nem menti vagy törli őket, az SMS "kitakarja" a többi felületi elemet, azokkal nem lehet interakcióba lépni. Ha több ilyen üzenet érkezik gyors egymásutánban, a Nexusok "megbolondulnak". A szakértő vizsgálódásai során arra jutott, hogy néhány tucat ilyen SMS fogadása után a Nexus telefonok esetenként automatikusan újraindulnak, néha "csak" leszakadnak a hálózatról, vagy megszűnik az adatkapcsolatuk.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A konferencián kétszer demózta a támadást Alecu. Az első próba alkalmával a Nexus 4 teljesen válaszképtelenné vált, a felhasználói felülete megállt, és nem tudott hívásokat vagy üzeneteket fogadni sem, csak a kézi újraindítás segített. A második esetben az elküldött SMS-eknek csak egy része érkezett meg, így a telefon használható maradt, de amikor a fennmaradó üzenetek beérkeztek, a képernyőzár feloldása után a készülék automatikusan újraindult.

Alecu elmondása szerint közel egy éve talált rá a sérülékenységre, amelyet Galaxy Nexus, Nexus 4 és Nexus 5 telefonokon egyaránt reprodukálni tudott, az Android 4.x összes változatán. A bitzonsági szakértő természetesen értesítette a Google-t, azonban csak automatikus válaszüzeneteket kapott, majd júliusban egy ígéretet arra, hogy az Android 4.3-ban a hibát javítják, ez azonban nem történt meg. Alecu a hibát más gyártók androidos eszközein is tesztelte, elmondása szerint vagy 20 különböző típust vizsgált, azonban azokon nem sikerült reprodukálnia.

Az androidos alkalmazások biztonságával külön előadás foglalkozik a HWSW és az IT Factory decemberben induló közös fejlesztői képzésén, amelyről bővebb információ itt érhető el.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról