Mellékleteink: HUP | Gamekapocs
Keres

Speciális SMS-ekkel megbéníthatók a Nexusok

Bodnár Ádám, 2013. december 02. 10:07
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Szolgáltatásmegtagadásos támadások indítására alkalmas hibát talált a Google Nexusok szoftverében egy román biztonsági szakértő. Bogdan Alecu egy éve értesítette a keresőcéget, de semmilyen érdemi választ nem kapott.

A Google Nexus okostelefonok szolgáltatásmegtagadásos (denial of service) támadását demonstrálta egy múlt heti biztonsági konferencián Bogdan Alecu. A szakértő szerint ún. "Class 0" vagy "Flash" SMS-ek tömeges küldésével a telefonok lebéníthatók, amelyen szélsőséges esetben csak az újraindítás segít, írja az amerikai PC World.

A "Class 0" vagy "Flash" SMS-ek olyan üzenetek, amelyek közvetlenül a telefon szoftverének kezdőképernyőjén jelennek meg, viszont nem tárolódnak el azonnal az üzenetmemóriában, a felhasználónak kell eldöntenie, hogy elmenti vagy törli az üzenetet. Az üzenetek érkezésétől nem érkezik figyelmeztetés sem, így a felhasználó egészen addig nem szerez róluk tudomást, amíg rá nem néz a készülék kijelzőjére.

Alecu azt találta, hogy a Google Nexus készülékek ezeket az üzeneteket a nyitóképernyőn jelenítik meg, és amíg a felhasználó nem menti vagy törli őket, az SMS "kitakarja" a többi felületi elemet, azokkal nem lehet interakcióba lépni. Ha több ilyen üzenet érkezik gyors egymásutánban, a Nexusok "megbolondulnak". A szakértő vizsgálódásai során arra jutott, hogy néhány tucat ilyen SMS fogadása után a Nexus telefonok esetenként automatikusan újraindulnak, néha "csak" leszakadnak a hálózatról, vagy megszűnik az adatkapcsolatuk.

A konferencián kétszer demózta a támadást Alecu. Az első próba alkalmával a Nexus 4 teljesen válaszképtelenné vált, a felhasználói felülete megállt, és nem tudott hívásokat vagy üzeneteket fogadni sem, csak a kézi újraindítás segített. A második esetben az elküldött SMS-eknek csak egy része érkezett meg, így a telefon használható maradt, de amikor a fennmaradó üzenetek beérkeztek, a képernyőzár feloldása után a készülék automatikusan újraindult.

Alecu elmondása szerint közel egy éve talált rá a sérülékenységre, amelyet Galaxy Nexus, Nexus 4 és Nexus 5 telefonokon egyaránt reprodukálni tudott, az Android 4.x összes változatán. A bitzonsági szakértő természetesen értesítette a Google-t, azonban csak automatikus válaszüzeneteket kapott, majd júliusban egy ígéretet arra, hogy az Android 4.3-ban a hibát javítják, ez azonban nem történt meg. Alecu a hibát más gyártók androidos eszközein is tesztelte, elmondása szerint vagy 20 különböző típust vizsgált, azonban azokon nem sikerült reprodukálnia.

Az androidos alkalmazások biztonságával külön előadás foglalkozik a HWSW és az IT Factory decemberben induló közös fejlesztői képzésén, amelyről bővebb információ itt érhető el.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.