Olá galera do B.J. Já faz um longo tempo que infelizmente não tenho postado... Mais aqui estou, no meu vício, na minha paixão. Agradeço a audiência do Blog, e é por vocês que eu sempre volto com gosto por compartilhar.
Vamos direto ao ponto. No final do ano passado andei estudando um pouco mais dos assuntos de vulnerabilidade e descobri que recentemente existe uma falha no S.O Android, que permiti a execução de códigos USSD sem o conhecimento do próprio proprietário do aparelho celular.
Códigos USSD são funções pré-configuradas que podem ser acessadas através do dígito de um determinado código no discador de um aparelho celular. Um exemplo é o código USSD que exibe o numero EMEI do aparelho, bastando digitar *#06# e pronto.
De olho no problema
A falha existe como consequência da internet cada vez mais presente nos aparelhos móveis, pois pode-se inserir em uma página um código iframe que automatiza a discagem de um determinado numero no aparelho... E se esse numero for, por exemplo, um código USSD? E se esse mesmo código fosse algo além da exibição de um simples IMEI, como por exemplo um código de formatação do aparelho e destruição do cartão de memória? Ai sim temos um problema!
Vejamos então o código:
- Código:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title> Bug Auto Discagem - Teste </title>
</head>
<frameset>
<frame src="tel:*#06#">
</frameset>
</html>
O código acima faria com que ao visitar determinada pagina, automaticamente fosse exibido o endereço EMEI do aparelho... Mas no lugar do código EMEI (em destaque de verde, introduzido no código HTML acima), poderíamos ter um USSD mais grave, como por exemplo o *2767*3855# que promove justamente a formatação imediata do aparelho em segundo plano, ou seja, sem o conhecimento do proprietário do mesmo.
E assim temos a falha de segurança, a Injeção de códigos USSD.
O assunto é bem mais complexo, mas acho que já abordei mais do poderia sobre o caso... Então infelizmente tenho que ficar por aqui, no entanto atendo na área de contato do Blog (sempre atendo), os demais interessados por favor entrem em contato.
Um forte abraco, e que esse ano de 2013 possamos evoluir e aprender cada vez mais.
A vida segue.
0 Pessoas comentaram:
Postar um comentário
Não deixe de comentar. O seu comentário é o meu pagamento.