Вчера большинство причастных к гаджетам людей обсуждало уязвимость, найденную в некоторых Android-смартфонах компании Samsung. Она позволяла без разрешения пользователя сбрасывать данные на устройстве. Теперь же стало известно, что уязвимости подвержены и телефоны других производителей, есть среди них и некоторые смартфоны HTC.

Уязвимость основана на том, что некоторые версии Android не совсем правильно обрабатывают активные ссылки с телефонными номерами, в том числе и USSD-кодами – фактически, выполняют их без подтверждения со стороны пользователя. Причем, код может быть передан на устройство несколькими способами: NFC, SMS, QR-код или ссылка в Сети. Понятно, что наиболее опасным для обычных пользователей смартфонов является последний вариант, такую ссылку подложить можно практически на любом сайте. Распространенность QR-кодов делает и этот метод довольно опасным, но уже для заметно меньшего количества пользователей.

Интересно то, что компания Google в курсе об этой уязвимости и закрыла ее в коде Android три месяца назад! По сути, виноваты в уязвимости существующих сейчас смартфонов именно производители устройств, которые банальным образом поленились закрыть столь важную прореху. Среди уязвимых смартфонов отмечается и HTC One X, не обновленный до последней версии ПО (то есть работающие на данный момент с Android 4.0.3 и Sense 4.0). Интересно, что и разработчики некоторых сторонних прошивок также не закрыли уязвимость – владельцы смартфонов с кастомами, будьте внимательны!

Дилан Рив (Dylan Reeve), эксперт по мобильной безопасности, создал специальную страничку, которая позволит проверить, уязвим ваш смартфон или нет. Для этого достаточно зайти на по данной ссылке: http://dylanreeve.com/phone.php (QR-код под абзацем). Если смартфон показал только номеронабиратель с *#06#, то вы защищены, если же на экране появился IMEI-код смартфона, то уязвимость вас касается. Кстати, если брать только ссылки в Сети, то они будут работать в стандартном браузере Android и его кастомизациях, а вот с Chrome или Opera проблем возникнуть не должно.

[qrcodetag]http://dylanreeve.com/phone.php[/qrcodetag]

Что же делать тем, чьи телефоны оказались уязвимы? Как одно из решений, Дилан Рив советует установить альтернативный "диалер", чтобы отменять выполнение подобных ссылок, когда система будет спрашивать о выборе приложения для набора номера. Кроме того, есть приложения для набора номера, которые не работают с USSD, такие можно временно установить как основные.

Редакция YouHTC предлагает пользователям в комментариях писать модель, прошивку и наличие уязвимости. Это поможет пользователям устройств быстрее сориентироваться и защитить себя от возможных вредоносных хулиганских атак.