Smartphony Nexus můžou zahltit speciální SMS

30. 11. 2013

Sdílet

 Autor: © Alexander Santander - Fotolia.com
Útočníci mohou při útoku typu DoS přinutit telefon od Googlu k restartu nebo jej odpojit od mobilního internetu posláním velkého množství speciálních SMS.

Na možný problém upozornil Bogdan Alecu, který pracuje jako správce systému v nizozemské společnosti Levi9. V ohrožení jsou podle něj uživatelé smartphonů Galaxy Nexus, Nexus 5 a Nexus 6.

Problém je ve způsobu, jakým telefony Nexus zacházejí se speciálním typem textových zpráv Class 0 SMS, někdy také označovaným jako Flash SMS. Taková zpráva se po obdržení okamžitě zobrazí na displeji zařízení uživatele, ale automaticky se do něj neukládá. Sám uživatel rozhodne, co se se zprávou stane.

V zařízeních Nexus se tento typ zprávy zobrazí nad všemi aktivními okny a je obklopen částečně průhledným černým pozadím. Pokud uživatel se zprávou nic neudělá, případná další zpráva stejného typu se opět zobrazí na přední pozici.

Na obdržení zprávy není uživatel upozorněn žádným zvukovým signálem a nelze to změnit. Uživatel o nich tedy prakticky neví, dokud se nepodívá na displej.

Alecu zjistil, že již po obdržení 30 Flash SMS v řadě se Nexus začíná chovat neobvyklým způsobem. Nejčastější variantou je prý restart zařízení. Pokud se pak zařízení znovu uvede do provozu a po zapnutí je vyžadováno zadání PIN, uživatel je odpojen od internetového připojení až do doby, než si toho sám všimne. Stejně tak nemůže přijímat žádné hovory ani běžné SMS.

V menším procentu případů může podle Alecua dojít k odpojení od internetového připojení i bez nutnosti restartu. Tomu se však nakonec uživatel také nevyhne, protože pro obnovení připojení musí telefon vypnout a zapnout.

Alecu prý na možnost DoS útoku přišel již před rokem a od té doby testoval jeho proveditelnost na různých zařízeních Nexus s různými verzemi systému Android. Problém se podle něj týká jen Androidu 4.x – včetně nejnovějšího Androidu 4.4 KitKat.

Podrobeno testu bylo rovněž 20 zařízení od jiných výrobců, ovšem zde se zranitelnost vůči DoS nepotvrdila. To neznamená, že jiné telefony také nejsou ohroženy. Pouze se to zatím nepodařilo potvrdit.

Google se již problémem zabývá, přesto se však Alecu zpočátku nesetkal s přílišným pochopením. Společnost prý kontaktoval již několikrát a vždy se mu dostalo automatické odpovědi.

V červenci se pak Alecuovi ozval někdo z bezpečnostního týmu Androidu a slíbil zahrnutí opravy do Androidu 4.3. To se však nestalo, proto se Alecu rozhodl vše zveřejnit.

bitcoin školení listopad 24

Oficiání oprava zatím není k dispozici, uživatelé Nexusů zatím mohou použít aplikaci Class0Firewall, na jejímž vývoji se Alecu podílel.