Недавно специалисты по безопасности продемонстрировали возможность стереть память в смартфонах Samsung с помощью USSD-кода, который может быть передан на аппарат при заходе на веб-страницу. Уязвимость, из-за которой возможна такая атака, заключалась в том, что штатный механизм набора номера в Android позволял набирать USSD-коды, которые передаются в ссылках, начинающихся с идентификатора ресурсов tel:. Эта брешь была устранена три месяца назад.
Кроме USSD-кодов для «сброса» телефона существуют и другие опасные, предупреждают исследователи. Например, троекратная отправка неверного кода для изменения PIN приводит к блокировке SIM-карты, объясняет исследователь из Северозападного университета Коллин Муллинер. Такая атака, по его мнению, может сработать на большинстве Android-фонов, а не только на аппаратах Samsung.
В самой Samsung утверждают, что уже устранили в очередном обновлении программного обеспечения возможность несанкционированного исполнения USSD-кодов на Galaxy S III. Но далеко не на всех старых смартфонах установлены последние обновления Android, а некоторые уже вообще не поддерживаются производителями, и эти аппараты остаются уязвимыми, считает Муллинер. Для защиты от вредоносных ссылок tel: он разработал приложение TelStop.