Рави Боргаонкар (Ravi Borgaonkar), исследователь из Берлинского технического университета, обнаружил и продемонстрировал новый способ кибер-атаки на мобильные телефоны с помощью технологии USSD (Unstructured Supplementary Service Data – неструктурированные вспомогательные сервисные данные). Самой известной и распространенной оказалась атака на популярный аппарат Samsung Galaxy S3 – одним неосторожным нажатием на ссылку в браузере пользователи успели стереть данные на множестве таких смартфонов по всему миру всего за сутки.

Технология USSD обычно используется для разного рода сервисных операций на мобильных телефонах локально, а также в мобильных сетях. Например, ввод USSD-кода «*#06#» без кавычек на любом аппарате, как правило, отображает заводской уникальный IMEI-код устройства. Есть и другие способы использования USSD-кодов: запрос баланса, изменение набора дополнительных услуг к тарифу и так далее. Также существуют служебные коды для операций с телефоном, включая сброс к заводским настройкам – именно такой код стал главным вектором атаки на смартфоны.

Существует ряд факторов, влияющих на успешность такой атаки. В частности, известно, что компания Samsung получила информацию об уязвимости еще некоторое время назад, так что большинство новейших прошивок для Galaxy S3 (4.0.4) уже не подвержены данной уязвимости. В то же время, некоторые варианты прошивки 4.0.4 все равно остаются уязвимыми. Также существуют подозрения, что атака через USSD-код работает и на аппаратах других марок (точный перечень пока не оглашается). Кроме сброса к заводским настройкам с уничтожением пользовательских данных в основной памяти, уже получили распространение коды для стирания данных на внешней карте памяти и на СИМ-карте. Наконец, следует знать, что в магазине приложений Play Маркет уже есть специальное приложение для перехвата опасных USSD-кодов – это утилита под названием TelStop.

Использование новой уязвимости базируется на обработке ссылок вида: «tel: XXXX». Дело в том, что встроенный модуль набора номера на аппаратах Samsung с фирменной оболочкой TouchWiz автоматически набирает номер, указанный в такой ссылке без дополнительного подтверждения. Получается, что если пользователь щелкнет по такой ссылке с кодом для сброса к заводским настройкам в СМС-сообщении или на веб-странице, все данные, внесенные пользователем после первичной активации, будут уничтожены, включая данные учетных записей, телефонную книгу, архив сообщений и так далее. Ссылки вида «tel: URL» могут использоваться для открывания в браузере любой вредоносной ссылки, где клиенту могут быть отправлены разного рода теги и команды: результат будет одинаковым – уничтожение данных на смартфоне. Также исследователи считают, что обработка таких ссылок без подтверждения пользователя открывает возможности для других векторов атаки, включая принудительную отправку входящих сообщений WAP Push SMS, через графические штрих-коды QR Code и даже через беспроводной интерфейс NFC.