Divulgado perigoso exploit para aparelhos Android

Qualquer aparelho que não esteja rodando pelo menos a versão Jelly Bean pode estar vulnerável. O estrago depende do modelo do aparelho, sendo que a falha mais grave foi apontada em alguns aparelhos Samsung, onde o exploit consegue formatar o aparelho e inutilizar o cartão SIM sem que o usuário possa fazer nada.

O exploit consiste em enviar um URL malicioso para o aparelho da vítima. Pode ser o resultado de uma busca no google, um email, um SMS, um QR code, etc. Qualquer forma de exibir um URL para o usuário funciona. Se o usuário clicar no URL e o aparelho for vulnerável, acabou-se.

O URL vem com um código USSD, desses que a gente usa para acessar opções avançadas do telefone e funciona discando algo como *#66445#*.  O problema é que alguns desses códigos podem ferrar com o telefone e são “discados” sem qualquer pergunta nos telefones vulneráveis.

Você pode testar se seu telefone é vulnerável visitando esta página com ele. O autor do blog, Dylan Reeve, demonstra o problema usando um código USSD inócuo, que só mostra o IMEI do telefone na tela. Eu testei com meu xing-ling Android, Hero H200, e imediatamente ao visitar a página abriu-se o discador e uma janela na frente dele com os dois IMEI do meu telefone. Nenhuma confirmação foi pedida.

Depois testei no meu Motorola Quench com ROM CyanogenMod. Aconteceu a mesma coisa (mas só exibiu um IMEI, claro).

A implementação é simples, ao alcance de qualquer “ráquer” wannabe. Bastou colocar isso na página:

Edit: Se você estiver usando o Opera Mobile não acontece nada, porque o Opera não suporta iframe. Porém existe pelo menos um outro modo de “empurrar” o URL. Basta colocar isso na página:

<meta http-equiv=”REFRESH” content=”0;url=tel:*%2306%23″></HEAD>

Eu testei com o Opera Mobile 12, que acabei de baixar via Google Play, e o exploit funcionou. Eu criei uma página de teste em http://ryan.com.br/ussd.htm que você pode usar para testar o seu aparelho. O código que usei é o que exibe o IMEI, mas se você não estiver seguro, basta usar o browser do seu PC e olhar o código-fonte.

Eu não sei se meus aparelhos possuem códigos USSD “perigosos”. Mas na dúvida é melhor seguir as recomendações dadas por Dylan Reeve nesta página até que a poeira baixe e conheçamos o real potencial do problema.

A não ser que você seja dono de um dos modelos Samsung citados, claro. Neles o perigo é real e imediato.

Você também pode testar se sua app leitora de QR Codes é segura, lendo este código:

Trata-se do mesmo USSD que exibe o IMEI. A app que tenho instalada agora no Quench, QR Barcode Scanner versão 1.4 de 01/12/2011, mostra que é um número de telefone e qual é, me dando a oportunidade de discá-lo ou não. Já é suficientemente seguro para mim, mas eu espero que versões mais recentes, cientes do exploit, exibam um alerta bem grande quando se tratar de um USSD.

A propósito, se você precisa gerar seus próprios códigos pode usar o QR Code generator.

Edit: no momento, a melhor maneira de se proteger é usar o auto-reset blocker. Apesar do nome, o programa ajuda a te proteger de qualquer código USSD malicioso, vindo por qualquer vetor. Ele se instala como um discador e quando o sistema processar um link de telefone, irá abrir uma janela perguntando que discador usar. Escolha o auto-reset blocker. O programa então exibirá qual o número que vai ser discado, dando sua opinião sobre o mesmo (se é seguro ou não), mas deixará por sua conta se vai aceitar ou não a discagem.

 

Se você aceitar, ele joga o número para o discador padrão do telefone.

Edit2 (obrigado, Saulo): Telstop faz a mesma coisa, mas não instala no meu android xing-ling. Pelo menos não pelos caminhos oficiais (google Play).

Update – 27/09: Como o exploit mata cartões SIM

O hacker indiano que divulgou o problema, Ravi Borgaonkar,  falou sobre isso antes mesmo de comentar sobre o problema da Samsung, mas se ele explicou os detalhes, eu não consegui entender no áudio da apresentação. Eu estava achando muito estranho que nas últimas 24h todo mundo estivesse falando exclusivamente sobre o problema da Samsung, como se a parte sobre matar chips fosse tão complicada que seria altamente improvável ocorrer. Mas segundo se lê agora na h-online e na infoworld, o ataque é igualmente simples mas muito mais abrangente. Existe um código USSD, aparentemente universal, que é usado para mudar o PIN do chip. Para isso é necessário fornecer o PUK.

  • Basta fazer isso uma vez com o PUK errado para travar o chip do usuário e este ter que correr atrás do seu cartão PUK para desbloquear;
  • Uma página que consiga fazer dez tentativas em sequência inutilizará o chip do usuário definitivamente.

Vejam o vídeo da apresentação de Ravi Borgaonkar:

23 comentários
  • Esse exploit até que tem potencial como ferramenta de suporte, como demonstrado no exemplo de Dylan Reeve. Se você quiser ensinar o usuário a conhecer e anotar o IMEI do seu telefone, basta passar um link. A mesma coisa para acessar outras funções “benignas”.

  • VR5

    Que bom que voltaste a “ativa”, Jefferson! Espero que continues assim! :yahoo:

    Estou curioso quanto ao lançamento do Windows 8 e, consequentemente, a versão Windows Phone 8… vamos ver como vai ser…  

  • Sony Santos

    Meu Motorola Defy, Android 2.2, é vulnerável. :(

  • Sony Santos

    Jefferson, obrigado por compartilhar essa informação. Instalei o TelStop e funcionou: é um aplicativo super-leve (9K) que, concorrente com o discador padrão, abre uma janela para você escolher um aplicativo em caso de discagem automática (discador padrão ou TelStop). Se você tinha real intenção de discar, então escolha o discador; se apareceu sem você pedir, basta escolher TelStop. Recomendo.

    • Isso ajuda bastante, mas não é a solução apropriada. Se você estiver clicando em um link ciente que é para um número de telefone, mas que na verdade tem um USSD, você vai escolher o discador padrão.

      E se o usuário tiver um perfil que o leva a clicar em links desse tipo com frequência, vai acabar acostumado a escolher o discador padrão automaticamente, sem nem pensar. O mesmo problema que ocorre com o UAC do Windows Vista/Seven.

      A solução correta, que eu espero encontrar, é que se o número for um USSD (é fácil de reconhecer pelo formato), seja exibida uma mensagem para o usuário mostrando qual é e explicando o risco que ele corre se prosseguir.

      • Saulo Benigno

        Aí é que está.. ver link desse tipo não é comum. O TelStop é bem interessante mesmo, gostei. Clicou em um link no site, custa nada fazer uma checagem enquanto ninguem atualiza com um Fix
        O que acho que vai ser muito e impossível fazerem isso, digo, Google, etc… Talvez só a Samsung mesmo.
        Quem sabe eles atualizem logo o Jelly Bean, pelo menos algo bom vão ganhar nisso.
         
        Ou talvez não, afinal é Android né? :)

        • Aí é que está.. ver link desse tipo não é comum.

          Pelo contrário. É comum sim.

          Você deve estar teimando com a noção de que “link” tem a ver com “internet”. Em sites são incomuns mesmo (podem deixar de ser agora). Mas dê uma olhada agora na parte de messaging do seu telefone e veja quantos SMSs recebidos tem links. No meu, pelo menos a metade tem.

          E a atualização do firmware só é opção para aparelhos que podem ser atualizados.

  • Falha interessante. Testei no Sansung Galaxy 5, usando navegador Dolphin a falha se apresenta, exibindo o IMEI. Já no navegador Opera isso não ocorre. Por que será?

  • Provavelmente porque o Opera não dá suporte a URL “tel:”. Mas cuidado: simplesmente usar outro browser não vai te deixar seguro. O exploit tem diversas vias de entrada.

    Edit: Segundo eu li, é porque o Opera não suporta frames. Mas existe outra implementação que usa HTTP-Refresh, que talvez passe pelo Opera.

    • Acabo de testar a implementação com http-refresh e o exploit assim funciona no Opera também. Atualizei o post com um link para o teste.

  • Aí entram duas questões:

    Meus celular é vulnerável? O Galaxy 5, sim.
    Existe algum código USSD, pra ele, que faça algum estrago, sem pedir confirmação antes?

    Fato é que o TelSpop não funciona pro meu aparelho.

    • Existe algum código USSD, pra ele, que faça algum estrago,

      Aí é que está o coração do problema. É impossível saber com certeza.

      Cada fabricante pode implementar seus próprios códigos, que não são divulgados para o público em geral. Alguns, mesmo supostamente inócuos, podem em certos casos criar transtorno para o usuário. Por exemplo, digamos que exista um código USSD para mudar a frequência de operação do telefone, como acontece com o TREO650. O usuário atingido vai ficar com o telefone “fora do ar”, achando até que está com defeito, até que uma pessoa capacitada descubra a razão e reconfigure o telefone.

      E como se essas não fossem incógnitas suficientes, ainda temos outro problema: segundo o artigo na Wikipedia sobre USSD, cada operadora também tem os seus próprios códigos e alguns mecanismos de pagamento também os utilizam! Ou seja: esse exploit tem potencial para custar até mais que o valor do seu telefone!

      Eu não gosto de ser alarmista, mas a coisa tem potencial para ser grave.

       

  • Já saiu um app que faz exatamente o que eu queria. Vejam a atualização que fiz no post.

    • Saulo Benigno

      Não é a mesma coisa que o TelStop não?

      • Caramba… é!

         

        Eu não sei o que aconteceu. Eu devo ter caído na página de outra app quando li sobre o Telstop, porque eu juro que estava com outra idéia do comportamento da aplicação.

        De qualquer forma, Telstop não é compatível com meu xing-ling. Só com o Quench.

        • Sony Santos

          Ontem de manhã o TelStop não fazia isso, isto é, não fornecia um botão para discar ou não, após avisar se é suspeito. Mandei um email ao autor sugerindo esse comportamento, mas pela rapidez da atualização ele deve ter feito isso em paralelo. No entanto, eu ainda não posso tornar esse app padrão no meu aparelho, porque, para discar, ele chama o discador padrão! Isso mesmo, se eu deixar o telstop padrão, ele entra em loop, chamando o telstop novamente (eu testei)… Hahahahaha. Não sei se o auto-reset blocker faz o mesmo, mas pretendo testá-lo.

          • Sony Santos

            Testei o auto-reset blocker. Mesmo tornado o discador padrão, ele sempre vai perguntar qual discador você quer abrir ao escolher discar. Neste caso eu preferiria que ele automaticamente discasse, ou escolhesse o padrão do aparelho, ou que eu pudesse configurar um discador padrão em suas configurações. De qualquer forma, é um comportamento melhor do que o do telstop.

  • Como disse uma vez o Steve Ballmer, “não existe patch para a estupidez humana”. Já estão fazendo piada sobre a impossibilidade de realmente proteger o telefone contra o código de wipe da Samsung:

     

    [img]http://i.imgur.com/FKAkf.jpg[/img]

    Se bem que a Sansung poderia ter evitado isso simplesmente pedindo confirmação antes de apagar o telefone do usuário. Espero que ela tenha feito isso no último update do firmware, senão o que vemos na imagem acima continuará sendo uma possibilidade.

  • A propósito, o código que faz o “factory reset” no Samsung sem perguntar nada é *2767*3855#

  • Finalmente apareceram informações mais detalhadas sobre a versão do exploit que mata cartões SIM. Vejam a atualização que fiz no post.

  • Apenas para que fique registado. Meu Hero H2000G é vulnerável ao exploit.  :( Resolvi instalando o auto-reset blocker que foi o que achei melhor. Ele (o H2000G) roda com o Android 2.2.1.

  • Bruno

    Saiu uma atualização para galaxy 5 feita pelo psyke83 que desenvolve uma rom para o aparelho no fórum da cyanogem e que corrige esse problema, testei com uma versão anterior e o imei aparecia e agora nessa nova versão ao clicar no link ele informa o código na tela de discagem, mas não o executa automaticamente. Me parece que o problema foi resolvido.


Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

A coisa tá feia: não dá para confiar nas apps que você instala.

Não adianta você se limitar a instalar no seu smartphone apenas apps populares, já testadas por muita gente e há muito tempo.  A Path parecia ser uma app inocente o bastante, com mais de 24 mil avaliações, até um programador descobrir que a app copiava todo o catálogo de endereços do iPhone para os servidores da Path (detalhes técnicos no blog do programador). E o pior foi a resposta do CEO da Path, dizendo que isso era uma “industry best practice”.

Imagine só o que essas empresas andam fazendo. Ao dar acesso aos seus contatos de e-mail você geralmente só está dando e-mail e nome de todos eles. E isso já é ruim o bastante. Já no smartphone as chances são grandes de que existam além de todos os telefones, e-mail, endereço, aniversário, apelido, empresa onde trabalha e notas diversas sobre cada pessoa.

Ainda que não haja maldade nessa atitude (é ruim…), é preciso lembrar da lambança do QUIPTXT (por sinal, outra app para iPhone). Será que o catálogo de endereços de mais de 24 mil pessoas (e estou falando apenas de quem avaliou a app) está seguro nos servidores da Path? Ou qualquer funcionário da empresa ou hacker meia-boca tinha (o dono da empresa jura que apagou tudo) tem acesso a ele? Quantas estórias não já ouvimos sobre empresas que supostamente sabiam o que estavam fazendo mas deixaram vazar os números de cartão de crédito de todos os seus clientes?

5 comentários
  • Depois de ler praticamente todos os comentários no blog do programador, fiquei ainda mais preocupado. Primeiro, um dos comentários diz que no iOS todas as apps tem acesso aos contatos e à internet

    The user is not required to give an application permission to access to this information. It is accessible for all apps, the same way accessing the internet is. So that means every app you’ve ever installed is capable of uploading your entire address book to a server without your knowledge or consent.

    Segundo, vários programadores respondem defendendo a Path e sugerindo que não vêem nenhum mal no ocorrido.

    O CEO da Path afirma que isso era feito para que fosse possível avisar ao usuário, por meio de comparação de e-mails, quando os amigos do usuário passassem a usar a app também. Mais ou menos como acontece no Facebook. Mas outros comentários apontam diversos problemas nisso:

    1)Nem todo mundo que está no meu catálogo de endereços é meu “amigo”. Pelo contrário: existem contatos que eu definitivamente quero evitar, passando pelos contatos estritamente comerciais

    2)A Path poderia ter obtido o mesmo resultado fazendo um hash local de cada um dos e-mails do catálogo e enviando para seus servidores apenas o hash. Isso permitiria a comparação mesmo obfuscando os endereços. Porém não resolve “1”.

    3)Para quê mandar o catálogo de endereços completo (nome, telefones, aniversário, notas) se você só precisa dos endereços de e-mail? Nem mesmo o nome da pessoa é necessário. Na verdade, do ponto de vista técnico, é contraproducente, já que uma mesma pessoa, com um mesmo e-mail, pode aparecer com nomes grafados de maneiras inteiramente diferentes em cada catálogo.

     

  • Inspirado pela descoberta, outro programador descobriu “falha” semelhante em uma app chamada Hipster.

    E em 2008 outra app fez o mesmo e foi apagada da app store. Segundo palavras do próprio desenvolvedor, quando eles viram que o SDK da Apple permitia que eles fizessem isso ele pensou: “por que não? Vai ser ótimo para os usuários!”

  • Intruder A6

    Eles deveriam tomar um processo bem caro na caixa dos peitos de todos os 25 mil usuários do APP para ver como é que é bom, e para nunca mais se meter a besta.

    • A julgar pelos comentários no blog do programador, incluindo os de dois supostos advogados, nem é necessário. O que a Path fez já viola leis de privacidade (incluindo leis específicas sobre dados de crianças), da Comunidade Européia e dos Estados Unidos. E como saiu um artigo sobre isso no The New York Times, espera-se que a Path já esteja encrencada.

      E não são apenas 25 mil. Não vi estimativa de downloads no iTunes, mas o número de usuários reais costuma ser bem maior que o de avaliações.

  • Felipe

    Até o Dilbert esta comentando sobre os apps “xeretas” http://www.dilbert.com/2012-05-03/


Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

Um cliente conseguiu quebrar uma tela Gorilla Glass

Chega dá pena. Um Motorola Defy com uns três meses de uso.
A danada da touchscreen capacitiva continua funcionando (no Defy o digitalizador fica debaixo do vidro e não em cima, como é costumeiro com telas resistivas), mas com a tela toda estilhaçada, o telefone ficou horrível.

O cliente me pediu para checar opções. No MercadoLivre elas até existem, como esta. Mas apesar do vendedor afirmar que se trata de Gorilla Glass, eu não estou muito inclinado a acreditar nisso. O único jeito de testar Gorilla Glass que eu conheço é tentando arranhá-lo. E aí é melhor estar na frente do vendedor e não do outro lado do país comprando pelo correio.

Alguém tem alguma dica?

10 comentários
  • Não lembro onde li (acho que foi no meiobit) que os motorola defy vendidos oficialmente no Brasil, nenhum vem com Gorila Glass.
     
    Logo acho difícil as telas vendidas no mercado livre serem gorila glass.
     
    Eu acredito que a única forma de comprar uma, será no ebay, e de vendedor americano.

    • Não lembro onde li (acho que foi no meiobit) que os motorola defy vendidos oficialmente no Brasil, nenhum vem com Gorila Glass.

      Seria razão para acionar a Motorola na justiça, porque o site brasileiro diz claramente, em português, que o Defy tem Gorilla Glass. Está aqui, na seção Características Físicas.

      • Saulo Benigno

        Dizem a mesma coisa da tela do Galaxy SII, que também é Gorila Glass e tem gente até no forum oficial dizendo que no Brasil não é.
         
        Se não me engano isso é boato mesmo… mas quem vai provar :P

        • Saulo! Não é teoria da conspiração não…Realmente produtos vendido no Brasil (pelo menos a linha Galaxy) NÃO tem Gorilla Glass. Foi falado no próprio fórum da Samsung Brasil. http://www.corninggorillaglass.com/#products-with-gorilla esse é o link para os produtos com Gorilla Glass. Eu tinha um Galaxy Note Argentino que riscou a telas só de passar a chave do carro em cima. Vi vídeos piores no you tube e NENHUM risco aparecia. Vendi, e comprei o Galaxy Note Inglês. Só de olhar pra tela notava-se diferença. Fiz o mesmo teste, com a mesma chave e NENHUM risco apareceu. Conclusão: NENHUM smartphone da linha Galaxy vendido oficialmente na Ámerica do Sul tem Gorilla Glass.

          • ricomonteiro

            A Samsung Brasil diz que tem Gorilla Glass. https://twitter.com/#!/SamsungBrasil/statuses/157910627950669824

            Mas como saber se é verdade ou não? 

  • Bom, se eles dizem explicitamente no site (como esta) então é pra ter. Lembre-se que o que mais tem na internet é Hoax.
     
    A questão também é que mesmo sendo gorilla glass, ele não é indestrutível. B)

    • Isso eu sei. Espero que meu cliente não tenha quebrado porque confiava que era, principalmente depois que um amigo dele jogou o telefone na piscina para provar que o Defy era à prova d’água.

  • Agora me ocorreu que a tecnologia do gorilla glas permite fazer um vidro muito resistente apesar de fino. Eu suponho que qualquer substituto que coloquem será:

    • Ou um vidro grosso demais
    • Ou um vidro frágil demais (quebra ao empurrar com o dedo)
    • Ou plástico!

    Será que e possível identificar pelo peso?

  • Segundo é demonstrado neste vídeo, Gorilla Glass é flexível!

    http://www.youtube.com/watch?v=G-vrKu73C6o&t=1m32s

    Então fica ainda mais fácil distinguir de um vidro qualquer. Mas você tem que estar disposto a quebrar a tela falsa.

  • Meu motorola atrix caiu no chao de cara e adivinhem…trincou todinho o vidro q é gorilla glass!


Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

Abandonando o TREO650

Depois de 7 anos, estou sendo obrigado a abandonar meu TREo650. Embora o telefone ainda funcione muito bem, a carcaça (housing) está se desfazendo e se já era estranho usar em 2012 um celular gorducho com antena aparente (as pessoas ficam curiosas e pedem para ver), ficou ridículo com as metades presas com fita adesiva. Uma carcaça nova até que não está cara. Tem um cara vendendo no RS por R$35, mas eu me recuso a pagar mais 65% do valor da mercadoria (R$20,90) para os Correios. E isso para prolongar a vida de um aparelho tecnologicamente bem ultrapassado.

Um amigo de Recife tem diversos aparelhos na sucata, mas para meu azar todos são CDMA e assim as carcaças não servem no meu TREO GSM

Estou há duas semanas me obrigando a me acostumar com um telefone Android (meu Quench). Não é fácil, porque como telefone e agenda o TREO ainda dá uma surra no Android em vários aspectos que pretendo discutir em outros posts.

5 comentários
  • alexandreda silva custodio

    Aconteceu o mesmo comigo, TREO650 -> Android (só que um Galaxy 5).
    Apesar de antiquado sim, ele chamava a atenção também, gostava bastante dele. Infelizmente consegui quebrar o display e acabei vendendo-o para alguém que tinha um parado, para aproveitar peças.
    Me senti menos triste do que se ele tivesse ido pra “reciclagem” ou para o lixo.

  • Sony Santos

    Tive um Palm Z22 e sinto falta daquele jeito prático e único de organizar tarefas, agenda e memos. Ah, os memos! Hoje eu uso o Catch para substituí-los, mas não é a mesma coisa. Uso o Toodledo para tarefas.

    E a agenda do Google não tem coisas como “repetir no último sábado de cada mês”, nem mesmo “no segundo domingo do mês” (da das mães/pais).

    Por outro lado temos a vantagem de estar sincronizado na nuvem. Gravar memos de voz era outra coisa que eu não podia fazer no Z22.

  • Intruder A6

    Ainda tenho um Palm TX em perfeitas condições, e uso bastante. Acho que quando ele pifar vou ter que dar uma grande rastreada na internet para conseguir outro ( usado mesmo ), pois eu não consigo usar outra coisa. É uma pena que a Palm cometeu suicídio ( o que ela fez foi um suicídio empresarial ), pois imagino que se alguém pegar o projeto dos Palms e fizerem uma boa quantidade para lançar no mercado ainda vai ter muita gente que compre, eu por exemplo sou um deles.

  • Saulo Benigno

    Samsung Galaxy Note, já ouviram falar?
    Talvez sirva para vocês, tem até canetinha… dizem que ta fazendo sucesso…

    • Saulo, só quem já usou um produto Palm diariamente sabe como é. Esses aparelhos modernos tem muitas funcionalidades que enchem os olhos e fazem falta no TREO. Mas até onde eu vi estão longe (todos eles) de fazerem um usuário de TREO não sentir a falta dele.


Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

Uma das muitas coisas que vão me fazer…

Uma das muitas coisas que vão me fazer falta quando o meu TREO 650 pifar de vez é a visibilidade sob o sol. Testei agora mesmo o TREO e os Motorola Quench e Defy lado a lado sob o sol quente do NE e só consegui operar confortavelmente o TREO. Os Motorola, mesmo no brilho máximo, imploram por uma sombra.

1 comentário
  • ednardosilva

    Concordo com você. Essa é uma das funcionalidades que aprecio no meu Palm Centro (ainda utilizo-o como 2º Smartphone). Deixo algumas informações que consulto bastante mesmo durante o Sol (eu peno para fazer isso no Galaxy ACE). Também acho o “tecladinho QWERTY” um diferencial e tanto.
    Antes do Palm Centro utilizava um Palm LifeDrive e a tela dele também não tinha esse “defeito” durante o uso em ambientes ensolarados.


Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.