Android ha un bug che permette di formattare il telefono tramite codice HTML. Si tratta di una delle più grandi vulnerabilità che sono state scoperte dal 2007 a oggi nel sistema operativo di Google per smartphone e tablet.
La causa del problema è collegabile all'USSD (Unstructured Supplementary Service Data) dei prodotti GSM. Questa caratteristica gestisce tutte le funzioni non tariffabili per la personalizzazione – ad esempio – della SIM o il controllo dei servizi di roaming dati.
Si può sfruttare il bug in questione tramite la navigazione Web in una pagina HTML creata appositamente. All'interno del codice deve essere presente un tag frame che abilita una funzione USSD di reset specifica per ogni prodotto, che si presenta sotto forma di numero telefonico nel gestore delle chiamate. Alcune versioni di Android non eseguono un controllo sull'autenticità dell'input che avvia il codice.
Inizialmente sembrava che questa vulnerabilità fosse presente solo in alcuni prodotti Samsung con interfaccia TouchWiz. Anche il top di gamma Galaxy S3 soffriva di questo problema, che sembra risolto con l'aggiornamento a Android 4.0.4.
Successivamente un ricercatore di nome Dylan Reeve ha scoperto che anche altri telefoni, sia con ROM ufficiali che modificate, hanno lo stesso problema. Tra quelli confermati troviamo il recente HTC One X con Android 4.0.3 "stock" e un Motorola Defy con CyanogenMod 7 – Android 2.3.5.
"Sembra che la causa del problema sia parte integrante del software standard di Android che gestisce le chiamate" ha scritto Reeve sul suo blog. "[Google] ha scoperto la vulnerabilità e l'ha risolta tre mesi fa con un aggiornamento" ha poi aggiunto.
###old1509###old
Il problema potrebbe essere più grande del previsto se si pensa che quasi tutti i prodotti Android hanno il software telefonico predefinito. Inoltre possiamo essere indirizzati a una pagina web malevola anche da un codice QR o tramite connessione NFC.
Collin Mulliner, uno sviluppatore indipendente, ha creato un'app che avvisa se si esegue un codice USSD sospetto o potenzialmente pericoloso. Se siete interessati potete scaricare gratuitamente il software dal Google Play.
Aggiornamento: Il sito Engadget dichiara che Samsung ha ufficialmente risolto il problema sul Galaxy S3 tramite un aggiornamento software. L'azienda raccomanda a tutti coloro che ne posseggono uno di controllare se hanno installato l'ultima versione di Android.