App beschermt Galaxy-telefoon tegen USSD-hack
Een beveiligingsonderzoeker heeft een onofficiële oplossing ontwikkeld die eigenaren van een Samsung Galaxy smartphone tegen de USSD-hack moet beschermen die tijdens een recente beveiligingsconferentie werd onthuld. Door een kwaadaardige Unstructured Supplementary Service Data (USSD) code op een website te plaatsen is het mogelijk om een 'hard reset' uit te voeren, waardoor een gebruiker alle instellingen en gegevens kwijtraakt.
USSD staat voor Unstructured Supplementary Service Data en is een sessie-gebaseerd GSM-protocol. Het wordt voornamelijk gebruikt voor het versturen van berichten tussen een mobiele telefoon en een applicatieserver in het netwerk. Beveiligingsonderzoeker Ravi Borgaonkar ontdekte dat het mogelijk is om via bepaalde USSD-codes de telefoon bepaalde taken uit te laten voeren.
Zodra de gebruiker via zijn smartphone een website opent waar deze code op aanwezig is, wordt de taak uitgevoerd. Het probleem zou alleen bij Samsung Galaxy-toestellen spelen.
App
Beveiligingsonderzoeker Collin Mulliner ontwikkelde een gratis app genaamd TelStop om gebruikers te beschermen. De tool publiceert een URI-handler voor de TEL URI. Zodra een website deze URI aanroept, verschijnt er een pop-up die de gebruiker vraagt om een applicatie te selecteren waarmee de TEL URI moet worden geopend.
In het geval de gebruiker de TEL URI zelf niet heeft aangeroepen of geprobeerd om een nummer te bellen, is het waarschijnlijk een aanval, zo laat Mulliner weten. TelStop is via Google Play en de website van Mulliner te downloaden. De onderzoeker komt binnenkort met een versie die gebruiksvriendelijker is.
Ik vermoed dat het net zo makkelijk is om een server te maken welk iphone en andere toestellen kan aanpakken.
Info: https://en.wikipedia.org/wiki/USSD
Ik vermoed dat het net zo makkelijk is om een server te maken welk iphone en andere toestellen kan aanpakken.
Info: https://en.wikipedia.org/wiki/USSD
http://www.theverge.com/2012/9/26/3412432/samsung-touchwiz-remote-wipe-vulnerability-android-dialer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
