Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

De bug waarbij het klikken op een link de telefoon laat resetten blijkt werkzaam te zijn op de HTC One X, zo hebben gebruikers ontdekt. De fout werd eerder ontdekt bij Samsungs Galaxy-telefoons, maar het gaat waarschijnlijk om een fout in Android.

Door middel van een regel html-code bleken beveiligingsonderzoekers Galaxy-telefoons te kunnen resetten, maar gebruikers op GoT hebben dit kunnen reproduceren op de One X, het huidige vlaggenschip-model van HTC. Daarnaast ontdekte The Next Web dat de HTC Desire, Motorola Defy en mogelijk verscheidene Sony-toestellen ook vatbaar zijn.

Het probleem zit waarschijnlijk in de belapplicatie voor Android. Die handelt zogenaamde ussd's af; dit zijn codes die in de dialer ingevoerd kunnen worden en waarmee een bepaalde functie wordt uitgevoerd. Zo is het bijvoorbeeld mogelijk om via de bel-app in het supportmenu te komen, maar er zijn ook codes om een hard reset uit te voeren.

De belapplicatie op Android kent de mogelijkheid om telefoonnummers direct vanaf een website te openen. Omdat dit met ussd's ook werkt, zouden kwaadwillenden zo een link kunnen sturen waarin een dergelijk commando is verstopt, waardoor de telefoon wordt gereset zonder dat de gebruiker hier toestemming voor geeft.

Alhoewel de bug eerder alleen bij Galaxy-telefoons werd ontdekt, lijkt het om een algemeen probleem in Android te gaan. Eerder dit jaar werd de bug echter al wel gerepareerd door Google, maar nog niet alle telefoons lijken over de fix te beschikken. Inmiddels zou Samung voor de Galaxy S III een patch hebben uitgerold en wordt er eentje voor de Galaxy S II nog verwacht.

Reacties (90)

Reactiefilter:-190079+154+25+31
Moderatie-faq Wijzig weergave
Oplossing:

NoTelURL
This little App will help you to protect against the USSD vulnerability detected on many devices.

Just install it and if you reach a Website with malicious code inside there will be a popup asking you wich app to launch. Just select "use as standard" an choose NoTel:URL as app and you will be fine.

Detailed Information can be found on my Website:
http://fotovossblog.peggy-forum.com/

Here you will also find urls and barcode for testing

[Reactie gewijzigd door Soldaatje op 26 september 2012 22:13]

Een ander optie is: TelStop.

Ook niet perfect, maar lijkt iets meer functionaliteit te hebben. NoTelURL blocked zo te zien alles, terwijl TelStop je de keuze geeft. (Weet ik niet zeker, want ik heb NoTelURL zelf niet getest. Ik baseer me puur op de screenshots)
Ze werken alleen allebei niet, omdat iframes zo niet onderschept worden. Die worden zonder te vragen gewoon geladen, en dat is de manier waarop iemand die echt kwaad wil doen het doet. Dus effectief heb je er niets aan.
Dat lijkt me heel stug. beide tools vervangen de dialer voor zichzelf. Dus hoe de dialer ook wordt aangeroepen, je komt altijd in het controleprogramma.

Ik ben dan ook erg benieuwd waar je die wijsheid vandaan hebt.
Door middel van een regel html-code bleken beveiligingsonderzoekers Galaxy-telefoons te kunnen resetten, maar gebruikers op GoT hebben dit kunnen reproduceren op de One X
Waar staat in dat topic dat de telefoon te resetten is?

Er staat alleen dat deze door middel van een code het IMEI nummer tevoorschijn kan toveren.. Net of die zo geheim is.. 8)7
Omdat enkele andere (vrij onschuldige) codes werken kun je natuurlijk aannemen dat die voor de reset ook op deze manier te misbruiken is. Maar ik vind het een beetje kort door de bocht om aan te nemen DAT hij dan ook werkt zonder te testen :P

Edit:
Ik kan echt NERGENS op internet iemand vinden bij wie dit ook echt gelukt is met de One X op de huidige Android 4.0.4...
Het XDA topic vermeldt ze wel leuk, maar er is volgens mij NIEMAND die deze ook echt getest heeft.. Sterker nog, ik zie juist meer reacties waarbij ze NIET werken..

Ik vraag me ook echt af waar dit hele artikel op is gebaseerd.. Wat als HTC de reset code simpelweg geblokkeerd heeft? (en het onschuldige IMEI en info menu niet omdat die voor de gebruiker wel makkelijk kunnen zijn?)

[Reactie gewijzigd door SmiGueL op 26 september 2012 23:31]

Als ik m'n telefoon geroot had zou ik het graag testen. Helaas is dat niet het geval en is dat ook niet makkelijk even te doen. Moet zeggen dat ik het nieuwsbericht ook wat vreemd vind, plaats zoiets alleen als het zeker is dat er ook echt gevaar is en laat zien dat het echt kan. Nu lijkt het op FUD.
Even ter verduidelijking: deze "bug" werkt ook door middel van een iframe: bijv <iframe src="tel:hier_de_code"></iframe> Daardoor is dus het laden van een website al genoeg om een telefoon te resetten!

Zie hier onschuldig voorbeeld met een random telefoonnummer:
http://jsfiddle.net/ZSU9Y/1/
(ik heb het alleen getest op de galaxy s2)

[Reactie gewijzigd door dragontje124 op 26 september 2012 22:38]

jammer dit hoor, ik hoop dat de mensen van google dit gaan oplossen in 4.1 jellybean
Het is al lang opgelost en er is geen telefoon met 4.1 die er last van heeft :)

Maar stel je voor dat je het artikel gewoon uitleest voordat je reageert..
Eerder dit jaar werd de bug echter al wel gerepareerd door Google
En laat me raden samsung: mijn sgs+, die toch echt nog niet zo oud is, introductiedatum halverwege 2011, wordt weer gewoon overgeslagen en krijgt geen fix voor deze bug.

Moet ik toch alle androidfanboys gelijk geven die zeggen "Wat zeur je nou over updates, je telefoon doet toch nog steeds het zelfde als toen je hem kocht". Inderdaad, de zelfde kwalijke zaken kunnen er nog steeds mee. En hoe groot de kans is? Gisteren nog in het nieuws dat het forum van iBood dubieuze code bevat. Nu.nl is wel eens de klos geweest. Toch gewoon sites waarvan je kan vertellen dat je daar regelmatig komt.
custom rom - en alles komt goed... dat is toch wel HET grote voordeel,

van apple had je nog kunne verwachten dat de meeste software versies ios4 5 en 6 van zo'n fix zouden worden voorzien, maar probeer het eens met een symbian bbos of wp7 toestel.. kans is redelijk dat je er NOOIT meer vanaf kunt, net als bij het gross van de android-misbruikers.

met, zoals eerder gezegt, het verschil dat android nog opensource is, en je tenminste kunt verwachten dat een derde partij het voor je oplost...

[Reactie gewijzigd door i-chat op 27 september 2012 07:42]

Ik heb werkelijk geen idee waar je het over hebt. Ik heb jaren lang een nokia e66 gehad, met symbian. Ook jaren lang updates gekregen. En nu heb ik een android, dus je kan gewoon van symbian af.

En custom roms? Hoewel de fanboys altijd in polonaise door de gang gaan voor custom roms is dat ook niet altijd even ideaal. Voor de sgs+ zijn bijvoorbeeld wel een aantal ICS custom roms beschikbaar, maar die zijn allemaal op 1 rom gebaseerd en hebben dus ook allemaal dezelfde bugs. De camera doet het daar in nu, geloof ik, wel redelijk maar de fm radio hebben ze nog niet aan het werk. Over de stabiliteit zal ik het maar niet hebben (het zijn vooral fanboys die custom roms gebruiken, dus negatieve dingen zal je nooit horen).

Ik ben zzp-er en vind het prettig dat ik bereikbaar ben voor opdrachtgevers. Mijn telefoon moet het dus gewoon doen. Voor hobby heb ik andere dingen.
In dit licht wil ik even af van de term fanboys want dat heeft de afgelopen jaren een zeer slechte lading gekregen.

Er zijn genoeg negatieve dingen te horen hoor, maak je maar geen zorgen maar je moet goed onderzoek doen. Voor mijn zwager (SGS+) heb ik langer moeten zoeken naar een goede rom dan voor mijn eigen telefoon (OneX). Het valt mij op dat er vanuit de community minder aandacht is voor de SGS+ wat best apart is.

In principe kun je er gewoon een andere rom op zetten voor dagelijks gebruik maar houd het dan wel bij stables. Dan hoef je geen gekke zaken te verwachten. :)
Je kan het gewoon oplossen hoor, gewoon een app installeren die no-tel heet, daarmee kan je die tel: links openen in een andere app die niet over de functie beschikt om je toestel te resetten. Of een andere dailer is ook prima...

Nu is de vraag dus ben je net zo lui als Samsung en los je het niet op? Of los je het wel op?
Die app lost het 'waarschijnlijk' op. Zekerheid krijg je er niet bij, dus Samsung moet sowieso aan de slag voor een oplossing die altijd werkt.

En ik heb inderdaad al de nodige veiligheidsapps op mijn telefoon staan.
Looooooll serieus? Je gaat toch geen argumenten bedenken waarom het niet gigantisch slecht van Samsung is als ze dit niet oplossen? Ze nemen hun verantwoordelijkheid niet, misschien het kopieerteam ff als update team gebruiken want dat is samsungs enige werkende afdeling lijkt wel
Tja, Google kan geen general update voor alle Android toestellen uitbrengen, als ze dat zouden kunnen hadden we dit probleem nu niet gehad.
Ze kunnen ook stilletjes de Play Store updaten en Movies app installeren. Lijkt me stug dat ze dan dialer niet kunnen updaten of een nood patch forced kunnen installeren.
Nee dat kan niet zomaar, een update voor Windows 7 werkt toch ook niet automatisch op Windows vista, xp EN 98...

Alle door fabrikanten aangepaste versies zijn te verschillend, waardoor ze niet eens kunnen testen wat er gebeurt als ze z'n updatepushen....
En iedereen verklaarde me voor gek op mijn tweakblog! Beetje jammer...

OT: Goed dat deze bug in de meeste recente versies is opgelost, op JB werkte dit niet bij mij, en op enkele andere toestellen ook niet. Slordig dat deze bug/feature zo was geimplementeerd, maar ook goed om te zien hoe snel Samsung een fix heeft uitgebracht.
Snel? Het is al tijden terug gefixed door Google. Op dat moment hadden ze het al moeten implementeren. Dat ze nu als de sodemieter de patch (van Google dus, kwestie van download -> implement. Tadaaa) gaan uitrollen is niet snel vanuit hun, Google had de bui al zien hangen en had het al opgelost. (Die testen volop hun eigen spul :)) Het enige dat Samsung doet is het nu eindelijk naar de firmware pushen :)

Verder heb ik in het topic op GoT enkel gezien dat het IMEI nummer getoond wordt. Heeft dan echt niemand de reset code geprobeerd? :P
Nou ja, god bless Titanium Backup, dus dan probeer ik t zelf maar.

[Reactie gewijzigd door WhatsappHack op 26 september 2012 23:11]

Het was bij de S3 al gefixed voordat er uberhaubt iemand achter was! Dus niet vandaag of gister maar een week of langer terug :)
Ah, dat is die 'stability' update...
Ik ga het morgen proberen op 2 manieren en met en zonder root. Laat de bevindingen wel weten! :)
Geldt het ook voor de One S?
Hoogstwaarschijnlijk wel ja.
Ik heb het getest en ook de HTC One S is vatbaar.
Misschien een stomme vraag maar zou dit onder IOS ook werken?
AFAIK heeft iOS geen debug menu's ;)
Wel een Field Test Mode: *3001#12345#*
Alhoewel de bug eerder alleen bij Galaxy-telefoons werd ontdekt, lijkt het om een algemeen probleem in Android te gaan. Eerder dit jaar werd de bug echter al wel gerepareerd door Google, maar nog niet alle telefoons lijken over de fix te beschikken.
Dit demonstreert wel de zwakte van Android (wel een mooi OS trouwens). Google werkt netjes de codebase bij en vervolgens heeft alleen de Nexus heeft de fix. Alle andere fabrikanten moeten er net zin in hebben om deze fix ook uit te brengen. Zal overigens wel gebeuren vanwege de media-aandacht.
Dit demonstreert wel de zwakte van Android (wel een mooi OS trouwens).
En de kracht :) Androids grootste kracht is de mogelijkheid voor fabrikanten om hun ding ermee te doen, en dat is ook het grootste nadeel :)

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True