Hace poco ha salido a la luz un importante fallo de seguridad presente en algunos Android que permite ejecutar códigos ocultos del dialer desde una página web. Al principio no le presté mucha atención pues parecía que sólo afectaba a los Samsung pero hoy he hecho la prueba y el Desire S parece vulnerable a ese tipo de "ataques". Para que os hagais una idea de la gravedad del problema en el peor de los casos podrían hacer un factory reset de vuestro teléfono accediendo a una página web con el código malicioso.


Más información del fallo: http://www.elandroidelibre.com/2012/09/todo-sobre-el-ultimo-problema-de-seguridad-de-android-en-que-consiste-y-como-saber-si-estas-afectado.html/comment-page-2#comment-177471
Comprobar si eres vulnerable: http://hugelaser.com/ac/ussd-test.php (si ves aparecer tu imei en pantalla eres vulnerable, el test no es peligroso)
Video demostracion del problema: http://www.youtube.com/watch?feature=player_embedded&v=Q2-0B04HPhs
Solución: instalando esta app https://play.google.com/store/apps/details?id=com.voss.notelurl
Solución 2: BitDefender USSD Wipe Stopper https://play.google.com/store/apps/details?id=com.bitdefender.ussdstopper

Interesante, yo tengo un Samsung y ya habia escuchado algo parecido... habra que ir con cuidado!;-)

A mi con miui me aparece el imei

En mi DS con 4.04 oficial, no me aparece el Imei, entiendo que entonces no hay peligro...
¿Alguien sabe si también son susceptibles las tablets a este fallo?

Rectifico, acabo de hacer la prueba con Google Chrome y ahora si que aparece mi Imei, que mal rollo...

Yo lo he probado con el navegador de MIUI v4 y con Chrome y en ambos casos me muestra el IMEI :(

Yo estoy con MIUI 2.4.6 y en dolphin browser sí me sale el imei.

Pero no me queda claro que sea vulnerable porque en la página dice:
NON-SAMSUNG PHONE OWNERS: (and AOSP ROM/Nexus users) Disregard the results of this test. You're not vulnerable to this exploit.

SAMSUNG PHONE OWNERS: If nothing happens, or the dialer appears but doesn't display your IMEI, you're probably safe. If your dialer appears and brings up your IMEI....

Enviado desde mi Desire S usando Tapatalk 2

Hay que ponerse un antivirus o que?
Miedooooooo
Um saludo :)

Sent from my DesireS using Tapatalk 2

Por suerte no sale mi imei, asique aparentemente estoy fuera de peligro :)

Cierto, yo tambien habia leido que solo afectaba a los Samsung.
A mi con Miuiv4 tambien me da error. En una pagina recomendaban ir siempre con la ultima actualización posible, con lo que si es cosa de software, cada uno deberia comprobarlo en cada Rom que meta, no?

Antes del proximo flasheo podria ser interesante ir a la web maliciosa y comprobar si de verdad se borra todo o no (suponiendo que no toca nada de la SD, ya que sino si que seria más engorroso)

Si te hace un factory reset se hace una restauracion y listo. lo malo esque te toque algo de dentro y se joda eso ya es peor...

entonces mal royo, a mi tambien me saca el imei. tengo un desire s cyanogenMod 9, ics 4.0.4
stoy en peligro :facepalm:

Yo lo he probado desde el navegador por defecto que trae la ICS oficial y no me carga el dealer, en el cuadrito ese dice que pagina web no disponible.
Y como no tengo ningún otro navegador pues nada. Quizás depende del navegador tambien?

Con Fallout 4.4 tb sale el IMEI. Y como se supone se arreglara esto? Actualizacion de software?

Tapatalkeando

A mi me sale lo mismo: NON-SAMSUNG PHONE OWNERS: (and AOSP ROM/Nexus users) Disregard the results of this test. You're not vulnerable to this exploit.

SAMSUNG PHONE OWNERS: If nothing happens, or the dialer appears but doesn't display your IMEI, you're probably safe. If your dialer appears and brings up your IMEI....

se supone que no afecta?:pensando:

He probado esto y ya no me sale el imei:

Hola, al comprobar si el fallo afectaba a mi motorola defy con cyanogen 7.2 oficial, he comprobado que si lo hace, pero es MUY facil anular el fallo de seguridad y ademas en cualquier terminal ( en cuando encuentre el galaxy mini que tengo por ahi tambien con cyanogen, lo pruebo y os lo confirmo).
Bueno, os cuento donde esta el truco para evitar el fallo, es tan simple como tener instalado un dialer alternativo, en mi caso uso Contapps para la gestion de contactos y lleva su propio dialer, y el dialer de Contapps no es capaz de acceder a los codigos internos del telefono ( ya me habia pasado antes intentando mirar algunos menus en el galaxy que desde el contapps no podia y tenia que hacerlo desde el dialer original).
Os cuento como podeis anular la vulnerabilidad usando contapps, mis pasos han sido abrir la pagina con el navegador interno de android, y cuando ha llegado al punto donde me tenia que saltar el dialer y decirme el IMEI, me ha saltado la opcion de android tipica de seleccionar el programa que quiero usar para esa accion, ya que tengo 2 dialers y no tengo asignado uno por defecto…
Con lo cual ya podeis imaginaros el resto, instalais contapps, abrid la pagina en cuestion, y cuando os pregunte que con que dialer en cuestion quereis abrirla, le decis que con el de contapps , le decis que use esa opcion por defecto y solucionado, aunque sigais siendo vulnerables la pagina maliciosa no podra acceder al dialer con el fallo.
Si por casualidad no quereis hacer contapps vuestro dialer por defecto ( como es mi caso) basta con tener un poco de picardia para estar protegido, ya sabiendo de el fallo y sin haber seleccionado el dialer de contapps como el de por defecto, si cuando esteis navegando por una pagina os sale el menu de seleccionar que dialer quereis usar… os esta intentando hacer el lio, con darle a cancelar para que no use ninguno de los dialers o con seleccionar en ese momento el de contapps , arreglado. Personalmente como no me fio ni del tato, aconsejo este metodo asi te enteras seguro de si alguna pagina intenta hacer el lio, ya que salta el menu de seleccion de dialer.
Ahora solo queda probar si el fallo se puede eludir con otros dialers distintos al de contapps, ya sabiendo el metodo cualquiera que use otro dialer alternativo, que haga el favor de probarlo y nos lo comente por aqui.
Para los que no lo conozcan , aqui teneis el link para bajarlo del market, es gratuito y como gestor de contactos es cojonudo.


:risitas:

Hay una aplicación en google play para evitar que el dialer ejecute algo malicioso! se llama NoTelURL
https://play.google.com/store/search?q=notelurl&c=apps

Gracias, de momento pongo el app como solución a la espera de que se liberen parches oficiales que lo arreglen :)

No me entero demasiado, que prueba hacéis para ver si os aparece el imei?

Gracias desde ya!

Enviado desde mi HTC Desire S usando Tapatalk 2

No me entero demasiado, que prueba hacéis para ver si os aparece el imei?

Entras en la web http://hugelaser.com/ac/ussd-test.php con el navegador del teléfono, pulsas en begin y al instante lo ves. Si se muestra el IMEI eres vulnerable, si sólo se muestra el dialer no lo eres.

a mi tambien me aparece :cry:

Gracias por la respuesta fosco!

Pregunta número 2, me sale página web no disponible todas las veces que,lo he hecho... Os pasa a alguno mas?

Enviado desde mi HTC Desire S usando Tapatalk 2

No, la web está disponible y el test funciona perfectamente.

a mi tambien me dice no disponible estara caida

A mi también me aparece: Página web no disponible.


Desde HTC Desire S Oficial Sense 3.6 y Android 4.0.4

gracias por la posible solucion, instalada y ahora pide elegir uno u otro X-D

Pero a ver, que muestre el imei realmente no es un problema, el problema es si se muestra en la pagina porque en ese caso el servidor web lo habra obtenido

En mi caso aparece el dialer con un popup con el imei, pero luego la pagina no lo saca. No creo que nuestro movil este afectado

Pero a ver, que muestre el imei realmente no es un problema, el problema es si se muestra en la pagina porque en ese caso el servidor web lo habra obtenido
Que una web pueda ejecutar órdenes en el teléfono a través del dialer es un problema y muy gordo. Lo de mostrar el IMEI es sólo un ejemplo inofensivo para ver si eres vulnerable, pero y si hubiese ejecutado el código de un factory reset?

Ok la web decia que si no aparecia tu imei en la propia web no habia problemas, pero estoy viendo que hay comandos ussd para hacer mas cosas, por tanto si que puede ser un problema...

investigando un pokito e encontrado otra app para evitar es "telstop"

https://play.google.com/store/apps/details?id=org.mulliner.telstop&feature=nav_result#?t=W251bGwsMSwxLDMsIm9yZy5tdWxs aW5lci50ZWxzdG9wIl0.

lo pongo por si alguien kiere trastear y dar alguna opinion de cual puede ir mejor

He hecho la prueba y a mi no me aparece ni imei ni dialer...es posible que la página esté caida, lo puede confirmar alguien?

Gracias!!!

Pos si es jodido, permitiria ejecutar este tipo de codigos:

http://www.android.es/codigos-ocultos-en-android.html#axzz289PA0ZlY

Hoy he probado y me sale el imei. solucionado ya mismo.