Um novo problema parece estar a atingir os telefones Google da linha Nexus. Segundo foi reportado por um administrador de sistemas, um tipo específico de mensagens SMS consegue provocar problemas na utilização normal dos telefones da Google.
Os equipamentos em que se detectou o problema são para já o Samsung Nexus, o Nexus 4 e o novo Nexus 5. Nestes equipamentos, os problemas surgem nas versões 4.X do Android.
O problema foi detectado por Bogdan Alecu um administrador de sistemas da empresa de IT Holandesa Levi9, e assenta no recurso a um tipo específico de mensagens SMS pode provocar problemas nesses equipamentos. Na prática trata-se de um ataque de negação de serviço recorrendo a SMS.
Os problemas que foram detectados passam pelo reiniciar dos terminais, a perda de ligação às redes de dados e até a simples problemas com a aplicação de SMS’s do Android.
O problema manifesta-se quando os equipamentos recebem um número elevado de SMS’s do tipo Class 0 ou Flash. Segundo foi reportado esse número deverá rondar os 30 SMS’s.
Este tipo de mensagens são de imediato apresentadas no ecrã dos dispositivos, podendo depois ser eliminadas ou gravadas nos dispositivos durante a sua visualização, não apresentando qualquer sinal de alerta aos utilizadores, mesmo com estes definidos para os normais SMS’s.
Para além do problema dos telefones reiniciarem, na maioria dos casos os utilizadores têm códigos de acesso (Pin) aos cartões 3G e por isso estes equipamentos ficam impossibilitados de receberem chamadas, SMS’s ou até emails, sem que o utilizador tenham noção de tal situação.
O vídeo seguinte mostra o funcionamento desta vulnerabilidade e, apesar de não ter reproduzido a falha mais grave, o equipamento teve de ser reiniciado por ter deixado de responder correctamente.
Depois de ter descoberto esta vulnerabilidade, Bogdan Alecu contactou por diversas vezes a Google, reportando esta situação, mas recebeu quase sempre respostas automáticas.
Numa das respostas pessoais enviadas, um elemento da equipa de segurança da Google respondeu que o problema seria resolvido na versão 4.3, o que na verdade não aconteceu.
Mais de 20 equipamentos foram testados e nenhum deles apresentou problemas, para além dos Nexus já referenciados.
De notar que este problema, mesmo que com um grau de criticidade relativamente baixo, é possível de ser reproduzido de uma forma simples. Vários operadores permitem o envio desse tipo de SMS’s.
Esta vulnerabilidade foi apresentada por Bogdan Alecu, na passada sexta-feira, na conferência de segurança DefCamp, que decorreu em Bucareste, na Roménia.
Mais um problema para a Google e para os utilizadores dos seus equipamentos, que estão expostos a uma vulnerabilidade.
A Google, em resposta ao problema, já veio agradecer a sua apresentação e indicou também que está a desenvolver todos os esforços para o resolver.