Cerca nel blog

2009/01/08

Cellulari Symbian vulnerabili, SMS bloccati

Symbian e la Maledizione del Silenzio


Questo articolo vi arriva grazie alle gentili donazioni di "amotta" e "ebay".

Sembra il nome di un romanzo d'avventura, ma è una magagna abbastanza seria per i possessori di telefonini. I cellulari che usano il sistema operativo Symbian S60 Second e Third Edition Feature Pack 1 (quasi esclusivamente modelli Nokia, ma anche qualche Sony Ericsson, Samsung, Panasonic e Lenovo) sono vulnerabili a un attacco che li rende incapaci di ricevere SMS e MMS.

L'unico rimedio (a parte l'installazione di un antivirus) è un reset profondo del telefonino, che comunque rimane in grado di fare e ricevere chiamate. L'attacco è stato chiamato pittorescamente "Curse Of Silence", ossia "la maledizione del silenzio".

Secondo l'advisory del Chaos Computer Club tedesco, si tratta di un denial of service (demo video qui) basato su un difetto nella gestione di un particolare tipo di SMS. All'aggressore basta creare un SMS contenente un indirizzo di e-mail lungo più di 32 caratteri seguiti da uno spazio e inviare l'SMS avvelenato specificandone il tipo come "Internet Electronic Mail". Per tutte le versioni del sistema Symbian tranne la 3.1 basta un singolo SMS per completare l'attacco: per i cellulari con versione 3.1 è necessario un invio ripetuto varie volte. Non occorre che il destinatario legga il messaggio.

Sono immuni a questa forma di attacco i cellulari che usano Symbian S60 Third Edition Feature Pack 2, Symbian S60 Fifth Edition e Symbian OS 9.3. Per sapere se il vostro cellulare usa Symbian e una sua versione vulnerabile, consultate il manuale del telefonino.

Le probabilità di finire vittima di questa "maledizione" sono scarse e l'attacco
in sé non devastante. Ma l'esistenza di questa falla è indicativa di una scarsa attenzione alla sicurezza e sottolinea efficacemente il fatto che un "semplice" messaggio ha in realtà un potenziale d'attacco inaspettato.

Fortinet e F-Secure hanno già predisposto antivirus su misura.

Nessun commento: