Sembra assurdo eppure secondo quanto emerso nelle scorse ore basterebbe una sola riga di codice HTML per poter cancellare tutti i dati contenuti nel vostro smartphone Samsung Galaxy S III. In poche parole un Factory Reset che riesce a cancellare immagini, contatti, filmati e documenti contenuti nel vostro dispositivo. Si tratta certamente di una vulnerabilità che potrebbe portare danni a milioni di utenti. A scoprire tale vulnerabilità è stato Ravi Borgaonkar un ricercatore che durante alcuni test ha scoperto il bug nell’interfaccia TouchWiz in grado di cancellare tutti i dati dell’utente da remoto.
Brutte notizie anche pe tutti i possessori di Galaxy S II, Galaxy Beam, Galaxy Ace e Galaxy S Advance, sembra infatti che anche questi modelli di smartphone, sempre prodotti da Samsung, siano caratterizzati dallo stesso bug, mentre sembra essere completamente immune il Galaxy Nexus. Il problema sembra risiedere nella comunicazione tra i server dell’operatore di telefonia mobile e gli smartphone sopra elencati che sfruttano il protocollo USSD, il problema sta nel fatto che l’interfaccia TouchWiz interagisce con il protocollo e inviando allo smartphone un codice manomesso si riesce a cancellare tutti i dati in esso archiviati. Come potete facilmente immaginare, il codice maligno può essere contenuto si in una pagina internet ma anche in un SMS, in codice QR ma anche in un messaggio di posta elettronica o in un tag NFC.
Ciò che differenzia il Galaxy Nexus dagli altri smartphone di Samsung è il fatto che mentre il Nexus monta la versione originale di Android gli altri dispositivi sono caratterizzati dall’interfaccia di Samsung che anziché visualizzare lo script lo processa automaticamente e l’utente vedrà cancellare tutti i suoi dati senza poter minimamente intervenire ed annullare il processo. Altra procedura attivabile con questo bug, secondo Borgaonkar, è la possibilità di poter cancellare sia i dati del dispositivo sia i dati contenuti nella SIM Card.
Non rimane quindi che attendere l’uscita di una pach che risolva definitivamente il problema nell’attesa è possibile tamponare disattivando la funzionalità Service Loading.
In attesa di una soluzione da Samsung, il problema può essere mitigato , ovvero il caricamento automatico di una pagina web. Inoltre sembra che il codice funzioni solo con il browser stock e con Galaxy S III originali, sui quali non è stata installata una ROM custom.