Bogdan Alecu, uno sviluppatore dell’ azienda olandese Levi9, ha scoperto un bug nelle versioni di Android dalla 4.0 Ice Cream Sandwich in su (inclusa 4.4 KitKat) per gli smartphone Galaxy Nexus, Nexus 4 e Nexus 5 (forse anche Nexus S?), che porta al crash e conseguente riavvio del telefono o alla perdita di connessione alla rete cellulare.
Il bug si manifesta quando uno di questi Nexus riceve una raffica di circa 30 SMS di un certo tipo, i flash SMS definiti dallo standard GSM. Il tutto è stato dimostrato alla DefCamp Security Conference di Bucarest.
I flash SMS sono ricevuti senza alcun avviso sonoro, e visualizzati come dei popup sullo schermo (i quali oscurano lo sfondo). Se ne viene ricevuta una raffica, i popup si impilano l’ uno sull’ altro, fino a provocare il blocco del dispositivo, con le conseguenze già menzionate.
Se il telefono è bloccato dal PIN, rimarrà scollegato dalla rete.
In rari casi il telefono non si riavvia, ma perde comunque la connessione.
In questo video è mostrato il tutto:
Gli SMS flash non sono certo oggetti che riceviamo tutti i giorni, e l’ evento, se non provocato di proposito, è più che raro, ma non è comunque una vulnerabilità di poco conto.
Ciliegina sulla torta, Google sarebbe da tempo a conoscenza di tale vulnerabilità: sembra che avesse promesso la risoluzione in Android 4.3 Jelly Bean. Nonostante ciò, è ancora al suo posto.
Ma c’ è già un fix amatoriale: si tratta dell’ app Class0Firewall (gli SMS Class0 sono un sinonimo di SMS flash). Basta installarla, e settare il numero massimo di SMS flash che si possono ricevere in un dato lasso di tempo.
Non è certo una soluzione radicale, ma quantomeno non consente le condizioni per la manifestazione del bug.