Pembaruan, 09/26: Samsung telah memberi tahu kami bahwa firmware Galaxy S3 terbaru memperbaiki eksploit ini. Pengujian kami sendiri telah menunjukkan ponsel lain, terutama model Galaxy S2, mungkin masih beresiko. Jika masih khawatir, Anda dapat memeriksa uji kerentanan USSD kami untuk melihat apakah ponsel Anda rentan.
Kerentanan keamanan utama telah ditemukan di beberapa smartphone Samsung berbasis TouchWiz, termasuk Galaxy S2 dan model Galaxy S3 tertentu pada firmware lama. Bug itu pertama kali didemonstrasikan beberapa hari yang lalu oleh peneliti keamanan Ravi Borgaonkar di konferensi keamanan Ekoparty. Ini melibatkan penggunaan satu baris kode di halaman web berbahaya untuk segera memicu reset pabrik tanpa meminta pengguna, atau memungkinkan mereka untuk membatalkan proses. Yang lebih serius adalah kemungkinan bahwa ini dapat dipasangkan dengan kesalahan serupa untuk membuat kartu SIM pengguna tidak dapat dioperasikan. Dan karena kode berbahaya dalam bentuk URI, kode itu juga dapat dikirimkan melalui kode NFC atau QR.
Verizon Galaxy S3 kami tidak disetel ulang oleh kode jahat yang tertanam di laman web, meskipun kami dapat memicu pengaturan ulang menggunakan kode yang serupa yang diikat ke hyperlink. Pengembang seluler Justin Case memberi tahu kami bahwa masalahnya telah diperbaiki dalam AT&T terbaru dan firmware Galaxy S3 internasional, meskipun perangkat yang belum diperbarui mungkin tetap rentan. Yang lain telah melaporkan bahwa perangkat seperti Galaxy Ace dan Galaxy Beam juga terpengaruh. Sejauh yang kami tahu, bug tersebut tidak mempengaruhi ponsel Samsung yang menjalankan Android, seperti Galaxy Nexus.
Kerentanan adalah hasil dari cara aplikasi dialer asli Samsung menangani kode USSD dan tautan telepon. Kode USSD adalah kombinasi karakter khusus yang dapat dimasukkan pada keypad untuk melakukan fungsi tertentu, seperti mengaktifkan penerusan panggilan, atau mengakses menu tersembunyi di perangkat. Pada ponsel Samsung, ada juga kode USSD untuk mengatur ulang ponsel (dan mungkin kode lain untuk nuking SIM Anda). Ini, dikombinasikan dengan fakta bahwa dialer secara otomatis menjalankan tautan telepon yang diteruskan oleh aplikasi lain, menghasilkan masalah yang sangat buruk bagi siapa pun yang kurang beruntung untuk dijalankan oleh halaman web jahat.
Ada, tentu saja, aplikasi lain dari kesalahan ini - misalnya, kemampuan untuk secara otomatis menjalankan nomor melalui dialer dapat digunakan untuk memanggil nomor telepon tingkat premium. Tetapi fakta bahwa hanya dengan mengunjungi situs web dapat mengatur ulang telepon Anda dari pabrik, bersihkan penyimpanan internal Anda dan jangan gunakan SIM Anda adalah masalah yang sangat serius. Jadi kami sarankan Anda memperbarui perangkat lunak Anda jika Anda menjalankan S3, dan jika tidak, kami sarankan menggunakan dialer pihak ketiga seperti Dialer One sampai semua ini reda.
Kami telah menghubungi Samsung untuk mengomentari masalah ini, dan kami akan terus memberi Anda informasi apa pun yang mereka berikan.
Sumber: @Paul Olvia; melalui SlashGear, @backlon, @teamandirc
