Essa aconteceu na Ekoparty 2012, uma conferência de segurança que reúne os maiores hackers e crackers do mundo. Todo o tipo de profissional de segurança e guerreiros da internet (desenterrei) que adoram ver a net queimar estavam lá.
Ravi Borgaonkar, o hacker indiano que de hoje em diante será odiado pelos freetards e idolatrado pelos macfags demonstrou uma falha gravíssima, um exploit via códigos USSD. Ele exibiu uma URL capaz de modificar o código do SIM Card, que resetava e exigia uma senha nova. Quase todos os Androids estão vulneráveis à falha, que pode ser enviada via SMS ou NFC, ou lida por leitores de QR Codes.
Mas o pior estava por vir: ele demonstrou uma versão bombada do hack, se valendo de um código USSD da própria Samsung, usado para resetar aparelhos de forma remota; dessa forma basta um SMS ou um NFC mal intencionado para o apocalipse. A cobaia foi um Galaxy SIII: foi o aparelho passar por um sensor de NFC e ele sofreu um factory reset, mandando todos os dados pro beleléu, fechando com a morte dolorosa do SIM card. Em. Três. Segundos. Sem defesa. Ao dono do SIII, apenas as lágrimas.
Sério, vejam o vídeo:
E claro, não demoraria para as piadinhas pipocarem na net, prova de que ninguém resiste à boa e velha Schadenfreude.
O que tirar disso? Que não há sistema 100% seguro. Há pouco tempo falei da falha do SMS que afligiu o iOS. Ano passado vimos a queda da PSN, e posteriormente a XBox Live e a Steam também foram invadidas. Vemos usernames e senhas de diversos serviços vazarem dia após dia. Ninguém está imune, todos somos alvos em potencial.
Mas a forma desse ataque ao Android é ridícula por não ter defesa. A Samsung deixou a porta escancanrada com um capacho na soleira escrito “Welcome Hackers“. Não gostei nem um pouco de pagar caro num SIII e descobrir que os dados estão seguros por uma cabana de palha.
EDIT: a Samsung alega que fechou a porteira do SIII no último update, recomendando os usuários a manter o aparelho atualizado.