Уязвимости с удалением данных подвержены также смартфоны HTC, Motorola и Sony. Сайт для проверки проблемы

[@sht0rm13]

На Galaxy Nexus (JB) прилоение телефон открылось, но имей не показал. Остались висеть *#06#
А вот Xiaomi M1 с последней MIUI показал имей :(

[@Cynic_spb]

Samsung Galaxy S официальная прошивка 2.3.6 — не уязвим (как ни странно), просто показал dealer

[@AlexGousev]

У меня тоже официальная 2.3.6, но IMEI показывает

[@Cynic_spb]

Переключился на родной ланчер, после этого стал IMEI показывать ):

[@disinvis]

У меня Galaxy Nexus через Opera Mobile никак на страницу не отреагировал, а через Хром открыл телефон и показал USSD-код, но набирать не стал.

>проблема известна сравнительно давно и исправлена Google, однако сами производители смартфонов не спешат использовать патч
Galaxy Nexus последний гуглофон, со всеми обновлениями, а косяк в гугловском хроме (браузер по-умолчанию!) частично остался.

[@Utter_step]

Открывает и не набирает — это правильное поведение

[@disinvis]

Мне кажется не совсем правильное. Точнее такое поведение не должно считаться правильным, имхо. Я же не инициировал набор номера, нафига мне диалер высветился? А если я случайно (на автомате) нажму на вызов?

[@disinvis]

Т.е. вы ни разу в жизни кнопку ОК/Next на автомате не нажимали (или не пытались), когда вылетало случайное окно или при установки программ? Но это было лишь второй вопрос.

А не правильно то, что без моего ведома запускается звонилка. Функция-то для удобного и санкционированного набора номера из браузера. И должна эта функция работать так же, как в СМС, когда присылают номер телефона. Т.е. не набирать этот номер, не вызывать самостоятельно диалер при получении СМС, а дождаться реакции пользователя, когда он сам ткнёт в нужный телефон.

[@KoryaTo]

HTC Desire HD.
Стандартный браузер — показал имей.
Opera — наплевала и продолжила работать.

[@vovkab]

Nexus S и Galaxy Nexus оба показывают звонилку с номером, версия 4.1.1 на обоих, так что все ок

[@dmiceman]

HTC Wildfire S — vulnerable.

[@RomanL]

+1 :(

[@skobkin]

HTC Wildfire S, CyanogenMod 7.2 — тоже. А вот при работе через Opera Mobile — нет.
Сначала попробовал через Opera Mobile, подумал, что уязвимости нет. Догадался попробовать через встроенный браузер — увидел IMEI. Не зря сделал Opera дефолтным браузером :)

[@pietrovich]

Подскажите, пожалуйста, как CM7 на него вкатить удалось. Хочу жене посетапать, но что-то до сих пор зарутовать так и не получилось…

[@skobkin]

Официальный анлок на htcdev.com/bootloader/
А далее уже установка как на любом разлоченном девайсе.

[@FIZIK]

Обычный Wildfire не S на стоковой прошивке аналогично

[@Dmitry_G]

HTC Wildfire S CM9 Стандартный браузер — уязвим.

[@Groove]

HTC Desire S
[+] show dealer
[+] show IMEI
Напишите плиз кто пробовал еще с маркой и моделью аппаратов

[@Anonym]

Какая прошивка? У меня на оф. 4.0.4 ничего не произошло.

[@Groove]

Версия Android 2.3.5
Версия HTC Sense 3.0
Номер ПО 2.10.401.9

[@Seekeer]

А как вы на него 4ый андроид поставили?

[@silentnuke]

ну во первых кастомы давно были, и даже с 4,1
во вторых, htc выпустили недавно официальный апдейт на 4.

[@Anonym]

htcdev.com — файл RUU.
Вот форум с подробным описанием

[@beono]

Desire S
Android 2.3.5
Sense 3.0
Software
2.10.401.9

Показаз диалер и имэи

[@rudevich]

2.3.7
MIUI-2.1.20
ничего не произошло… )

[@TiTanium]

HTC Desire S
Android 4.0.3
Sense 4.0
ПО: Fallout Evolution V5.0.0

[@TiTanium]

Показал IMEI, открыл через Firefox

[@TheMatrix]

Huawei Honor U8600
Android 4.0.3
И через стандартный браузер и через Dolphin HD показывает IMEI сразу :(

[@MainNika]

HTC Evo3D, официальный android 4.0.3, уязвим…

[@Evengard]

Ого! Вы — первый, кого я вижу с Евой3Д кроме меня в России :)

[@MainNika]

Вы root делали?

[@Evengard]

Сразу после покупки, root и S-OFF

[@MainNika]

Я начал делать после ota обновления. А там версия загрузчика намного выше, чем в мануалах. С тех пор ничего не предпринимал.

[@Evengard]

Wire Trick пробовали?

[@DeeZ]

Пичалька. у меня 2.3.4, все думал обновляться нет, но раз даже эта дыра осталась то смысла нет.

[@Anonym]

HTC Desire S (Android 4.0.4) — страница открылась, ничего не произошло.

[@Zuncl]

Huawei Honor (U8860) Прошивка B924
[+] show dealer
[+] show IMEI

[@Nickel3000]

И чтобы было проще QR на dylanreeve.com/phone.php:

[@RomanL]

А последствия бага на HTC такие же? Обнуляется все?

[@dmiceman]

Подозреваю, что если подставить нужные циферки в tel:la-la-la, то да.

[@azeffin]

HTC Desire CM 7.1.0 — показал IMEI

[@TIgorA]

LG Optimus One (2.3.3) Go Launch

Opera Mobile — ничего не происходит.
Dolphin Browser — показывает *#06# в приложении звонков

IMEI не показывает автоматом.

[@Dudka]

Коль стоит Go Launcher, то и диалер его кастомный в нагрузку наличествует.
Он не подвержен уязвимости.

[@tyderh]

Тот же девайс, AOKP (4.0.4)

Уязвим.

[@Odd_Wanderer]

LG GT540 — тоже самое

[@defo]

LG-P509
2.3.4 CM
Уязвим

[@pluton_od]

LG P500, Android 2.2 (V10d):

Opera Mobile — показывает страницу.
Browser — спрашивает, открыть в Messaging или Phone. При выборе телефона показывает *#06# в звонилке.

[@safright]

Sony Ericsson Live With Walkman (скорее всего и все аппараты 2011 года) с последним обновлением и ICS — все нормально, показывает приглашение этот номер набрать в стандартной звонилке. Так что, скорее всего, сонерики закрыли дырку, нужно только обновляться.

[@Fiery_Fenix]

Подтверждаю. Sony Ericsson Xperia Pro с последним обновлением (ICS 4.0.4) — все ок, просто предлагает набрать.

[@Colobock]

SE Xperia Arc 4.0.4 (4.1.B.587) — открывает dialer и показывает номер. вызов не производит.

[@router]

CM7 и CM9 (основанные на них MIUI тоже) подвержены, но уже тестируюn патч.

Есть приложение Auto-reset blocker для блокировки вызова USSD из URL.

[@router]

Речь про встроенный браузер. В Opera, например, данная атака не работает.

[@lexaexe]

moto defy + opera mini -> IMEI показал.

[@router]

Забыл, что есть Opera mini. Выше мой комментарий про Opera mobile.

[@pietrovich]

Defy на CM7, предложил выбрать «звонилку». Стандартная уязвима, Go Dialer — нет

[@limitium]

defy + default browser -> показал

[@yktoo]

Ещё есть TelStop на ту же тему.

[@RageNoir]

Gigabyte Gsmart 1345 попросил набрать *06 (не уязвим).

У двухсимочных телефонов, перед набором, должен появится вопрос с помощью какой симки звонить. Теоритически такие телефоны не должны быть уязвимы?

[@BupycNet]

Открою страшную тайну. Системные коды НЕ ТРЕБУЮТ нажатия кнопки посыла вызова. Как проверить? Откройте диалер и введите *#06# — после набора последнего символа он покажет вам IMEI.
Кстати полезная фича *#*#4636#*#* — откроет проверку телефона, также там есть гибкие настройки сети. Рекомендую для принудительного включения 3G на 4.1.
Так вот по идее бага не в том, что он звонит, а в том, что там при открытии интенда он делает то же действие что при юзере.
То есть ссылка вида tel:112 никуда не позвонит, а просто откроет диалер.

[@Disconnecter]

Motorola Atrix 4g CyanogenMod 7.2.0-olympus
[-] show dealer
[-] show IMEI

[@Disconnecter]

В опере не сработало. А вот если в штатном открывать то
[+] show dealer
[+] show IMEI

[@Gargool]

HTC Desire show dealer

[@Mithgol]

Вместо звонилки показывает дилера?

Ну это смотря на чём сидеть, я так думаю.

[@Gargool]

главное знаю, что мне тоже есть чего бояцо… (

[@Heliki]

Увидел упоминание своего Sony Xperia Arc S и полез проверять. IMEI не появляется. Прошивка родная последней версии (Андроид 4.0.4).

[@DarkestMaster]

HTC Incredible S (Android 4.0.4, Sense 3.6)
Дефолтный браузер — показал звонилку и IMEI
Chrome — не показал даже звонилку

[@shaddyk]

Интереса ради перешел по ссылке с WP7.5
Звонилка открылась, но спросила уверен ли я, что хочу набрать номер

[@Raphael]

Зашёл по ссылке с винфона, показал окошко Edit phone number с кнопками call и cancel, в поле телефона введён *#06#, но при нажатии на call выводит ошибку «Please enter service codes directly from the fhone's keypad.»
Так что одного хотения набрать номер слишком мало!

[@SonicGD]

HTC Desire HD 4.1.1
show dealer в родном браузере

В опере не срабатывает

[@Dudka]

Чей кастом пользуете? Устраивает?

[@SonicGD]

forum.xda-developers.com/showthread.php?t=1778202

Вполне устраивает.

[@maxbl4]

HTC One X на стоке из хрома показал IMEI. Делаю nandroid backup на всякий случай…

[@ASP]

thl W1
[+] show dealer
[+] show IMEI

[@dencat]

HTC Desire HD (Android 2.3.5) — IMEI появляется.
Поставил Auto-reset blocker

[@Yan_Alex]

HTC Incredible S, c последней версией Android и HTC Sense обновленными по воздуху уязвим ;-(

[@LesorubD]

LG Optimus Black с последней официальной прошивкой — уязвим =(

[@hAh0L]

Также LG Optimus Black P970 уязвим на Android 2.3.4 (Fiesta-4 — на базе последней официальной V20C)

[@dshster]

Подтвержаю и через браузер Dolphin.

[@Unixspv]

Китайский Zopo ZP300 тоже подвержен уязвимости

[@dreamerchant]

ZOPO zp500 тоже

[@dreamerchant]

Поставил это себе.

[@hAh0L]

Спасибо

[@dreamerchant]

Не за что, он выше упоминается.

[@lexaexe]

спасибо

[@TeXHaPb]

Zopo zp100 тоже.

[@intnzy]

SE Xperia Arc + CM9 в виде релиза FXP139 — и звонилка и IMEI вылезло

[@SidexQX]

Galaxy S2 стоковая показал IMEI код предварительно спросив какой дайлер пользовать…

[@MainNika]

Внезапно временное решение — поставить еще один дайлер.

[@Evengard]

… или скайп, который тоже любит выступать в роли дайлера.

[@warner]

HTC Incredible S с прошивкой Codename Android 3.5 (Android 4.1.1).
Стандартная звонилка андроида показала *#06#
ICS Dialer — показал IMEI
exDialer — показал IMEI

[@sergeyZ]

HTC Desire (Android 2.3.3, RuHD 2.1.0)
Показал IMEI не только из встроенного браузера, но и из Firefox 15.

[@Kozy]

Motorola Razr (Android 4.0.4 stock EU + jailbreak)
Открылась звонилка с *#06#

[@Leeb]

Sony Xperia U (2.3.7)
Через оперу даже звонилка не вылезла
Через дефолтный браузер если вбивать руками адрес, то открывается только звонилка, если через QR-код, то и звонилка открывается, и imei показывает.

[@aim]

cm9, chrome 18 — подвержен уязвимости

[@creage]

SE Xperia — vulnerable

[@maseal]

SE Xperia Ray (4.0.2.A.0.62) — vulnerable :(

[@Violinist]

Xperia ray 4.0.4 — просто предлагает набрать

[@message]

HTC Sensation / Android 4.0.3 / Sense 3.6 / Software number 3.33.401.6

[@message]

Уязвим

[@satellight]

Подтверждаю. И от браузера не зависит (показал IMEI и через родной браузер, и через Dolphin)

[@nick4fake]

Поразвешивать такие QR коды на зеркалах в туалетах клубов, пусть у гламурных кис не будет денег туда ходить и спамить мир своими фотографиями.

[@router]

iPhone нет пока в списке поддерживаемых аппаратов :)

[@AusTiN]

Более того, iPhone сходу спрашивает — «набрать номер?» :)

[@amaranth]

Samsung Galaxy Note, Android 4.0.3 уязвим

[@bald2b]

4.04, в хроме открыло звонилку и всё

[@Dudka]

HTC Desire HD 4.0.4
С родным диалером уязвим.

[@dkiyatkin]

Motorola XT720 уязвим

[@nE0]

Motorola Droid Razr 4.0.4 уязвим :(

[@Kozy]

Странно, что у вас уязвим, а у меня нет.
672.180.41.XT910.Retail.en.EU
Jailbreak
Проверял через QR код программой Scan + Google Chrome

[@nE0]

у меня 180.33
проверял через QR код Goggles + адндроидовским барузером.

[@NoOne]

HTC Desire Z, JB 4.1.1, дефолтный браузер
[+] показала звонилку
[-] *#06# набран, но не выполнен

[@Roler]

Acer Liquid E, Android 2.2 — неуязвим!)

[@Gaikotsu]

А вот Acer Liquid MT уже увы — и диалер вызывает и имей показывает.

З.Ы. Android 2.3.5

[@Kakao]

sony xperia P (android 4.0) через хром открывается звонилка с введенным кодом *#06# но сам вызов не инициирует.

[@copyhold]

Sony XPERIA Ray, родной андроид (2.3)
показывает IMEI и звонилку.

[@evgabd]

LG Optimus 2X CM7 Go Launcher EX.

Штатный и Dolphin — уязвимы. Пробовал стандартную звонилку и TouchPal Dialer.

[@sublimelion]

One X, прошивка Revolution HD 9.1.0 — показал IMEI :(

[@podwhitehawk]

Google Nexus 7 (JB 4.1.1):

(оригинальная картинка)

Потестируйте Kindle Fire или B&N Nook Color/Tablet у кого есть!

[@anycolor]

с каких пор в Google Nexus появилась возможность звонить? Тоже самое с Kindle Fire — аппарат не имеет дайлера и не может выполнять USSD насколько я понимаю, т.к. нет GSM на борту.

[@podwhitehawk]

звонить конечно не получится, но ресетнуть девайс — чем не уязвимость?
вспомнил еще про 1 планшет с 3G модулем. проверьте samsung galaxy tab P1000, у кого есть.

[@anycolor]

насколько я понимаю USSD коды выполняются только в сетях GSM (более сведующие люди меня поправят). Если планшет/устройство не поддерживает GSM, значит и не сможет выполнить что-либо через USSD

[@podwhitehawk]

USSD коды да, он не сработает, если небудет GSM модуля. У товарища есть таблетка с 3G модулем — на днях попробую.
но как описал BupycNet выше, есть еще системные комманды, которые не требуют GSM модуля и в теории должны выполнятся на девайсах без оного.
вот небольшой список таких кодов.

[@anycolor]

я к тому и говорил, что Kindle Fire и Google Nexus изначально нет смысла проверять, т.к. у них нет GSM и нет возможности подключить 3G

[@PaGrom]

Galaxy S3 CM10
Открыл звонилку, больше ничего не показал.

[@arraen]

droid 2 global уязвим, по совету автора оригинальной статьи поставил стороннию звонилку (GO dialer), помогло

[@J_o_k_e_R]

Galaxy Tab 2 10.1 (P5100) c CM9 уязвим. Закрыл дырку через TelStop.

[@AusTiN]

GalaxyS 2, 4.0.4 — уязвим.

[@evil_random]

HTC Desire V — vulnerable.

[@Aleksey_M]

HTC Legend — показал imei в опере и стандартном браузере.

[@SemDoc]

Motorola atrix 2
2.3.6 сток
показал имеи.
Сначала как многие уже писали, попробовал в опере мобайл, которую и использую в 95% случаях — результата с оперой безопаснее :)

[@Oreolek]

Acer Liquid @ MIUI 2.4 — уязвим :-(

[@anycolor]

Galaxy Ace, 2.3.3 — уязвим.

[@hub]

Motorola Milestone (CyanogenMod-7.2.0-RC0-Milestone-KANG)

IMEI отобразился сразу, но если страничку скачать, подправить и указать, например, *#102#, то только высветился dialer с набранным номером.

[@MrJeos]

HTC HD Mini не уязвим. Я в безопасности))) А что вы хотели-то, Windows Mobile 6.5…

[@up01]

Xperia S: звонилку открыл, имей не показал, т.е. все ок.

[@123150]

Xperia mini pro 2.3.4 — уязвим

[@MrNobody]

Xperia mini pro — сборка 4.1.B.0.587, версия android 4.0.4 (обновился вчера) — показывает экран и введенным IMEI запросом, сам не вызывает.

[@MrNobody]

Уточнение:
— встроенный браузер и Opera mini показывают клавиатуру набора с введенным MEI запросом, сам не вызывает.
— Opera Mobile вне зависимости от user agent(mobile или desktop) вообще ничего не вызывает и IMEI не показывает.

[@Ligas]

Samsung GT-N7000 Galaxy Note уязвим! открылся IMEI и звонилка.

[@Tomasina]

Samsung Galaxy Note (GT-N7000) — открылись звонилка и IMEI.

[@Ligas]

на маркете есть лекарство кстати!
play.google.com/store/apps/details?id=org.mulliner.telstop

[@evgabd]

бррр, лучше еще одну звонилку поставить, чем такое лекарство принимать.

[@Ligas]

кому как…

[@evgabd]

Ну лично меня в дрожь бросает от такой иконки :)

[@router]

В CM7 и CM9 уже применили патч от данной проблемы. Уже можно обновиться.