Vulnerabilidad de teléfono Samsung con TouchWiz permite borrar contenido con un link

En la Conferencia de seguridad informática Ekoparty, uno de los más destacados de Latinoamérica, uno de los expositores, Ravi Borgaonkar, realizó una presentación titulada ”Uso malicioso de códigos USSD en redes celulares”, donde mostró una vulnerabilidad de ciertos teléfonos Samsung con la interfaz gráfica TouchWiz.

Borgaonkar demostró en la conferencia que mediante un simple código USSD (como cuando uno marca en algunas operadoras *300# o ##002# para obtener alguna información como el buzón de voz o el saldo del teléfono) se puede forzar a un aparato Samsung con Android e interfaz TouchWiz a realizar un ‘reseteo de fábrica’, o sea, a borrar casi todo el contenido del teléfono.

Lo que ocurre es que la interfaz TouchWiz tiene una característica de marcar automáticamente un código USSD cuando se presiona en un enlace en el navegador por defecto del teléfono (en vez de, por ejemplo, Chrome), como también a través de un código QR o por NFC.