Arhive oznaka: bug

Telenor Srbija, „briga“ o korisnicima i Android Bug

Pre nekih mesec dana se po određenim IRC kanalima pojavila interesantna priča o grešci u Android operativnom sistemu koja omogućava udaljeno izvršenje USSD kodova.
Kao primer praktične zlonamerne primene je prikazana mogućnost udaljenog brisanja kompletnih podataka sa Samsung telefona.
Greška je u tome da Androidov web browser izvršava ussd kodove ubačene u src frejmova strana bez znanja korisnika.
Na Samsung telefonima postoji kod nalik USSD kodu kojim je moguće uraditi fabrički reset telefona.
Zašto ovo pišem sada, nakon što je vest o ovom bugu stara vest?
Na twitteru sam primetio tvit @TelenorSrbija u kome je postavljen sledeći link: http://www.telenor.rs/sr/O-Telenoru/Telenor-u-Srbiji/Novosti/2012/Upozorenje-za-korisnike-platforme-android/?pn=1 na kome se nalazi upozorenje korisnicima.

Kliknuo sam na link čisto da vidim o čemu se radi.
Na prvi pogled mi je sve delovalo kao pokušaj loše obaveštenog novinara, koji se ni najmanje ne razume u problematiku stvari, da upozori ljude na moguće problem.
Kažem na prvi pogled, dok nisam video da u linku stoji da je obaveštenje za sve korisnike Android platforme!
U obaveštenju se upozorava da je moguće izvršiti reset telefona i to samo za Samsung uređaje.
Ono što se u pomenutom obaveštenju prećutkuje je da pomenuta greška postoji na SVIM Android uređajima sa verzijama Androida ispod 4.0.4!
I ne samo to!
Greška, koju Telenor naziva „jedna od funkcionalnosti ovog operativnog sistema“, omogućava izvršenje SVIH mogućih USSD kodova na svim tim Android uređajima, koji trenutno čine većinu aktivnih uređaja!
Zašto je Telenor ovo prećutao?
Telenor je ovo prećutao zato što postoje USSD kodovi čije izvršavanje njima odgovara.
Na primer, izvršavanjem koda *111*4*1# se postpaid korisnicima aktivira opcija „Surfuj Brže“ koju Telenor naplaćuje.
Dakle, Telenoru odgovara izvršenje ovakvog koda.
Kako upozorenje kaže da greška postoji na Samsung telefonima, mala je šansa da ostali korisnici na ovo obrate pažnju, te bi time telenor lepo zaradio, obzirom da ne postoji mogućnost deaktivacije ove usluge.
Citiram odgovor koji mi je Telenor poslao putem maila:

Kao i kod svakog drugog dodatka, naplata se vrsi po aktivaciji i samo kod onih usluga kod kojih to ima smisla, postoji opcija deaktivacija usluge. Kod dodatke Surfuj Brze ne postoji mogucnost deaktivacije usluge iz prostog razloga sto ona ne utice na funkcionalnost drugih usluga vec Vam omogucava dodatnih 500MB koji se sabiraju sa Vasim postojecim saobracajem iz paketa. Cak i kada bi postojala mogucnost deaktivacije ne bi bila moguca „proporcionalna naplata“ usluge (u skladu sa tim koliko je saobracaj nepotroseno da se toliki deo novca nenaplati – jer je naplata vec realizovana).

Dakle, Telenor vam „ne može“ vratiti novac koji će vam naplatiti, iako ste slučajno izvršili kod.
Još bitnije, potpuno se prećutkuje ovakva mogućnost zloupotrebe ove greške.

Za slučaj da Telenor pokuša da izvrda odgovornost pod izgovorom da nisu bili obavešteni, mogu im poručiti samo da bolje da nisu postavljali ni ovakvo upozorenje.
Zaista ne priliči kompaniji, koja pokušava da se predstavi kao ozbiljna kompanija u oblasti informacione tehnologije, da priča o neobaveštenosti.
Jednostavno, ne izigravajte loše novinare, univerzalne neznalice, i ne uplićite se u nešto o čemu nemate pojma!
Povrh toga, lično sam vam nekoliko puta rekao da je neophodno da na USSD servise uvedete proveru potvrde aktivacije određenih usluga, a od vas dobio opet skoro pa laičko objašnjenje kako je to „nemoguće“.
Mogu postaviti ovde i vaše, pomalo smešno, objašnjenje kako je nemoguće dodati informaciju o stanju interneta u *311# meni.
Ponekad se zapitam da li samo imate za zaposlene totalne neznalice i nesposobnjakoviće, ili ste samo bezobrazni.
Iskreno, nakon svega mi se čini da su obe stvari u pitanju.

U svakom slučaju, sve ovo izgleda kao najobičnija farsa u kojoj Telenor pokušava da stekne nešto dobrog publiciteta „spašavajući korisnike od zloupotrebe“, a da ipak za sebe zadrži mogućnost malverzacije.

P.S. Svi vi koji ste pročitali ovo, a da niste Telenor, za vas imam dodatnu informaciju vezanu za ovu grešku.
Ovu grešku je moguće iskoristiti i kroz MMS, NFC tag i QR kod.
Ništa od ovoga nećete izbeći lako, jer ne znate kada bilo šta sadrži problematični kod.
Problem možete izbeći upotrebom alternativnog dialera.
Dodatna bezbednost je da ne postavite default dialer aplikaciju, jer će vas telefon pitati koju aplikaciju želite da izvršite pre upotrebe USSD koda.
Jedino se tako možete zaštititi!