Vollständige Version anzeigen : Android Sicherheitslücke: USSD-Steuercodes


Blackb!rd
28.09.2012, 12:48

Das Problem, dass Android-Smartphones automatisch in Webseiten eingeschleuste USSD-Steuercodes ausführen, zieht weitere Kreise. Auch Geräte anderer Hersteller als Samsung sind betroffen: So könnten Angreifer bei bestimmten HTC-Handys etwa die SIM-Karte unbrauchbar machen.


Nach dem Aufruf der Testseite war unsere SIM-Karte gesperrt. Vergrößern heise Security gelang es, eine Testseite zu erstellen, die mehrfach einen bestimmten USSD-Befehl in Kombination mit einer falschen PIN an das Telefonmodul des Smartphones schickt. Auf einem
HTC One XL wurde unmittelbar nach dem Aufruf der Testseite die SIM-Karte gesperrt. Zur Entsperrung sollten wir die PUK eingeben. Theoretisch hätten wir es auch noch weiter treiben und die Seite so präparieren können, dass sie die PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte.

Wer auf eine solche Seite gelockt wird, ist über die eingelegte Karte also nicht mehr mobil erreichbar. Abhilfe schafft nur eine neue SIM-Karte, die man – in der Regel kostenpflichtig – beim Mobilfunkprovider bestellen muss.

Bislang scheinen ausschließlich Android-Smartphones für dieses Problem anfällig zu sein. Bei iPhones werden die Steuercodes offenbar nicht einmal dann an das System weitergereicht, wenn der Anwender in dem auftauchenden Dialog auf "Anrufen" tippt.

Ob das eigene Gerät betroffen ist, erfährt man gefahrlos über unseren USSD-Check, den Sie auch komfortabel über USSD-Check | heise Security (;heise~de/ussd) und USSD-Check | heise Security (;ct~de/ussd) erreichen. Zeigt das Handy beim Öffnen der Seite automatisch seine 15-stellige IMEI-Nummer an, ist es sehr wahrscheinlich verwundbar.

Der Angriffscode kann nicht nur auf Webseiten, sondern auch in QR-Codes lauern. Es gibt bislang unbestätige Gerücht, laut denen Angreifer auch gezielt Leute attackieren können, indem man ihnen eine WAP-Push-Nachricht oder HTML-Mail schickt.


Dieser QR-Code führt direkt zur USSD-Test-Seite. Schützen kann man sich, indem man die Apps TelStop oder NoTelURL über Google Play installiert. Die Apps fangen das Aufrufen von TEL:-URLs ab, über die das Einschleusen der Steuercodes möglich ist;

Quelle: Heise~de (;;;heise~de/newsticker/meldung/Android-Smartphones-Bei-USSD-Anruf-SIM-Tod-1718789;html)


Ich habe das Problem gerade an meinem HTC One X geprüft, die Gefahr besteht! Die App NoTelURL blockiert die Codes indem es die Auswahl bietet ob es selbst oder die TelefonApp die Steuercodes verarbeiten soll - Damit hat sich das Problem sehr einfach gelöst!


Gruß Blackb!rd

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Palme
28.09.2012, 14:39

habs vor ein paar Tagen schon mitbekommen... sehr einfach Lücke eigtl wenn man überlegt, dass die Codes jedem bekannt sind. Bei iOS kommt immer erst eine Abfrage ob man das machen will. Aber mit mobilen Systemen sollte man nur auf sicheren Seiten surfen die sind eben noch in den Kinderschuhen (egal ob Android oder iOS, Wm o;ä;).


Blackb!rd
28.09.2012, 18:47

habs vor ein paar Tagen schon mitbekommen... sehr einfach Lücke eigtl wenn man überlegt, dass die Codes jedem bekannt sind. Bei iOS kommt immer erst eine Abfrage ob man das machen will. Aber mit mobilen Systemen sollte man nur auf sicheren Seiten surfen die sind eben noch in den Kinderschuhen (egal ob Android oder iOS, Wm o;ä;);

Gebe ich dir vollkommen recht, ich surfe mit meinem handy fast ausschließlich auf wikipedia und den seiten die ich kenne. Auch für Apps gucke ich mir immer erst die Bewertungen auf renomierten Portalen an bevor ich diese lade;Die Sicherheitstechnik für Smartyphones wird leider von vielen noch sehr vernachlässigt!!

Gruß Blackb!rd


Ähnliche Themen zu Android Sicherheitslücke: USSD-Steuercodes
  • Android Neustart-Schleife nach Update - Android zurücksetzen
    Hallo zusammen Ich habe ein unheimlich nervendes Problem mit meinem neuen Galaxy Tab 2 7;0. Zur Zeit kann ich das Tablet selten mehr als 10 min nutzen, da es sich dann aufhängt und neustartet. Hab auch schon von einigen anderen von diesem Problem gehört. Problem bei mir ist jetzt, dass es [...]

  • Samsung Galaxy Tab 3 7Zoll manuell Android updaten? Und kleinere Android fragen
    Zum einen wollte ich wissen ob und wie man bei einem galaxy tab 3 7 zoll manuell eine aktuelle android version aufspielen kann, da ich ein stablet von 1und1 hab aber dort keine updates nach 4;1;x möglich sind;d;h. es wird angezeigt es ist die aktuellste verfügbare version. edit: ich las gerade da [...]

  • SteuerCodes
    Anklopfen: Einschalten: *43# / Ausschalten: #43# / Status prüfen: *#43# Pin ändern: **04*Alte PIN*Neue PIN*Neue PIN# PIN ändern und gleichzeitiges entsperren: **05*PUK*Neue PIN*Neue PIN# Rufnummernübertragung: Einschalten: *31#Rufnummer / Ausschalten: #31#Rufnummer / Status pr [...]



raid-rush.ws | Imprint & Contact pr