Allgemein

ACHTUNG! – Schwere Sicherheitslücke bei Samsung Smartphones

Dieser Artikel ist an alle unsere Leser gerichtet, die ein Samsung-Smartphone besitzen. Es ist besondere Vorsicht geboten, denn es kann angehen, dass ungewollt und ohne Zustimmung ihr Smartphone komplett gelöscht wird.

Übeltäter sind die USSD-Codes, die schon seit vielen Jahren von den Herstellern genutzt werden, um verschiedene Befehle auszuführen. Um sie zu nutzen, muss man einfach die Ziffernfolge in das Tastenfeld des Smartphones eingeben und mit der Anrufen-Taste bestätigen.

Im weiteren Verlauf geht es speziell um die Ziffernfolge *2767*3855#. Diese setzt euer Smartphone komplett zurück, daher weise ich deutlich darauf hin, dass ihr für eventuellen Datenverlust selber verantwortlich seid, wenn ihr diesen Code ausprobieren wollt!

Nun zum Problem!

Ravi Borgaonkar ist es gelungen, diesen Code in eine manipulierte Webseite durch einen iFrame einzubinden und somit die Smartphones ahnungsloser Nutzer zu löschen.

Der Teufel Trick steckt im Detail, denn aktuelle Smartphones bieten die Funktion, Telefonnummern automatisch aus dem Internet anzuwählen. Genau dies nutzt der Entwickler nun aus, um den USSD-Code in eine angeblich normale Telefonnummer einzuschmuggeln.

Also würde man zum Beispiel auf einer Internetseite die Nummer 0123/456789 sehen und diese per Klick anwählen, doch nicht die gewünschte Nummer sonder der USSD-Code wird angewählt.

Der Befehl würde wie folgt aussehen:

<iframe src=”tel:*2767*3855#” name=”0123/456789” />

Es sollen alle Smartphones von Samsung durch diesen Befehl angreifbar sein, es sei denn sie haben ein Update auf Jelly Bean bekommen, was momentan nur beim Galaxy Nexus möglich ist.

Die Kollegen von Your-Android haben einige Möglichkeiten zusammengestellt, mit denen sie diese Gefahr umgehen können.

Zu diesen gehören:

  • Beim Surfen besonders vorsichtig sein und keine unseriösen Webseiten aufrufen
  • WAP-Push in den Einstellungen der Nachrichten-App deaktivieren, da man den Code auch über diese Funktion empfangen könnte
  • Nicht jeden QR-Code oder NFC-Tag auf der Straße scannen
  • Einen weiteren Dialer aus dem Play Store installieren, damit beim Aufrufen eines solchen Links eine weitere Abfrage kommt, welche App zum Öffnen benutzt werden soll
  • Nicht den Standard-Browser, sondern eine Alternative wie ChromeOpera oder Firefox verwenden
  • Und zuletzt: Hoffen, dass bald ein Update auf Android 4.1 kommt

Hier zum Schluss ein Video zur Sicherheitslücke:

[divider]

Quelle: Your-Android.de



Um auf dem Laufenden zu bleiben, folgt einfach unseren Facebook, Twitter oder Google+ Fanpages.

Das könnte dir auch gefallen: