USSD-Sicherheitslücke auf vielen Android-Smartphones
Was anfänglich nach einer Sicherheitslücke in populären Samsung Smartphones aussah zieht nun sehr viel größere Kreise im gesamten Android-Markt: Mittels eines einfachen URL-Aufrufs können USSD-Steuerbefehle an das System weitergegeben und ausgeführt werden. Diese können etwa die SIM sperren oder im schlimmsten Fall das komplette System resetten.
USSD-Codes sind Steuerbefehle die direkt über die Wählfunktion ins Smartphone eingegeben werden und je nach Hersteller und Modell verschiedene Funktionen auslösen können – etwa den Einstieg in Servicemenüs, Systemtests und ähnliches. Diese Codes werden bei fast jedem Android-Gerät automatisch ausgeführt ohne dass der Code nach der Eingabe bestätigt werden muss.
Im mobilen Browsing gibt es den Standard, dass Links die mit dem „Tel:“-Protokoll ausgezeichnet sind, die Wählfunktion des Smartphones aufrufen und die verlinkte Nummer eingeben – und da schließt sich der Kreis. Doch leider ist es auch möglich solche Links aufzurufen ohne dass der User ihn unbedingt angeklickt haben muss – etwa durch Weiterleitungen, iFrames oder (ganz gemein) mittels QR-Code.
Betroffen ist derzeit ausschließlich eine Reihe von Android-Geräten, das iPhone & Windows Phone ignorieren diese Aufrufe und führen keine Aktion durch. Doch auch hier sind nicht alle Hersteller und Modelle betroffen, im Heise-Forum baut sich gerade eine Liste mit betroffenen Modellen auf. Darunter Geräte von Samsung, HTC & Huawei. Hier könnt ihr euer Smartphone testen.
Derzeit kein Workaround
Einen Workaround oder eine allgemeine Android-Lösung von Google gibt es derzeit nicht. Es ist jedoch empfehlenswert derzeit keine „zwielichtigen“ Seiten via Smartphone aufzurufen und nicht blind jeden QR-Code der auf der Straße hängt einzuscannen.
» Hier könnt ihr euer Smartphone testen
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Angeblich wurde der Fehler bei Jelly Bean behoben:
https://plus.google.com/117962666888533781522/posts/DERxg7p3aLm
Es gibt eine App die hilft:
https://play.google.com/store/apps/details?id=com.voss.notelurl
Wollte ich auch grad schreiben. Für alle die kein 4.1.x haben ist die App der einzige Workaround. CM7/9 haben in der aktuellen Version den Patch von JB backportet.
Funktioniert leider auf dem HTC Desire HD
Ich habe mich, nachdem ich ein Android-Einsteigerhandy ausprobiert habe, entschieden ein Nexus zu nutzen. Die Entscheidung war gut, weil ich _sofort_ Updates bekomme und nicht erst auf das „Wohlwollen“ des Herstellers angewiesen bin. Der Test war übrigens positiv, ich musste bestätigen.
Ja, ich glaube nach wie vor das wenn alles aus einer Hand ist der Support am besten! (Schaue gern über den Tellerrand, bin iOS User) Wenn ich wechseln müsste würde ich das Nexus (Google) nehmen!)
Lookout fängt die Codes auch ab…