Was anfänglich nach einer Sicherheitslücke in populären Samsung Smartphones aussah zieht nun sehr viel größere Kreise im gesamten Android-Markt: Mittels eines einfachen URL-Aufrufs können USSD-Steuerbefehle an das System weitergegeben und ausgeführt werden. Diese können etwa die SIM sperren oder im schlimmsten Fall das komplette System resetten.
USSD-Codes sind Steuerbefehle die direkt über die Wählfunktion ins Smartphone eingegeben werden und je nach Hersteller und Modell verschiedene Funktionen auslösen können – etwa den Einstieg in Servicemenüs, Systemtests und ähnliches. Diese Codes werden bei fast jedem Android-Gerät automatisch ausgeführt ohne dass der Code nach der Eingabe bestätigt werden muss.
Im mobilen Browsing gibt es den Standard, dass Links die mit dem „Tel:“-Protokoll ausgezeichnet sind, die Wählfunktion des Smartphones aufrufen und die verlinkte Nummer eingeben – und da schließt sich der Kreis. Doch leider ist es auch möglich solche Links aufzurufen ohne dass der User ihn unbedingt angeklickt haben muss – etwa durch Weiterleitungen, iFrames oder (ganz gemein) mittels QR-Code.
Betroffen ist derzeit ausschließlich eine Reihe von Android-Geräten, das iPhone & Windows Phone ignorieren diese Aufrufe und führen keine Aktion durch. Doch auch hier sind nicht alle Hersteller und Modelle betroffen, im Heise-Forum baut sich gerade eine Liste mit betroffenen Modellen auf. Darunter Geräte von Samsung, HTC & Huawei. Hier könnt ihr euer Smartphone testen.
Derzeit kein Workaround
Einen Workaround oder eine allgemeine Android-Lösung von Google gibt es derzeit nicht. Es ist jedoch empfehlenswert derzeit keine „zwielichtigen“ Seiten via Smartphone aufzurufen und nicht blind jeden QR-Code der auf der Straße hängt einzuscannen.
» Hier könnt ihr euer Smartphone testen
[heise]