SIM-Karten vieler Android-Handys lassen sich über präparierte Webseiten sperren

MobileMobile OSSicherheitSicherheitsmanagementSmartphone

Das für Samsung-Smartphones entdeckte USSD-Exploit funktioniert auch mit anderen Android-Smartphones. Beweisen wurde es anhand eines HTC One XL. Die Sicherheitslücke lässt sich mittels QR-Codes, NFC-Tags und WAP-Push-Nachrichten ausnutzen.

Ein Securityforscher der TU Berlin entdeckte ein Leck in Smartphones von Samsung. Die Tüftler von heise security konnten dies nun auch an einem HTC One XL nachvollziehen: Sie sperrten kurzerhand die SIM-Karte des Gerätes mit Hilfe einer neu präparierten Webseite. Dies ist deshalb möglich, weil offenbar bestimmte Android-Versionen über Webseiten eingeschleuste USSD-Codes (“Unstructured Supplementary Service Data”) automatisch ausführen.

USSD-Codes nutzen Provider für Dienste wie Rufumleitungen oder Guthabenabfragen. Kunden können sie über Eingabe einer Zahlen-Zeichenkombination, zum Beispiel *111#, und der Betätigung der Anruftaste aktivieren. Die Sicherheitslücke besteht darin, dass dieser Code über eine Webseite eingeschleust und im Hintergrund automatisch ausgeführt wird, ohne dass der Anwender davon etwas mitbekommt.

Das Einschleusen von Steuercodes über eine Webseite ist allerdings nur eine Möglichkeit. Auch über QR-Codes, NFC-Tags und WAP-Push-Nachrichten kann die Lücke ausgenutzt werden.
Ravishankar Borgaonkar, Forschungsassistent am Institut für Softwaretechnik und Theoretische Informatik, hatte dan USSD-Exploit auf der Sicherheitskonferenz Ekoparty in Argentinien demonstriert. Ein Video der Veranstaltung  zeigt, wie er alle Inhalte von einem Samsung Galaxy S3 löscht, ohne dass eine Warnung angezeigt oder eine Genehmigung eingeholt wird.

Anwender können auf der Webseite www.isk.kth.se/~rbbo/testussd.html, auf die auch der Sicherheitsforscher verweist, überprüfen, ob ihr Smartphone gefährdet ist. Wird anschließend im Display des Telefons der IMEI-Code angezeigt, führt das Gerät automatisch USSD-Codes aus. Passiert nichts, ist es von der Sicherheitslücke nicht betroffen. Smartphones mit Windows Phone und iOS führen nach derzeitigem Kenntnisstand USSD-Codes nicht automatisch aus.

Die betroffenen Hersteller arbeiten an einem Patch, der die automatische Ausführung von USSD-Codes auf den betroffenen Geräten verhindern soll. Wer nicht so lange warten will, kann sich mit der App NoTelURL  des deutschen Entwicklers Jörg Voss vor der Gefahr schützen.

Der Sicherheitsforscher Ravishankar Borgaonkar hat eine Lücke in Samsung-Smartphones demonstriert, mit der sich alle gespeicherten Daten löschen lassen. Inzwischen ist bekannt geworden, dass auch andere Android-Smartphones von der Lücke betroffen sind. (Screenshot: News.com).

[mit Material von Kai Schmerer, zdnet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen