Smartphones

Fernlöschung von Samsung-Smartphones per USSD-Code

Autor-Bild
Von
| 9 Kommentare
News

Michael hat am heutigen frühen Nachmittag zumindest im deutschsprachigen Teil von Twitter einen Stein ins Rollen gebracht, den man dann doch mal etwas im Auge behalten sollte. Thema wären die USSD-Codes, die z.B. Samsung benutzt, um diverse Aktionen auf einem Android-Smartphone über das Tastenfeld auszulösen. Der Aufbau solcher Codes ist bereits Jahre bekannt, die Befehle die sich hinter den Codes verstecken wurden allerdings enorm erweitert und bringen so ein Sicherheitsrisiko mit, das den Nutzern nicht gefallen dürfte.

Worum geht es?

Über USSD-Dienste kann man eigentlich zum Beispiel Zugang zu vorkonfigurierten Diensten des Netzbetreibers bekommen, Samsung hat diese allerdings um Systemaktionen erweitert. Gibt man zum Beispiel den Code *2767*3855# ein, so lässt sich das gesamte Samsung-Smartphone zurücksetzen. Nun ist der Entwickler Ravi Borgaonkar allerdings darauf gestoßen, dass sich diese Art Code auch leicht durch eine manipulierte Webseite auf dem Gerät ohne Zutun des Nutzers ausführen lässt.

Wie funktioniert das?

Moderne Telefone haben die Möglichkeit eine Telefonnummer in einer Webseite direkt anzuwählen. Zu diesem Zweck kann ein Webentwickler einem Link ein „tel:“ voranstellen und die nachfolgende Nummer wird dann der installierten Telefonapp übergeben. Der Link schaut dann so aus:

mobiFlip.de Voicebox

Jetzt gibt es allerdings auch die Möglichkeit in eine bestehende Webseite eine andere Webseite per Frame einzubinden. Dies wird meist bei Share-Buttons oder auch YouTube-Videos genutzt. Der Inhalt der dem Nutzer angezeigt wird, liegt also dann weiterhin bei z.B. YouTube (also das Video), ihr müsst aber z.B. unsere Webseite nicht verlassen, um das sehen zu können. In der Regel wird das per Frame bzw. iFrame gemacht und schaut so aus:

oder

Ihr als Nutzer könnt euch nun schwer dagegen wehren, dass beim Aufruf einer Webseite auch das Frame geladen wird. Dies ist dann eben auch der Grund dafür, dass das YouTube-Video direkt beim Laden der Seite angezeigt wird.

Wo ist das Problem?

Ruft ihr mit einem Smartphone, welches USSD-Codes für Systemaktionen nutzt, nun eine Webseite auf, die folgendes Frame enthält, dann versucht eurer Browser das Ziel natürlich dazustellen, merkt dann, dass es ja eine Telefonnummer ist und übergibt diese an eure Telefonapp. Diese versucht die „Nummer“ dann zu wählen und setzt, wenn vom Smartphonhersteller mit solch einer Aktion hinterlegt, euer Smartphone zurück.

Okay, dafür müsst ihr erstmal eine solche manipulierte Seite ansurfen, die allerdings auch jeder in in Kürze erstellen kann. Etwas unschöner ist dann noch eine Funktion namens WAP-Push, denn diese ermöglicht es euch URLs direkt aufs Smartphone zu pushen, ohne, dass ihr dagegen etwas machen könnt.

Wie kann ich mich schützen?

  • Zum Glück kann man WAP-Push in den Einstellungen der Nachrichten-App deaktivieren. Also, einfach mal dort checken.
  • Um auf Nummer Sicher zu gehen, könnt ihr auch einen weiteren Dialer aus dem Play Store installieren. Diesen müsst ihr dann nicht nutzen, klickt ihr aber einen Nummer an, fragt Android euch immer vorher mit welchem Dialer die geöffnet werden soll, was also einen Schritt mehr bedeutet, in dem ihr abbrechen könnt.
  • Es dürfte auch helfen einen anderen Browser, als den vorinstallierten zu nutzen, denn Chrome, Opera und Co. rufen zwar auch die Nummer auf, können diese aber nicht selbst wählen.
  • Die App NoTelURL installieren

Wer ist betroffen?

Verschiedene Samsung-Geräte, die nicht mit Android 4.1 Jelly Bean daher kommen. Nexus-Geräte nicht! Mehr konnten wir selbst noch nicht testen. Feedback erwünscht!

Wer diese Seite mit seinem Smartphone aufruft und direkt die IMEI angezeigt bekommt, ohne, dass er nochmal etwas bestätigen muss, ist ziemlich sicher gefährdet, aber nur dann, wenn er ein Gerät nutzt, auf dem solch ein USSD-Code angelegt ist, der etwas „Schlimmes“ wie einen Reset durchführen kann.

Wer ist schuld?

In diesem Fall Samsung, denn in einem „reinen“ Android wäre so etwas ohne Nutzeraktion nicht möglich. Ob weitere Hersteller ähnliche Dinge per USSD-Code erlauben ist mir nicht bekannt. Sony zum Beispiel erlaubt keinen Vollreset durch solch einen Code, sondern eher harmlose Aktionen.

Ein Statement von Samsung zu diesem Thema steht noch aus, man will uns dieses aber zeitnah zukommen lassen. [Update: Erste Infos da]


Fehler melden9 Kommentare

  1. Das DISQUS-Kommentarsystem verarbeitet personenbezogene Daten. Das System wird aus diesem Grund erst nach ausdrücklicher Einwilligung über nachfolgende Schaltfläche geladen. Es gilt die Datenschutzerklärung.

Du bist hier:
mobiFlip.de / Hardware / News / Smartphones / ...
Weitere Neuigkeiten
Geralt The Witcher
The Witcher ist als Serie bei Netflix gescheitert in Unterhaltung
Poslovnica Mtel Nemacka 2
Von 5G bis Roaming-Plus: Neuer Mobilfunkanbieter MTEL startet in Deutschland in Tarife
Telekom 1
Telekom und Congstar räumen bei Leserwahl ab in Telekom
Volkswagen Vw Konzept 2024 Teaser
Volkswagen verspricht eine „neue Design-Ära“ in Mobilität
Kia Ev6 Gt Performance Wcoty 2023
Neuer Kia EV6 für 2024 kommt im Sommer in Mobilität
Smart 5 Teaser
Smart #5 als neues Elektroauto für 2024 geplant in Mobilität
Netflix Logo Header
Netflix nennt ab 2025 keine Nutzerzahlen mehr in Dienste
Huawei Pura 70 Ultra Kamera
Huawei setzt wieder neue Maßstäbe bei der Kamera in Smartphones
Roku Stick Header
ARTE jetzt auf Roku verfügbar in Unterhaltung
Sony Paramount Pictures
Sony möchte angeblich Paramount übernehmen in News