News

Fernlöschung von Samsung-Smartphones per USSD-Code

Michael hat am heutigen frühen Nachmittag zumindest im deutschsprachigen Teil von Twitter einen Stein ins Rollen gebracht, den man dann doch mal etwas im Auge behalten sollte. Thema wären die USSD-Codes, die z.B. Samsung benutzt, um diverse Aktionen auf einem Android-Smartphone über das Tastenfeld auszulösen. Der Aufbau solcher Codes ist bereits Jahre bekannt, die Befehle die sich hinter den Codes verstecken wurden allerdings enorm erweitert und bringen so ein Sicherheitsrisiko mit, das den Nutzern nicht gefallen dürfte.

Worum geht es?

Über USSD-Dienste kann man eigentlich zum Beispiel Zugang zu vorkonfigurierten Diensten des Netzbetreibers bekommen, Samsung hat diese allerdings um Systemaktionen erweitert. Gibt man zum Beispiel den Code *2767*3855# ein, so lässt sich das gesamte Samsung-Smartphone zurücksetzen. Nun ist der Entwickler Ravi Borgaonkar allerdings darauf gestoßen, dass sich diese Art Code auch leicht durch eine manipulierte Webseite auf dem Gerät ohne Zutun des Nutzers ausführen lässt.

Wie funktioniert das?

Moderne Telefone haben die Möglichkeit eine Telefonnummer in einer Webseite direkt anzuwählen. Zu diesem Zweck kann ein Webentwickler einem Link ein „tel:“ voranstellen und die nachfolgende Nummer wird dann der installierten Telefonapp übergeben. Der Link schaut dann so aus:

<a href="tel:03641559750">mobiFlip.de Voicebox</a>

Jetzt gibt es allerdings auch die Möglichkeit in eine bestehende Webseite eine andere Webseite per Frame einzubinden. Dies wird meist bei Share-Buttons oder auch YouTube-Videos genutzt. Der Inhalt der dem Nutzer angezeigt wird, liegt also dann weiterhin bei z.B. YouTube (also das Video), ihr müsst aber z.B. unsere Webseite nicht verlassen, um das sehen zu können. In der Regel wird das per Frame bzw. iFrame gemacht und schaut so aus:

<frame src="http://www.youtube.com/embed/uoZ2Opk0ep0" name="Video" />

oder

<iframe name="Video" src="http://www.youtube.com/embed/uoZ2Opk0ep0" width="320" height="240"></iframe>

Ihr als Nutzer könnt euch nun schwer dagegen wehren, dass beim Aufruf einer Webseite auch das Frame geladen wird. Dies ist dann eben auch der Grund dafür, dass das YouTube-Video direkt beim Laden der Seite angezeigt wird.

Wo ist das Problem?

Ruft ihr mit einem Smartphone, welches USSD-Codes für Systemaktionen nutzt, nun eine Webseite auf, die folgendes Frame enthält, dann versucht eurer Browser das Ziel natürlich dazustellen, merkt dann, dass es ja eine Telefonnummer ist und übergibt diese an eure Telefonapp. Diese versucht die „Nummer“ dann zu wählen und setzt, wenn vom Smartphonhersteller mit solch einer Aktion hinterlegt, euer Smartphone zurück.

<frame src="tel:*2767*3855#" name="Reset" />

Okay, dafür müsst ihr erstmal eine solche manipulierte Seite ansurfen, die allerdings auch jeder in in Kürze erstellen kann. Etwas unschöner ist dann noch eine Funktion namens WAP-Push, denn diese ermöglicht es euch URLs direkt aufs Smartphone zu pushen, ohne, dass ihr dagegen etwas machen könnt.

Wie kann ich mich schützen?

  • Zum Glück kann man WAP-Push in den Einstellungen der Nachrichten-App deaktivieren. Also, einfach mal dort checken.
  • Um auf Nummer Sicher zu gehen, könnt ihr auch einen weiteren Dialer aus dem Play Store installieren. Diesen müsst ihr dann nicht nutzen, klickt ihr aber einen Nummer an, fragt Android euch immer vorher mit welchem Dialer die geöffnet werden soll, was also einen Schritt mehr bedeutet, in dem ihr abbrechen könnt.
  • Es dürfte auch helfen einen anderen Browser, als den vorinstallierten zu nutzen, denn Chrome, Opera und Co. rufen zwar auch die Nummer auf, können diese aber nicht selbst wählen.
  • Die App NoTelURL installieren

Wer ist betroffen?

Verschiedene Samsung-Geräte, die nicht mit Android 4.1 Jelly Bean daher kommen. Nexus-Geräte nicht! Mehr konnten wir selbst noch nicht testen. Feedback erwünscht!

Wer diese Seite mit seinem Smartphone aufruft und direkt die IMEI angezeigt bekommt, ohne, dass er nochmal etwas bestätigen muss, ist ziemlich sicher gefährdet, aber nur dann, wenn er ein Gerät nutzt, auf dem solch ein USSD-Code angelegt ist, der etwas „Schlimmes“ wie einen Reset durchführen kann.

Wer ist schuld?

In diesem Fall Samsung, denn in einem „reinen“ Android wäre so etwas ohne Nutzeraktion nicht möglich. Ob weitere Hersteller ähnliche Dinge per USSD-Code erlauben ist mir nicht bekannt. Sony zum Beispiel erlaubt keinen Vollreset durch solch einen Code, sondern eher harmlose Aktionen.

Ein Statement von Samsung zu diesem Thema steht noch aus, man will uns dieses aber zeitnah zukommen lassen. [Update: Erste Infos da]

Hinterlasse deine Meinung