USSD-Sicherheitslücke auf vielen Android-Geräten aufgetaucht

Eine neue Sicherheitslücke wurde bekannt: Mittels sogenannter “USSD-Codes” können durch den Aufruf einfacher, speziell präparierter URLs über das Smartphone Schadfunktionen ausgeführt werden, die im schlimmsten Fall zur Sperrung der SIM-Karte oder zur Löschung des Smartphones führen können. Betroffen sind viele Geräte mit Android-Betriebssystem.

USSD steht für “Unstructured Supplementary Service Data”. Dies sind Steuerbefehle, die auf Handys durch Eingabe über die Wählfunktion verschiedene Systemfunktionen aufrufen. Je nach Hersteller kann man darüber Servicemenüs aufrufen, Systemtests durchführen, die Seriennummer anzeigen oder auch verschiedene Wartungsaufgaben starten. Die USSD-Steuerbefehle beginnen mit einem *, gefolgt von einer Ziffernkombination und enden mit einem #.

Brisant werden diese Codes dadurch, dass viele Android-Geräte diese ohne Nachfrage ausführen. Beispielsweise kann über Webseiten eine Url, beginnend mit dem Befehl “tel:” dazu benutzt werden, ungefragt Steuercodes auszuführen. Je nach Art des Befehls kann dem Smartphone damit mehrfach eine falsche PIN oder PUK gesendet werden – bis zur Sperre des Geräts. Man muss diese dann kostenpflichtig beim Mobilfunkbetreiber freischalten lassen. Auf einigen Samsung-Geräten ist es wohl auch möglich, dass Handy auf Werkseinstellungen zurückzusetzen.

Auch über QR-Codes, NFC oder SMS sind Angriffe über USSD denkbar.

So können Sie sich schützen:

Zunächst können Sie bei heise.de testen, ob ihr Handy betroffen ist. Wie das funktioniert, können Sie hier nachlesen.

In Googles Play-Store gibt es die Apps TelStop oder NoTelURL, die vor dem Aufruf von tel:-Urls schützen sollen.

Das neuste Android 4.1 “Jelly Bean” soll angeblich nicht von dem Problem betroffen sein. Auch Geräte mit dem Betriebssystem anderer Hersteller, wie das iPhone oder Smartphones mit Windows Phone haben keine Probleme mit der Sicherheitslücke.

 

Kommentare zu diesem Artikel als RSS abbonieren

Kommentar schreiben

Folgende Tags sind erlaubt: <strong> <em> <pre> <code> <a href="" title=""> <img src="" alt="" title="" height="" width="">