USSD-Codes gefährden Android-Phones

Der Aufruf von URLs im tel:-Format kann für Android-Smartphones zur echten Gefahr werden: Wurde anfangs noch vermutet, nur Samsung-Geräte seien von der Sicherheitslücke betroffen, wurde inzwischen bekannt, dass Android-Phones sämtlicher Hersteller potenziell gefährdet sind.

Worum geht es?

Der Entwickler Ravi Borgaonkar hat auf der diesjährigen ekoparty Security Conference eine Sicherheitslücke präsentiert, bei der USSD-Codes zu schädlichen Zwecken „missbraucht“ werden.

USSD-Codes werden zur Übermittlung von Nachrichten zwischen einem Endgerät und einem Anwendungsserver in mobilen Netzen genutzt. Ein typischer Einsatzzweck von USSD-Codes sind die so genannten GSM-Servicecodes; so kann durch die „Anwahl“ von *#06# in der Telefon-Anwendung die IMEI, die internationale Gerätenummer, ausgelesen werden.

Durch die Eingabe einer USSD können jedoch auch gerätespezifische Funktionen aufgerufen werden. So sorgt der Code *2767*3855# dafür, dass ein Samsung-Smartphone sofort mit einem Hard Reset, dem Zurücksetzen auf die Werkseinstellungen, beginnt. Das Tückische ist, dass diese USSD-Codes – auch die schädlichen – nicht nur durch das Eintippen im „Dialer“, der Telefon-App, sondern auch durch den Aufruf einer entsprechend präparierten URL im tel:-Format aus dem geräteeigenen Browser heraus aufgerufen und dadurch die unwillkommene Aktion ausgelöst werden kann. Ein solcher Link könnte auch in einem NFC-Tag verborgen sein und soll sich sogar remote über WAP-Push-Nachrichten auslösen lassen.

Wer ist betroffen?

Gefährdet sind Geräte aller Hersteller und unter sämtlichen Android-Versionen. Ob das eigene Telefon die Sicherheitslücke aufweist, lässt sich auf Testseiten von G-DATA und des heise-Verlages überprüfen. Öffnet sich nach Aufruf einer bestimmten URL ein (in diesem Fall harmloses) Fenster, das die IMEI anzeigt, ist das Telefon höchstwahrscheinlich von der Sicherheitslücke betroffen.

Update

Beide Testseiten wurden inzwischen vom Netz genommen.

Was kann ich tun?

Aller Erfahrung nach ist es zwecklos, auf ein schnelles Update des Betriebssystems durch Google und/oder den Hersteller zu warten.

Kurzfristige, gleichwohl wirksame Abhilfe schafft die Installation eines Progrämmchens, das den Aufruf von URLs im tel:-Format abfängt. Danach kann sich der Anwender entscheiden, ob der die URL in der Telefon-App öffnen, also „die Nummer wählen“ (z.B. aus einem Suchergebnis von Google heraus) will, oder ob er die URL sicherheitshalber der soeben installierten App übergeben möchte. Derlei Tools können aus dem Google Play Store (Suchbegriff USSD) installiert werden; ich rate zur App eines renommierten Herstellers (BitDefender, ESET, G-Data), um sich nicht mit einem vermeintlichen Sicherheitstool eine weitere Malware einzufangen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

neunzehn − zehn =