Schutz vor Fernlöschung von Samsung-Smartphones
Eine App sorgt dafür, dass die Smartphones nicht ohne Zustimmung ihres Besitzers gelöscht werden können. Ob und wann Samsung auf das Problem reagiert, ist noch unklar.
- Ronald Eikenberg
Einige Samsung-Smartphones kann man durch eine präparierte Webseite oder spezielle SMS ohne Einwilligung des Besitzers aus der Ferne löschen, wie am gestrigen Dienstag bekannt wurde. In Googles App-Shop Google Play gibt es nun das kostenlose Tool NoTelURL von Jörg Voss, das dafür sorgt, dass die USSD-Steuercodes nicht mehr ohne Zutun des Nutzers ausgeführt werden.
Die App trägt im System ein, dass sie für URLs zuständig ist, die mit der Schema-Bezeichnung TEL: beginnen, also Links zu Telefonnummern. Normalerweise nimmt nur das Wählprogramm Links dieses Typs entgegen. Da nun zwei Programme diesen Linktyp für sich beanspruchen, wird der Nutzer nach dem Anklicken dazu aufgefordert, sich für eines davon zu entscheiden. Wird der Eintrag NoTelURL angeklickt, fängt die App den Vorgang ab.
Wenn sich dieser Dialog unaufgefordert öffnet, versucht also unter Umständen gerade ein Angreifer, das Telefon auf Werkseinstellungen zurückzusetzen, was einen Datenverlust zur Folge hat. Bei unserem Test blockierte das Tool zuverlässig, dass Steuercodes über Webseiten und QR Codes eingeschleust werden.
Die Abfrage erscheint allerdings auch dann, wenn die TEL:-Links für legitime Zwecke eingesetzt werden: etwa wenn man in den Google-Suchergebnissen auf einen "Anrufen"-Link klickt. Wer häufig mit solchen Links zu tun hat, wird sich bald einen offiziellen Patch von Samsung wünschen.
Der Hersteller hat gegenüber der International Business Times unterdessen erklärt, dass das Problem beim Galaxy S III bereits durch ein Update behoben wurde. Bei unserem Test am Montagnachmittag konnten wir die Lücke auch tatsächlich nicht ausnutzen. Allerdings funktionierte es mit einem Samsung Galaxy S2 mit Android 2.3.6, Berichte im Netz deuten zudem daraufhin, dass auch noch viele andere Modelle wie das Galaxy Ace, das Beam und das S Advance betroffen sind. Ob und wann diese Geräte mit Updates versorgt werden, konnte uns Samsung nicht sagen.
Das Ausführen der USSD-Codes funktioniert anscheinend auch bei Smartphones anderer Hersteller wie HTC, Motorola und Huawei. Allerdings ist hier kein Code bekannt, der das Löschen von Nutzerdaten ohne Nachfrage beim User zur Folge hat. Allerdings kann man nicht ausschließen, dass es gelingt, andere Steuerfunktionen wie das Anlegen von Rufumleitungen über die Codes auszulösen.
Ob Ihr Smartphone betroffen ist, können mit Hilfe des USSD-Checks unserers Browserchecks überprüfen. Rufen Sie die Seite mit dem Smartphone auf. Erscheint anschließend ein Hinweisfenster mit der IMEI (Seriennummer) des Geräts, ist es potenziell anfällig.
Siehe dazu auch:
- USSD-Check im Browsercheck bei heise Security (auch ĂĽber http://heise.de/ussd oder noch kĂĽrzer http://ct.de/ussd erreichbar)
(rei)