Fast alle Hersteller von Steuercode-Problem in Android betroffen

Von der anfänglich Samsung zugeschriebenen Android-Steuercode-Schwachstelle sind anscheinend potenziell die meisten Smartphones und UMTS-Tablets betroffen, auf denen Ice Cream Sandwich (Version 4.0.x) oder eine ältere Android-Version läuft. Google hat den Code im Wählprogramm im Juli mit Version 4.1.1 aktualisiert, damit Steuercodes nicht mehr automatisch ausgeführt werden.

Die meisten Dialer, die auf dem Android-Original aufsetzen, dürften die Schwachstelle also ebenfalls enthalten. Das zeigen auch die Leserkommentare zur gestrigen Meldung, denen zufolge fast jeder Hersteller verwundbare Geräte im Programm hat. Sony-Geräte (ehemals Sony Ericsson) sind nach aktuellem Kenntnisstand nur betroffen, wenn darauf eine alternative Firmware-Version wie Cyanogen Mod installiert ist. Ansonsten fängt das Sony-eigene Wählprogramm die Steuercodes ab.

Die aktuelle Android-Version Jelly Bean (4.1.x) ist erst auf 1,2 Prozent aller Android-Smartphones installiert – was vor allem daran liegen dürfte, dass es für die meisten Geräte kein Update auf Jelly Bean gibt und auch nicht geben wird.

Das Problem mit dem Steuercodes ist, dass der Dialer sie sofort ausführt – unabhängig davon, ob sie der Nutzer von Hand über die Zifferntastatur eintippt oder sie durch eine tel:-URL von einer Webseite an das Wählprogramm übergeben wurden. Während die Kombination *#06# noch harmlos ist und lediglich die 15-stellige IMEI-Nummer des Smartphones anzeigt, führen andere Steuercodes dazu, dass die SIM-Karte unwiderruflich gesperrt wird. Samsung-Smartphones kennen darüber hinaus einen Code, der das Gerät auf den Auslieferungszustand zurücksetzt; also alle Anwenderdaten im Telefonspeicher löscht. Berichten zufolge haben andere Hersteller wie HTC ähnliche Befehle eingebaut.

Da sich das Wählprogramm auf vielfältige Weise ansprechen lässt, können die Steuercodes überall lauern: auf Webseiten, in HTML-Mails, in WAP-Push-Nachrichten und sogar in QR-Codes. Es bleibt abzuwarten, wie die Hersteller auf das Problem reagieren. Vor allem die Nutzer älterer Geräte sollten sich keine allzu großen Hoffnungen machen, dass es für ihre Geräte einen Sicherheits-Patch geben wird.

Da das Ausnutzen der Lücke trivial ist und die Details hierzu längst im Netz kursieren, sollten die Nutzer nicht auf die Herstellerreaktion warten. heise Security rät zur Installation einer der inzwischen zahlreich angebotenen Apps, die das Ausführen der Steuercodes blockieren. Neben TelStop und NoTelURL gibt es seit kurzem auch den USSD Filter von G Data.

Die Installation eines alternativen Browsers hingegen kann zwar dafür sorgen, dass tel:-URLs auf Webseiten nicht länger ungefragt ausgeführt werden, schützt aber nicht vor Steuerbefehlen in QR-Codes und Co.

Update vom 28.09., 17:30: Laut Leserberichten sind auch Sony(Ericsson)-Geräte mit Originalfirmware betroffen.

Testen Sie Ihr eigenes Smartphone mit dem

• USSD-Check von heise Security

Zu dem Thema siehe auch:

• Android-Smartphones: Bei (USSD-)Anruf SIM-Tod
• Schutz vor Fernlöschung von Samsung-Smartphones
• Sicherheitsleck: Samsung-Smartphones aus der Ferne löschbar

(rei)