Android-Smartphones: Bei (USSD-)Anruf SIM-Tod

Dass Android-Smartphones automatisch eingeschleuste USSD-Steuercodes ausführen, zieht Kreise. Der Aufruf einer präparierten Webseite kann durch automatisches Wählen eines USSD-Code etwa dazu führen, dass die eingelegte SIM-Karte nicht mehr funktioniert.

In Pocket speichern vorlesen Druckansicht 971 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Das Problem, dass Android-Smartphones automatisch in Webseiten eingeschleuste USSD-Steuercodes ausführen, zieht weitere Kreise. Auch Geräte anderer Hersteller als Samsung sind betroffen: So könnten Angreifer bei bestimmten HTC-Handys etwa die SIM-Karte unbrauchbar machen.

Nach dem Aufruf der Testseite war unsere SIM-Karte gesperrt.

heise Security gelang es, eine Testseite zu erstellen, die mehrfach einen bestimmten USSD-Befehl in Kombination mit einer falschen PIN an das Telefonmodul des Smartphones schickt. Auf einem
HTC One XL wurde unmittelbar nach dem Aufruf der Testseite die SIM-Karte gesperrt. Zur Entsperrung sollten wir die PUK eingeben. Theoretisch hätten wir es auch noch weiter treiben und die Seite so präparieren können, dass sie die PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte.

Wer auf eine solche Seite gelockt wird, ist über die eingelegte Karte also nicht mehr mobil erreichbar. Abhilfe schafft nur eine neue SIM-Karte, die man – in der Regel kostenpflichtig – beim Mobilfunkprovider bestellen muss.

Bislang scheinen ausschließlich Android-Smartphones für dieses Problem anfällig zu sein. Bei iPhones werden die Steuercodes offenbar nicht einmal dann an das System weitergereicht, wenn der Anwender in dem auftauchenden Dialog auf "Anrufen" tippt.

Ob das eigene Gerät betroffen ist, erfährt man gefahrlos über unseren USSD-Check, den Sie auch komfortabel über http://heise.de/ussd und http://ct.de/ussd erreichen. Zeigt das Handy beim Öffnen der Seite automatisch seine 15-stellige IMEI-Nummer an, ist es sehr wahrscheinlich verwundbar.

Der Angriffscode kann nicht nur auf Webseiten, sondern auch in QR-Codes lauern. Es gibt bislang unbestätige Gerücht, laut denen Angreifer auch gezielt Leute attackieren können, indem man ihnen eine WAP-Push-Nachricht oder HTML-Mail schickt.

Schützen kann man sich, indem man die Apps TelStop oder NoTelURL über Google Play installiert. Die Apps fangen das Aufrufen von TEL:-URLs ab, über die das Einschleusen der Steuercodes möglich ist.

Update vom 27.09., 15:00: Wir konnten das Problem auch mit einem Motorola RAZR XT910 nachvollziehen. Nach dem Aufruf der Testseite wurde die SIM-Karte sofort gesperrt. Windows Phone ist ersten Tests zufolge wie iOS nicht von dem Problem betroffen.

Siehe dazu auch