Android-Smartphones: Bei (USSD-) Anruf droht z.B. der SIM-Tod

Das Problem, dass Android-Smartphones automatisch in Webseiten eingeschleuste USSD-Steuercodes ausführen, zieht weitere Kreise. Auch Geräte anderer Hersteller als Samsung sind betroffen: So könnten Angreifer bei bestimmten HTC-Handys etwa die SIM-Karte unbrauchbar machen.



heise Security gelang es, eine Testseite zu erstellen, die mehrfach einen bestimmten USSD-Befehl in Kombination mit einer falschen PIN an das Telefonmodul des Smartphones schickt. Auf einem
HTC One XL wurde unmittelbar nach dem Aufruf der Testseite die SIM-Karte gesperrt. Zur Entsperrung sollten wir die PUK eingeben. Theoretisch hätten wir es auch noch weiter treiben und die Seite so präparieren können, dass sie die PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte.

Wer auf eine solche Seite gelockt wird, ist über die eingelegte Karte also nicht mehr mobil erreichbar. Abhilfe schafft nur eine neue SIM-Karte, die man – in der Regel kostenpflichtig – beim Mobilfunkprovider bestellen muss.


Bislang scheinen ausschliesslich Android-Smartphones für dieses Problem anfällig zu sein. Bei iPhones werden die Steuercodes offenbar nicht einmal dann an das System weitergereicht, wenn der Anwender in dem auftauchenden Dialog auf "Anrufen" tippt.
Ob das eigene Gerät betroffen ist, erfährt man gefahrlos über unseren USSD-Check, den Sie auch komfortabel über http://heise.de/ussd und http://ct.de/ussd erreichen. Zeigt das Handy beim Öffnen der Seite automatisch seine 15-stellige IMEI-Nummer an, ist es sehr wahrscheinlich verwundbar.
Der Angriffscode kann nicht nur auf Webseiten, sondern auch in QR-Codes lauern. Es gibt bislang unbestätige Gerücht, laut denen Angreifer auch gezielt Leute attackieren können, indem man ihnen eine WAP-Push-Nachricht oder HTML-Mail schickt.


Schützen kann man sich, indem man die Apps TelStop oder NoTelURL über Google Play installiert. Die Apps fangen das Aufrufen von TEL:-URLs ab, über die das Einschleusen der Steuercodes möglich ist.


Update vom 27.09., 15:00: Wird konnten das Problem auch mit einem Motorola RAZR XT910 nachvollziehen. Nach dem Aufruf der Testseite wurde die SIM-Karte sofort gesperrt. Windows Phone ist ersten Tests zufolge wie iOS nicht von dem Problem betroffen.


Fast alle Hersteller von Steuercode-Problem in Android betroffen Update 29.0.2012:
Von der anfänglich Samsung zugeschriebenen Android-Steuercode-Schwachstelle sind anscheinend potenziell die meisten Smartphones und UMTS-Tablets betroffen, auf denen Ice Cream Sandwich (Version 4.0.x) oder eine ältere Android-Version läuft. Google hat den Code im Wählprogramm im Juli mit Version 4.1.1 aktualisiert, damit Steuercodes nicht mehr automatisch ausgeführt werden.


Die meisten Dialer, die auf dem Android-Original aufsetzen, dürften die Schwachstelle also ebenfalls enthalten. Das zeigen auch die Leserkommentare zur gestrigen Meldung, denen zufolge fast jeder Hersteller verwundbare Geräte im Programm hat. Sony-Geräte (ehemals Sony Ericsson) sind nach aktuellem Kenntnisstand nur betroffen, wenn darauf eine alternative Firmware-Version wie Cyanogen Mod installiert ist. Ansonsten fängt das Sony-eigene Wählprogramm die Steuercodes ab.


Die aktuelle Android-Version Jelly Bean (4.1.x) ist erst auf 1,2 Prozent aller Android-Smartphones installiert – was vor allem daran liegen dürfte, dass es für die meisten Geräte kein Update auf Jelly Bean gibt und auch nicht geben wird.


Das Problem mit dem Steuercodes ist, dass der Dialer sie sofort ausführt – unabhängig davon, ob sie der Nutzer von Hand über die Zifferntastatur eintippt oder sie durch eine tel:-URL von einer Webseite an das Wählprogramm übergeben wurden. Während die Kombination *#06# noch harmlos ist und lediglich die 15-stellige IMEI-Nummer des Smartphones anzeigt, führen andere Steuercodes dazu, dass die SIM-Karte unwiderruflich gesperrt wird. Samsung-Smartphones kennen darüber hinaus einen Code, der das Gerät auf den Auslieferungszustand zurücksetzt; also alle Anwenderdaten im Telefonspeicher löscht. Berichten zufolge haben andere Hersteller wie HTC ähnliche Befehle eingebaut.


Da sich das Wählprogramm auf vielfältige Weise ansprechen lässt, können die Steuercodes überall lauern: auf Webseiten, in HTML-Mails, in WAP-Push-Nachrichten und sogar in QR-Codes. Es bleibt abzuwarten, wie die Hersteller auf das Problem reagieren. Vor allem die Nutzer älterer Geräte sollten sich keine allzu großen Hoffnungen machen, dass es für ihre Geräte einen Sicherheits-Patch geben wird.


Da das Ausnutzen der Lücke trivial ist und die Details hierzu längst im Netz kursieren, sollten die Nutzer nicht auf die Herstellerreaktion warten. heise Security rät zur Installation einer der inzwischen zahlreich angebotenen Apps, die das Ausführen der Steuercodes blockieren. Neben TelStop und NoTelURL gibt es seit kurzem auch den USSD Filter von G Data.
Die Installation eines alternativen Browsers hingegen kann zwar dafür sorgen, dass tel:-URLs auf Webseiten nicht länger ungefragt ausgeführt werden, schützt aber nicht vor Steuerbefehlen in QR-Codes und Co.


Update vom 28.09., 17:30: Laut Leserberichten sind auch Sony(Ericsson)-Geräte mit Originalfirmware betroffen.

Habe ich getestet mit einem Xperia mini Pro, Stock ROM ohne root und kann es bestätigen.



http://www.heise.de/newsticker/meldu...d-1718789.html

http://www.heise.de/newsticker/meldu...n-1719965.html



Copyright © 2012 Heise Zeitschriften Verlag





Da das Ausnutzen der Lücke trivial ist und die Details hierzu längst im Netz kursieren, sollten die Nutzer nicht auf die Herstellerreaktion warten. heise Security rät zur Installation einer der inzwischen zahlreich angebotenen Apps, die das Ausführen der Steuercodes blockieren. Neben TelStop und NoTelURL gibt es seit kurzem auch den USSD Filter von G Data.

SGS mit CM10 ist nicht betroffen.

Unter Galaxy Nexus CM10 wird nur der Code auf der Anzeige aber nicht bestâtigt aber muss selbst bestätigen.

Siehe Anhang

Gesendet von meinem Galaxy Nexus mit Tapatalk 2

Lasst uns doch mal eine Liste eröffnen, welches Gerät betroffen ist. Wichtig dabei auch welcher Browser getestet wurden ist.

Nach folgenden Schema: GERÄT ANDROID VERSION BROWSER SICHER KOMMENTAR

HTC Desire S - 4.0.4 - Dolphin Browser - Sicher - Dolphin ignoriert wohl die Sache komplett

HTC Desire S - 4.0.4 - Standardbrowser - Sicher - Standardbrowser zeigt nur "404" an mit den USSD Code

Samsung Galaxy S3 4.1.1 XXDLI8 mit Standardbrowser.
Tastenfeld wird leer ohne Code angezeigt.
Fazit: sicher

Gesendet von meinem GT-I9300 mit Tapatalk 2

Defy (ohne "+") - CM7 Version "WhiteRabbit v1.7" - Opera Mobile v12.00 - relativ sicher - Code wird nicht automatisch ausgeführt, sondern es erscheint eine Meldung von Opera "Frameinhalt nicht angezeigt" mit der Option "Zum Anzeigen klicken". Beim Klicken wird dann allerdings der Code ausgeführt und die IMEI angezeigt.

Gruß Jörg





ACHTUNG:
Gleiches Gerät wie oben testweise installiert:
- Dolphin v8.8.2 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Skyfire beta v4.1.0 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Firefox v15.0.1 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 2.3.7 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI


Opera noch einmal gegengecheckt = bleibt bei dem Ergebnis = Opera ist der einzige halbwegs sichere Browser auf dem oben beschriebenen Defy.

HTC Sensation:
Zeigt mit Standardbrowser die IMEI

Gruss Markus

Update vom 27.09., 15:00: Wird konnten das Problem auch mit einem Motorola RAZR XT910 nachvollziehen. Nach dem Aufruf der Testseite wurde die SIM-Karte sofort gesperrt. Windows Phone ist ersten Tests zufolge wie iOS nicht von dem Problem betroffen.


http://www.heise.de/newsticker/meldu...d-1718789.html

Hi,

hab grade mein One S mit Opera Mobile getestet passiert nix, ist also safe!

Bei meinem Sensation XE öffnete sich beim Aufrufen der Testseite meine Tel. Kontakte und ein Fenster mit der IMEI Nr. Habe umgehend No TelURL installiert.
Jetzt ist es sicher.

Liebe Grüße, Ulla

Testet es unbedingt mit allen Browsern die Ihr immer mal wieder nutzt.

Denn zerschossen ist zerschossen und kann böse enden.

Samsung Galaxy S3: 4.0.4 stock

Standard Browser/Dolphin 8.8.2
Bei beiden keine Reaktion = sicher

Gesendet von meinem GT-I9300 mit Tapatalk 2

ACHTUNG:

HTC Sensation Stock Rom

- Dolphin v8.8.2 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 4.0.3 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI



HTC Desire HD Stock Rom

- Dolphin v8.8.2 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 2.3.7 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI



Samsung Gallaxy SII

- Dolphin v8.8.2 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 4.0.4 UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI




_

Samsung Galaxy S III (I9300)
Geflasht mit Supernexus AOSP JB 4.1.1. ROM.
Browser: Chrome Beta

Bei mir öffnet sich nach QR-Code-Scan die Telefon-App und zeigt *#06# an (wie Screenshot von Beitrag #3).
Gefährdet oder nicht? (Bin Laie und kenne mich mit Codes nicht aus)

@Design,
...nein, nicht gefährdet, da der USSD-Code ja nicht automatisch von der Telefon-Anwendung gewählt worden ist, sondern nur im Display angezeigt wird.
Bei unbekannten Nummern/Codes dann natürlich auf keinen Fall anrufen, sondern die Telefonanwendung schließen.

Gruß Jörg

Zitat von jrahe

@Design,
...nein, nicht gefährdet, da der USSD-Code ja nicht automatisch von der Telefon-Anwendung gewählt worden ist, sondern nur im Display angezeigt wird.
Bei unbekannten Nummern/Codes dann natürlich auf keinen Fall anrufen, sondern die Telefonanwendung schließen.

Gruß Jörg

Danke, das ist gut zu wissen. Bin sowieso immer vorsichtig bei solchen Codes.

Htc desire s mit original Browser - UNSICHER!!

Fast alle Hersteller von Steuercode-Problem in Android betroffen Update 29.0.2012:
Von der anfänglich Samsung zugeschriebenen Android-Steuercode-Schwachstelle sind anscheinend potenziell die meisten Smartphones und UMTS-Tablets betroffen, auf denen Ice Cream Sandwich (Version 4.0.x) oder eine ältere Android-Version läuft. Google hat den Code im Wählprogramm im Juli mit Version 4.1.1 aktualisiert, damit Steuercodes nicht mehr automatisch ausgeführt werden.


Die meisten Dialer, die auf dem Android-Original aufsetzen, dürften die Schwachstelle also ebenfalls enthalten. Das zeigen auch die Leserkommentare zur gestrigen Meldung, denen zufolge fast jeder Hersteller verwundbare Geräte im Programm hat. Sony-Geräte (ehemals Sony Ericsson) sind nach aktuellem Kenntnisstand nur betroffen, wenn darauf eine alternative Firmware-Version wie Cyanogen Mod installiert ist. Ansonsten fängt das Sony-eigene Wählprogramm die Steuercodes ab.


Die aktuelle Android-Version Jelly Bean (4.1.x) ist erst auf 1,2 Prozent aller Android-Smartphones installiert – was vor allem daran liegen dürfte, dass es für die meisten Geräte kein Update auf Jelly Bean gibt und auch nicht geben wird.


Das Problem mit dem Steuercodes ist, dass der Dialer sie sofort ausführt – unabhängig davon, ob sie der Nutzer von Hand über die Zifferntastatur eintippt oder sie durch eine tel:-URL von einer Webseite an das Wählprogramm übergeben wurden. Während die Kombination *#06# noch harmlos ist und lediglich die 15-stellige IMEI-Nummer des Smartphones anzeigt, führen andere Steuercodes dazu, dass die SIM-Karte unwiderruflich gesperrt wird. Samsung-Smartphones kennen darüber hinaus einen Code, der das Gerät auf den Auslieferungszustand zurücksetzt; also alle Anwenderdaten im Telefonspeicher löscht. Berichten zufolge haben andere Hersteller wie HTC ähnliche Befehle eingebaut.


Da sich das Wählprogramm auf vielfältige Weise ansprechen lässt, können die Steuercodes überall lauern: auf Webseiten, in HTML-Mails, in WAP-Push-Nachrichten und sogar in QR-Codes. Es bleibt abzuwarten, wie die Hersteller auf das Problem reagieren. Vor allem die Nutzer älterer Geräte sollten sich keine allzu großen Hoffnungen machen, dass es für ihre Geräte einen Sicherheits-Patch geben wird.


Da das Ausnutzen der Lücke trivial ist und die Details hierzu längst im Netz kursieren, sollten die Nutzer nicht auf die Herstellerreaktion warten. heise Security rät zur Installation einer der inzwischen zahlreich angebotenen Apps, die das Ausführen der Steuercodes blockieren. Neben TelStop und NoTelURL gibt es seit kurzem auch den USSD Filter von G Data.
Die Installation eines alternativen Browsers hingegen kann zwar dafür sorgen, dass tel:-URLs auf Webseiten nicht länger ungefragt ausgeführt werden, schützt aber nicht vor Steuerbefehlen in QR-Codes und Co.

...oder ganz einfach eine zweite Telefon-App installieren.

Dann wird jedesmal, wenn "von außen" (Browser, eMail, SMS, etc.) eine Telefonanforderung in Form eines USSD-Codes oder einer ganz normalen Telefonnummer kommt, ein Fenster erscheinen, indem der Nutzer gefragt wird, mit welcher Anwendung er diese Nummer / diesen USSD-Code ausführen möchte.
Bei unbekannten Nummern oder ungewollt aufgerufenen USSD-Codes dann einfach abbrechen.

Wichtig hierbei: keine der Telefon-Anwendungen als Standard definieren, so daß diese Abfrage auch wirklich immer erscheint.

Gruß Jörg

P.S. "NoTelURL" macht nichts anderes, nur daß dort anstelle der zweiten Telefon-Anwendung ein Link auf die Seite mit den Warnhinweisen steht.

Jede/r wie sie/er es möchte, ich poste hier lediglich die in meinen Augen sehr wichtigen Infos für die Android Nutzer.