WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Handy & Mobiltelefonie (http://www.wcm.at/forum/forumdisplay.php?f=74)
-   -   Android-Smartphones: Bei (USSD-)Anruf SIM-Tod (http://www.wcm.at/forum/showthread.php?t=245149)

Christoph 27.09.2012 20:27
Android-Smartphones: Bei (USSD-)Anruf SIM-Tod
 
Zitat:
Das Problem, dass Android-Smartphones automatisch in Webseiten eingeschleuste USSD-Steuercodes ausführen, zieht weitere Kreise. Auch Geräte anderer Hersteller als Samsung sind betroffen: So könnten Angreifer bei bestimmten HTC-Handys etwa die SIM-Karte unbrauchbar machen.

heise Security gelang es, eine Testseite zu erstellen, die mehrfach einen bestimmten USSD-Befehl in Kombination mit einer falschen PIN an das Telefonmodul des Smartphones schickt. Auf einem
HTC One XL wurde unmittelbar nach dem Aufruf der Testseite die SIM-Karte gesperrt. Zur Entsperrung sollten wir die PUK eingeben. Theoretisch hätten wir es auch noch weiter treiben und die Seite so präparieren können, dass sie die PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte.

Wer auf eine solche Seite gelockt wird, ist über die eingelegte Karte also nicht mehr mobil erreichbar. Abhilfe schafft nur eine neue SIM-Karte, die man – in der Regel kostenpflichtig – beim Mobilfunkprovider bestellen muss.

Bislang scheinen ausschließlich Android-Smartphones für dieses Problem anfällig zu sein. Bei iPhones werden die Steuercodes offenbar nicht einmal dann an das System weitergereicht, wenn der Anwender in dem auftauchenden Dialog auf "Anrufen" tippt.

Ob das eigene Gerät betroffen ist, erfährt man gefahrlos über unseren USSD-Check, den Sie auch komfortabel über http://heise.de/ussd und http://ct.de/ussd erreichen. Zeigt das Handy beim Öffnen der Seite automatisch seine 15-stellige IMEI-Nummer an, ist es sehr wahrscheinlich verwundbar.

Der Angriffscode kann nicht nur auf Webseiten, sondern auch in QR-Codes lauern. Es gibt bislang unbestätige Gerücht, laut denen Angreifer auch gezielt Leute attackieren können, indem man ihnen eine WAP-Push-Nachricht oder HTML-Mail schickt.

Schützen kann man sich, indem man die Apps TelStop oder NoTelURL über Google Play installiert. Die Apps fangen das Aufrufen von TEL:-URLs ab, über die das Einschleusen der Steuercodes möglich ist.

Update vom 27.09., 15:00: Wird konnten das Problem auch mit einem Motorola RAZR XT910 nachvollziehen. Nach dem Aufruf der Testseite wurde die SIM-Karte sofort gesperrt. Windows Phone ist ersten Tests zufolge wie iOS nicht von dem Problem betroffen.
Quelle: http://www.heise.de/newsticker/meldu...d-1718789.html

Irgendwie bin ich froh kein Smartphone zu haben. :rolleyes:

mankra 28.09.2012 08:34
Ein Smartphone ist ein kleiner Computer, natürlich ergeben sich damit die gleichen Probleme, wie bei nem normalen PC.
Da laut einer aktuellen Studie inzwischen Smartphones die am meisten genutze Geräte im Internet sind, leitet dies auch die Angreifer darauf um.

Christoph 28.09.2012 08:57
Klar, und auf den Smartphones gibt´s genug interessante Daten und man kann die Benutzer ärgern.

FranzK 28.09.2012 14:51
Zitat:
Zitat von Christoph (Beitrag 2478883)
Klar, und auf den Smartphones gibt´s genug interessante Daten und man kann die Benutzer ärgern.
Ich möchte dich aber darauf hinweisen, dass du als Smartphone-Besitzer NICHT verpflichtet bist, dubiose Webseiten aufzusuchen!

;)

Christoph 28.09.2012 17:11
Danke für Info, das wußte ich, als nicht Smartphonebesitzer, nicht. ;)

Baron 28.09.2012 18:25
Wie "unsmart".;)
Aber manchmal freut man sich schon über sein "altes rückständiges graffelwerk"-wenn ich mir so anschaue was den modernen "hippstern" so alles droht....:D:D

mankra 28.09.2012 20:57
Mit einer mechanischen Schreibmaschine brauchst auch vor Trojanern, Würmern, Pishing Versuchen keine Angst haben ;)

Früher oder später wird es nix Anderes als mehr oder wenger smarte Telefone geben und dementsprechend wirds sich auch jeder irgendwann damit befassen müssen.

Baron 28.09.2012 22:24
Hast recht!
Aber solange es sich noch verhindern lässt.... und in 10 Jahren brauch ich dann eh ein Seniorenhandy mit großen tasten und Notfallknopf!;):D

Christoph 29.09.2012 11:00
Das Problem ist, daß viele Smartphones, wie Computer, benutzen, sich aber nicht der Möglichkeiten und Gefahren bewußt sind, leider.

mankra 29.09.2012 11:03
Klar.

Mit den Smartphones + Tablets kommen auch Leute zu "Computern" und ins Internet, welche bis jetzt noch nix damit zu tun hatten.
Diese Geräte funktionieren Plug&Play, ohne große Einstellorgien und erschließen damit eine neue Nutzerschicht.

Christoph 01.10.2012 20:10
Zitat:
Avira: Schutz vor Android-Sicherheitsleck

Avira hat die App USSD Exploit Blocker veröffentlicht, die alle Android-Smartphones vor Angriffen mit USSD-Steuercodes schützt. Die kostenlose App steht ab sofort auf Google Play zum Download bereit.

Vor einigen Tagen war bekannt geworden, dass Android-Smartphones wie das Samsung Galaxy S3 und das Samsung Galaxy S2 aufgrund einer Android-Sicherheitslücke gefährdet sind und ihre Daten per USSD-Code von Dritten gelöscht werden können.

Inzwischen hat sich herausgestellt, dass diese USSD-Sicherheitslücke fast alle Android-Smartphones gefährdet. Mögliche Folgen sind etwa die Sperrung der SIM-Karte oder die Zurücksetzung des Telefons in den Auslieferungszustand, wodurch alle Daten gelöscht werden. Zudem können alle Anrufe auf eine kostenpflichtige Nummer umgeleitet werden und so Kosten verursachen.

Das IT-Sicherheitsunternehmen Avira hat jetzt ein Android-App veröffentlicht, die alle Android-Smartphones vor USSD-Angriffen per SMS, NFC oder schadhaften Webseiten-Links schützt. Die kostenlose Avira-App ist ab sofort bei Google-Play abrufbar. Weitere Informationen zur App finden Sie direkt auf dem Tech Blog von Avira.

Wichtige Apps:

Kostenlose USSD-Blocker App NoTelURL

Kostenlose USSD-Blocker App Avira USSD Expoit Blocker
Quelle: http://www.connect.de/news/avira-sch...66349,185.html


Alle Zeitangaben in WEZ +2. Es ist jetzt 17:15 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag