Sicherheitsleck: Samsung-Smartphones aus der Ferne löschbar

[Christoph]

Zitat:

Der Sicherheitsexperte Ravi Borgaonkar hat auf der Hackerkonferenz Ekoparty demonstriert, dass man Android-Smartphones von Samsung, bei denen der Hersteller die Android-Version mit eigener Software angepasst hat, aus der Ferne auf Werkseinstellungen zurücksetzen kann. Kern des Angriffs ist eine Schwachstelle im Samsung-eigenen Wählprogramm, durch die einzelne Smartphone-Varianten ohne Rückfrage sogenannte USSD-Codes (Unstructured Supplementary Service Data) ausführen, die über speziell präparierte Links übergeben werden. Der Code *2767*3855# sorgt dafür, dass das Handy sofort mit dem Zurücksetzen beginnt.

Ein solcher Link kann etwa auf einer Webseite oder einem NFC-Tag lauern. Nach Angaben des Sicherheitsexperten soll man das Aufrufen der URL auch aus der Ferne über WAP-Push-Nachrichten auslösen können. Dies klappt zum Beispiel über SMS-Gateways im Netz.

Bei einem ersten Test von heise Security gelang es nicht, auf einem Samsung Galaxy S3, das noch unter Android 4.0.4 lief, den Code beim Aufruf der von Oliva bereitgestellten Demoseite auszuführen. Es öffnete sich lediglich das Wählprogramm, das kurz den auszulösenden Code anzeigte. Anderen Berichten zufolge (unter anderem von AndroidNext und SmartDroid) soll das Problem unter Android 4.1 ebenfalls nicht reproduzierbar gewesen sein.

Mit einem Samsung Galaxy S2 mit Android 2.3.6 konnte heise Security dagegen das Sicherheitsleck problemlos nachvollziehen: Der Code wurde durch Aufrufen der URL ausgeführt und ein Zurücksetzen ausgelöst. Laut Nicola von Thadden ließ sich dies auch mit einem Samsung Galaxy S2 mit Android 4.0.3 reproduzieren.

Das manuelle Eintippen des Codes führt natürlich bei jedem der Samsung-Geräte sehr wohl zum Start des Löschvorgangs.

Update vom 25.09.2012, 16 Uhr: Die Demonstration wurde von Ravi Borgaonkar durchgeführt, nicht von Pau Oliva. Die Angabe im Artikel wurde korrigiert. (rei)

Quelle: http://www.heise.de/newsticker/meldu...r-1716849.html
und
http://www.golem.de/news/sicherheits...209-94755.html
http://futurezone.at/produkte/11536-...ys-zurueck.php

[Christoph]

Zitat:

Schutz vor Fernlöschung von Samsung-Smartphones

Einige Samsung-Smartphones kann man durch eine präparierte Webseite oder spezielle SMS ohne Einwilligung des Besitzers aus der Ferne löschen, wie am gestrigen Dienstag bekannt wurde. In Googles App-Shop Google Play gibt es nun das kostenlose Tool NoTelURL von Jörg Voss, das dafür sorgt, dass die USSD-Steuercodes nicht mehr ohne Zutun des Nutzers ausgeführt werden.

Die App trägt im System ein, dass sie für URLs zuständig ist, die mit der Schema-Bezeichnung TEL: beginnen, also Links zu Telefonnummern. Normalerweise nimmt nur das Wählprogramm Links dieses Typs entgegen. Da nun zwei Programme diesen Linktyp für sich beanspruchen, wird der Nutzer nach dem Anklicken dazu aufgefordert, sich für eines davon zu entscheiden. Wird der Eintrag NoTelURL angeklickt, fängt die App den Vorgang ab.

Wenn sich dieser Dialog unaufgefordert öffnet, versucht also unter Umständen gerade ein Angreifer, das Telefon auf Werkseinstellungen zurückzusetzen, was einen Datenverlust zur Folge hat. Bei unserem Test blockierte das Tool zuverlässig, dass Steuercodes über Webseiten und QR Codes eingeschleust werden.

Die Abfrage erscheint allerdings auch dann, wenn die TEL:-Links für legitime Zwecke eingesetzt werden: etwa wenn man in den Google-Suchergebnissen auf einen "Anrufen"-Link klickt. Wer häufig mit solchen Links zu tun hat, wird sich bald einen offiziellen Patch von Samsung wünschen.

Der Hersteller hat gegenüber der International Business Times unterdessen erklärt, dass das Problem beim Galaxy S III bereits durch ein Update behoben wurde. Bei unserem Test am Montagnachmittag konnten wir die Lücke auch tatsächlich nicht ausnutzen. Allerdings funktionierte es mit einem Samsung Galaxy S2 mit Android 2.3.6, Berichte im Netz deuten zudem daraufhin, dass auch noch viele andere Modelle wie das Galaxy Ace, das Beam und das S Advance betroffen sind. Ob und wann diese Geräte mit Updates versorgt werden, konnte uns Samsung nicht sagen.

Das Ausführen der USSD-Codes funktioniert anscheinend auch bei Smartphones anderer Hersteller wie HTC, Motorola und Huawei. Allerdings ist hier kein Code bekannt, der das Löschen von Nutzerdaten ohne Nachfrage beim User zur Folge hat. Allerdings kann man nicht ausschließen, dass es gelingt, andere Steuerfunktionen wie das Anlegen von Rufumleitungen über die Codes auszulösen.

Ob Ihr Smartphone betroffen ist, können mit Hilfe des USSD-Checks unserers Browserchecks überprüfen. Rufen Sie die Seite mit dem Smartphone auf. Erscheint anschließend ein Hinweisfenster mit der IMEI (Seriennummer) des Geräts, ist es potenziell anfällig.

Quelle: http://www.heise.de/newsticker/meldu...s-1717765.html

http://www.golem.de/news/app-hilfe-n...209-94770.html

[Christoph]

Zitat:

Fast alle Hersteller von Steuercode-Problem in Android betroffen

Von der anfänglich Samsung zugeschriebenen Android-Steuercode-Schwachstelle sind anscheinend potenziell die meisten Smartphones und UMTS-Tablets betroffen, auf denen Ice Cream Sandwich (Version 4.0.x) oder eine ältere Android-Version läuft. Google hat den Code im Wählprogramm im Juli mit Version 4.1.1 aktualisiert, damit Steuercodes nicht mehr automatisch ausgeführt werden.

Die meisten Dialer, die auf dem Android-Original aufsetzen, dürften die Schwachstelle also ebenfalls enthalten. Das zeigen auch die Leserkommentare zur gestrigen Meldung, denen zufolge fast jeder Hersteller verwundbare Geräte im Programm hat. Sony-Geräte (ehemals Sony Ericsson) sind nach aktuellem Kenntnisstand nur betroffen, wenn darauf eine alternative Firmware-Version wie Cyanogen Mod installiert ist. Ansonsten fängt das Sony-eigene Wählprogramm die Steuercodes ab.

Die aktuelle Android-Version Jelly Bean (4.1.x) ist erst auf 1,2 Prozent aller Android-Smartphones installiert – was vor allem daran liegen dürfte, dass es für die meisten Geräte kein Update auf Jelly Bean gibt und auch nicht geben wird.

Das Problem mit dem Steuercodes ist, dass der Dialer sie sofort ausführt – unabhängig davon, ob sie der Nutzer von Hand über die Zifferntastatur eintippt oder sie durch eine tel:-URL von einer Webseite an das Wählprogramm übergeben wurden. Während die Kombination *#06# noch harmlos ist und lediglich die 15-stellige IMEI-Nummer des Smartphones anzeigt, führen andere Steuercodes dazu, dass die SIM-Karte unwiderruflich gesperrt wird. Samsung-Smartphones kennen darüber hinaus einen Code, der das Gerät auf den Auslieferungszustand zurücksetzt; also alle Anwenderdaten im Telefonspeicher löscht. Berichten zufolge haben andere Hersteller wie HTC ähnliche Befehle eingebaut.

....

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...n-1719965.html