Sicherheit

Android-Sicherheitsskandal weitet sich aus – so testen Sie Ihr Smartphone (Update)

Freitag, 28.09.2012 | 15:45 von Benjamin Schischka
Wenn der Test dieses Bild ergibt, sind Sie sicher.
Vergrößern Wenn der Test dieses Bild ergibt, sind Sie sicher.
Fernlöschung und SIM-Sperrung – über vielen Android-Usern hängt ein Damoklesschwert aufgrund einer Sicherheitslücke. Mit einem kostenlosen Web-Test checken Sie Ihren Androiden. Update: Mittlerweile hat uns eine Stellungnahme von HTC erreicht.
Eine Sicherheitslücke erlaubt es Angreifern alle Daten auf einem Samsung Galaxy S3 aus der Ferne zu löschen. Alternativ lässt sich auch die SIM-Karte der Opfer sperren. So funktioniert die Lücke: Hacker richten spezielle Webseiten ein, die beim Besuch nach den USSD-Codes (Unstructured Supplementary Service Data) des Smartphones der Opfer fragen und die Codes automatisch an die Angreifer schicken. Die Codes lassen sich dann missbrauchen, um das Smartphone aus der Ferne zu manipulieren. Normalerweise sollten Sie vor dem Abfragen der Handy-Codes ausdrücklich Ihr Okay geben müssen - genau hier versagen die betroffenen Geräte. Doch während der Entdecker der Lücke anfangs noch dachte, es handele sich um eine Lücke in Samsungs hauseigener Software Touchwiz, sieht es nach aktuellem Stand ganz anders aus. Denn, wie jetzt bekannt wurde, sind anscheinend auch HTC-Geräte betroffen. HTC nutzt statt Touchwiz die hauseigene Sense-Oberfläche.
 
Der Neuseeländer Dylan Reeve, der sich selbst als Geek bezeichnet, hat einen Test entwickelt, der feststellen soll, ob Ihr Android-Smartphone ebenfalls betroffen ist. Rufen Sie den Test im Browser Ihres Smartphones aus: dylanreeve.com/phone.php . Wenn Ihr Smartphone daraufhin automatisch die Tastatur zum Wählen einer Telefonnummer und zugleich die IMEI-Nummer in einem Pop-Up anzeigt, sind Sie laut Test von der Sicherheitslücke betroffen. Wird nur „*#06#“ (ohne Anführungszeichen) angezeigt, soll Ihr Smartphone diesbezüglich sicher sein.
 
In der PC-WELT-Redaktion konnten mir mithilfe des Tests das Problem nicht nur mit einem HTC Desire, HTC One S, HTC Sensation XE und Samsung Galaxy GT-I9000 nachstellen, sondern auch mit einem LG Optimus Speed. Letzteres nutzt weder Touchwiz noch Sense. Es drängt sich also die Frage auf, ob ein allgemeines Android-Problem vorliegt – zumindest bei älteren Versionen. Das Sony Xperia Mini mit Android 4.0.4 Build 4.1 war im Redaktions-Check laut Test nicht betroffen (siehe Bild).
 
Samsung hat übrigens schon am Tag nach der Entdeckung der Lücke ein Update bereitgestellt, das die Sicherheitslücke schließen soll. Die Koreaner raten dringend zur Installation des Updates. Alle Betroffenen ohne verfügbares Update können sich die App TelStop oder Auto-Reset Blocker installieren. Die Gratis-Apps führen eine zusätzliche Abfrage ein - der Hacker bekommt die USSD-Codes also nicht mehr automatisch. Aber Vorsicht! Wenn Sie etwa bei TelStop auf "Aktion durchführen mit Telefon" statt auf "Aktion durchführen mit TelStop" tippen, tappen Sie trotzdem in die Falle! Das gilt auch, wenn Sie "Call" im nächsten Fenster wählen! Mit der App NoTelURL unterbinden Sie das Aufrufen von Telefonnummern aus dem Webbrowser komplett. Setzen Sie für mehr Sicherheit ein Häkchen und verwenden Sie "NoTelURL" als Standard, wenn Sie auf das Feature verzichten können.

Update
Auch HTC hat reagiert und der PC-WELT folgendes Statement gegeben:

“Wir sind über eine mögliche USSD-Sicherheitslücke informiert
und haben bereits vor ihrer Bekanntgabe alle erforderlichen
Maßnahmen ergriffen, dieses Problem hinsichtlich unserer Geräte zu
lösen. Unsere Geräte unterstützen zwar keinen USSD-Code, um sie auf
Werkseinstellungen zurückzusetzen. Trotzdem empfehlen wir unseren
Kunden, die Software ihres Gerätes nicht eigenmächtig zu verändern
oder das Gerät zu rooten, um die Sicherheit des Geräts zu erhalten
und weiterhin garantieren zu können. Sicherheit stellt für HTC
einen entscheidenden Teil des umfassenden Nutzererlebnisses auf dem
Gerät dar. Auch in Zukunft hat Sicherheit bei HTC oberste
Priorität.“
Freitag, 28.09.2012 | 15:45 von Benjamin Schischka
Kommentieren Kommentare zu diesem Artikel (21)
  • P.A.C.O. 13:16 | 01.10.2012

    Beim dem o. a. Test schaltet sich auf meinem S3 Lookout dazwischen und warnt mich, den Code ausführen zu lassen.

    Antwort schreiben
  • Testsetter 12:48 | 01.10.2012

    Klappt nur unter dem eigenen Google-Browser, per Opera passiert nichts bei mir. Xperia Neo 4.04

    Antwort schreiben
  • kingjon 11:42 | 01.10.2012

    Moto Razr Phone XT910 auch betroffen!

    Ich habe gerade den Test durchgeführt und bekam eine Nummer und meine Telefontastatur, das heißt das mein Razr auch betroffen ist. Gruß kingjon

    Antwort schreiben
  • unserkleiner 10:50 | 01.10.2012

    Zitat: sven krause
    so nu ihr. hab das update mit meinem sgs2 gestern (27.09.2012) auf version 4.0.4 durchführt. waren etwa 63mb direkt über handy (ohne kies) nach dem test hier im artikel habe ich immer noch die sicherheitslücke da call... und die imei immer noch angezeigt werden. ich bedanke mich bei samsung. für die schnelle hilfe. -
    Kann exakt das gleiche Problem bestätigen. :aua:

    Antwort schreiben
  • Mylin 13:45 | 30.09.2012

    Galaxy Ace mit aktuellem nightly ist nicht betroffen.

    Antwort schreiben
1591058