USSD-Hack

Achtung - Android-Hack löscht Smartphones

Montag den 03.12.2012 um 10:00 Uhr

von Arne Arnold

Bildergalerie öffnen Für mögliche Sicherheitsmaßnahmen kommt bereits ein Firmware-Update in Frage. Wenn das nicht hilft, kann man sich an passende Sicherheitsapps wenden.
© iStockphoto.com/Juniorbeep
Ein Tipp auf einen falschen Link genügt und Ihr Smartphone löscht alle gespeicherten Daten von selbst. So funktioniert ein neuer Hack – und so schützen Sie Ihr Handy.
Die Entdeckung von Ravi Borgaonkar schlug ein wie eine Bombe. Der Forscher zeigte auf einer Sicherheitskonferenz, wie er mit einem Samsung Galaxy S3 eine Website öffnete und sich daraufhin das Handy komplett selbst löschte. Schuld war ein USSD-Code (Unstructured Supplementary Service Data), der in der Website integriert war. Betroffen ist nicht nur das Galaxy S3, sondern auch andere Android-Modelle. Zudem soll über einen anderen USSD-Hack das Sperren der SIM-Karte möglich sein.

Das steckt hinter den mächtigen USSD-Codes
Die USSD-Codes sind eigentlich Servicebefehle. Es gibt sie schon länger als das Android-System. USSD-Codes werden von den Handyherstellern wie auch von den Netz-Providern individuell in ein Handymodell implementiert. Anwender von Prepaid-Handys etwa können meist mit dem Befehl *100# abfragen, wie hoch ihr Guthaben ist. Auch das ist ein USSD-Code. Das System ist allerdings nicht normiert. Welche Codes funktionieren, variiert von Netz-Provider zu Netz-Provider ebenso wie von Gerätehersteller zu Gerätehersteller. Servicetechniker können bei manchen Handys mit einem USSD das Smartphone in den Werkszustand versetzen, also löschen. Fatalerweise gelingt das nicht nur Servicetechnikern, sondern jedem, der den Code kennt.


Der Smartphone-Test: So sieht die Anzeige bei einem
Android-Gerät aus, wenn es nicht für die USSD-Schwachstelle in der
Telefon-App anfällig ist.
Vergrößern Der Smartphone-Test: So sieht die Anzeige bei einem Android-Gerät aus, wenn es nicht für die USSD-Schwachstelle in der Telefon-App anfällig ist.

Hacker-Handwerk: Schwächen kombinieren
Natürlich waren die USSD-Codes auch schon anderen Sicherheitsforschern bekannt. Doch Ravi Borgaonkar war der erste, der die Codes geschickt mit weiteren Techniken im IT-System kombinierte und so in der Summe eine Schwachstelle aufdeckte. Er setzte den USSD-Code in den „tel:“-Befehl ein, wie er oft auf Webseiten genutzt wird. Der Befehl tel: ist ebenfalls nichts besonders. Er zählt zu den vielen Uniform Resource Identifiern (URIs), wie sie häufig auf Webseiten auftauchen. Bekannt ist etwa auch „mailto:“, um eine Mailadresse auf einer Website anklickbar zu machen. Der URI tel:11833 auf einer Website dient etwa dazu, um per Klick oder Tipp darauf automatisch die Auskunft der Telekom anzuwählen.

Ravi Borgaonkar hat also den USSD-Code zum Löschen des Samsung Galaxy S3 mit tel: kombiniert und in einem iFrame auf eine Webseite gepackt, was ungefähr so aussieht: <iframe src="tel:*2767*3855%23" ></frame>. Wer mit seinem Galaxy-S3 mit Android 4.0.4 eine so präparierte Webseite aufruft, kann nur noch zusehen, wie sich sein Handy auf null stellt. Denn als dritte Schwachstelle kommt eine Eigenart der Android-Telefon-App hinzu. Sie verarbeitet ohne jede Rückfrage nicht nur Telefonnummern, sondern auch USSD-Codes.


NFC-Hack: Wie grauenhaft das Sicherheitsleck wirklich ist, zeigten weitere Demonstrationen. Der USSD-Hack lässt sich nicht nur über eine Website durchführen, er funktioniert auch per NFC, also drahtlos, oder per QR-Code. Letztendlich kann vermutlich jede App, die Zugriff auf die Telefon-App hat, den USSD-Code ausführen.

I st Ihr Android-Gerät verwundbar? So testen Sie es Ob Ihr Handy für die Sicherheitslücke in der Telefon-App anfällig ist, testen Sie mit einem Besuch auf der harmlosen Sicherheitsseite www.isk.kth.se/~rbbo/testussd.html . Der Test nutzt den USSD-Code, der bei den meisten Geräten die IMEI anzeigen lässt, also die Gerätekennung. Wird Ihnen die IMEI Ihres Handys angezeigt, ist zumindest Ihre Telefon-App anfällig. Das heißt aber noch lange nicht, dass es für Ihr Handy auch einen USSD-Code gibt, der das Gerät löscht.

So schützen Sie Ihr Handy: Laden Sie das neueste Update für Ihr Smartphone herunter. Samsung zum Beispiel hat bereits für alle betroffenen Geräte Firmware-Updates bereitgestellt. Sollte Ihr Android-Handy auch mit neuester verfügbarer Firmware und Android-Version anfällig sein, können Sie eine der vielen neuen URI-tel-Blocker einsetzen. Empfehlenswert ist etwa die kostenlose App „ Notelurl “.

Montag den 03.12.2012 um 10:00 Uhr

von Arne Arnold

Kommentieren Kommentare zu diesem Artikel (2)
  • WindowsMark 11:58 | 07.05.2013

    Danke für deinen Tipp.

    Antwort schreiben
  • Batavia 15:53 | 18.03.2013

    USSD Hack

    Hallo Arne,

    habe mir Deinen Beitrag angeschau - erst einmal danke für diesen Tip.
    Die von Dir vorgeschlagen Seite (www.isk.kth.se/~rbbo/testussd.html) hab ich auf meinem Handy getestet und der Avast (Antivirus) blockte sofort die Seite, da er die Übermittlung eines schädlichen Codes entdeckte.

    Also mein zusätzlicher Tip wäre den Avast sich über Playstore sich kostenlos zu besorgen und zu installiern.

    Antwort schreiben
1636738