Eine Sicherheitslücke erlaubt es Angreifern alle Daten auf einem Samsung Galaxy S3 aus der Ferne zu löschen. Alternativ lässt sich auch die SIM-Karte der Opfer sperren. So funktioniert die Lücke: Hacker richten spezielle Webseiten ein, die beim Besuch nach den USSD-Codes (Unstructured Supplementary Service Data) des Smartphones der Opfer fragen und die Codes automatisch an die Angreifer schicken. Die Codes lassen sich dann missbrauchen, um das Smartphone aus der Ferne zu manipulieren. Normalerweise sollten Sie vor dem Abfragen der Handy-Codes ausdrücklich Ihr Okay geben müssen – genau hier versagen die betroffenen Geräte. Doch während der Entdecker der Lücke anfangs noch dachte, es handele sich um eine Lücke in Samsungs hauseigener Software Touchwiz, sieht es nach aktuellem Stand ganz anders aus. Denn, wie jetzt bekannt wurde, sind anscheinend auch HTC-Geräte betroffen. HTC nutzt statt Touchwiz die hauseigene Sense-Oberfläche. Der Neuseeländer Dylan Reeve, der sich selbst als Geek bezeichnet, hat einen Test entwickelt, der feststellen soll, ob Ihr Android-Smartphone ebenfalls betroffen ist. Rufen Sie den Test im Browser Ihres Smartphones aus: dylanreeve.com/phone.php . Wenn Ihr Smartphone daraufhin automatisch die Tastatur zum Wählen einer Telefonnummer und zugleich die IMEI-Nummer in einem Pop-Up anzeigt, sind Sie laut Test von der Sicherheitslücke betroffen. Wird nur „*#06#“ (ohne Anführungszeichen) angezeigt, soll Ihr Smartphone diesbezüglich sicher sein. In der PC-WELT-Redaktion konnten mir mithilfe des Tests das Problem nicht nur mit einem HTC Desire, HTC One S, HTC Sensation XE und Samsung Galaxy GT-I9000 nachstellen, sondern auch mit einem LG Optimus Speed. Letzteres nutzt weder Touchwiz noch Sense. Es drängt sich also die Frage auf, ob ein allgemeines Android-Problem vorliegt – zumindest bei älteren Versionen. Das Sony Xperia Mini mit Android 4.0.4 Build 4.1 war im Redaktions-Check laut Test nicht betroffen (siehe Bild). Samsung hat übrigens schon am Tag nach der Entdeckung der Lücke ein Update bereitgestellt, das die Sicherheitslücke schließen soll. Die Koreaner raten dringend zur Installation des Updates. Alle Betroffenen ohne verfügbares Update können sich die App TelStop oder Auto-Reset Blocker installieren. Die Gratis-Apps führen eine zusätzliche Abfrage ein – der Hacker bekommt die USSD-Codes also nicht mehr automatisch. Aber Vorsicht! Wenn Sie etwa bei TelStop auf “Aktion durchführen mit Telefon” statt auf “Aktion durchführen mit TelStop” tippen, tappen Sie trotzdem in die Falle! Das gilt auch, wenn Sie “Call” im nächsten Fenster wählen! Mit der App NoTelURL unterbinden Sie das Aufrufen von Telefonnummern aus dem Webbrowser komplett. Setzen Sie für mehr Sicherheit ein Häkchen und verwenden Sie “NoTelURL” als Standard, wenn Sie auf das Feature verzichten können.
Update Auch HTC hat reagiert und der PC-WELT folgendes Statement gegeben:
“Wir sind über eine mögliche USSD-Sicherheitslücke informiert und haben bereits vor ihrer Bekanntgabe alle erforderlichen Maßnahmen ergriffen, dieses Problem hinsichtlich unserer Geräte zu lösen. Unsere Geräte unterstützen zwar keinen USSD-Code, um sie auf Werkseinstellungen zurückzusetzen. Trotzdem empfehlen wir unseren Kunden, die Software ihres Gerätes nicht eigenmächtig zu verändern oder das Gerät zu rooten, um die Sicherheit des Geräts zu erhalten und weiterhin garantieren zu können. Sicherheit stellt für HTC einen entscheidenden Teil des umfassenden Nutzererlebnisses auf dem Gerät dar. Auch in Zukunft hat Sicherheit bei HTC oberste Priorität.“ Autor: Benjamin Schischka
Seit 2008 Teil der Redaktion. Schreibt am liebsten über Smartphones, Social Media, Sicherheit & Spiele.