Samsung: Update schließt Sicherheitslücke und wie man testet, ob man betroffen ist

26. September 2012 Kategorie: Android, Backup & Security, Mobile, geschrieben von: caschy

Bereits gestern hörte ich aus Samsung-Kreisen, dass man fieberhaft an einer Lösung gegen die gestern bekannt gewordene Sicherheitslücke arbeite. Nicht nur das, man testete bereits sehr fleißig. Laut der International Business Times hat man nun ein Update ausgerollt, welches die Lücke schließen soll. Man gab wie folgt bekannt: “We would like to assure our customers that the recent security issue concerning the GALAXY S III  has already been resolved through a software update. We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.”

Gestern wurde bekannt, dass sich einige Geräte, darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S2, unter Umständen (abhängig von der eingesetzten Softwareversion) aus der Ferne löschbar seien. In Ermangelung an ein Samsung Galaxy S3 oder ein Samsung Galaxy S2 kann ich leider nicht testen ob Updates bereit stehen. Ob ihr betroffen seid, könnt ihr hier testen.

Wird der Dialer aufgerufen und die IMEI erscheint, dann solltet ihr euch bis zum Update die kostenlose App NoTelURL installieren. Was diese macht? Steht im Blog des Machers beschrieben. Ich würde jetzt gerne meine üblichen Apple / Android-Späßchen machen um mal wieder die harten Fans ein wenig zu ärgern, aber dazu ist die Sache leider viel zu ernst.

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15407 Artikel geschrieben.


40 Kommentare

horst 26. September 2012 um 11:35 Uhr

Die IMEI wird beim HTC One x auch angezeigt…

moi 26. September 2012 um 11:38 Uhr

lesen soll helfen…

“NON-SAMSUNG PHONE OWNERS: (and AOSP ROM/Nexus users)
Disregard the results of this test. You’re not vulnerable to this exploit.”

Markus 26. September 2012 um 11:38 Uhr

@Caschy:
Warum nennst Du das S3 doppelt?

Zitat:
darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S3,

Guest 26. September 2012 um 11:40 Uhr

Bugs/Fehler sind in der Welt der Software omnipräsent, das gehört eben dazu. Es kommt dann immer darauf an, wie schnell die Lücken geschlossen werden. Beim S3 & S2 sollen sie angeblich schon länger mit einem Update gefixt worden sein (S3 wurde ja jetzt bestätigt!), noch bevor diese Lücke bekannt wurde.
Ein schlechtes Beispiel wäre hier WhatsApp, richtig? ;o)

Von daher sage ich: Schwere Lücke, nicht gut, aber sowas kann vorkommen. Samsung hat bei den Top-Modellen schon längst reagiert, top! So muss das sein. Aber es bleiben noch die anderen Modelle und hier wird sich zeigen, wie gut Samsung mit sowas umgehen kann. Reagiert Samsung schnell: Top. Reagiert Samsung gar nicht oder braucht viel zu lange: Setzen, Sechs!

Andi 26. September 2012 um 11:43 Uhr

Sicherlich nicht sonderlich verwunderlich aber dennoch interessant zu wissen: Custom-ROMs scheinen nicht betroffen. Konkret hab ich das Galaxy S2 (I9100G) mit der aktuellen CM10 Nightly und bin nicht betroffen.

Horst 26. September 2012 um 11:56 Uhr

@mol: Warum? Das bestätigt doch, dass das auf dem HTC One X theoretisch genauso funktioniert. (Ich weiß allerdings nicht, ob der Code der gleiche ist.)

Siehe “It’s not just Samsung”: https://dylanreeve.posterous.com/remote-ussd-attack-its-not-just-samsung

mr.a 26. September 2012 um 11:58 Uhr

ich habe das Galaxy Nexus mit CM10 Euroskang Nightly und bekomme
folgende Ansicht.

*#06#

da es nicht meine IMEI ist denke ich das es nicht betroffen ist.

Horst 26. September 2012 um 12:02 Uhr

(Sorry für den weiteren Kommentar, aber ich kann den letzten nicht bearbeiten)
Das hier wäre der Code für den Hard-Reset beim Htc One X: *#*#7780#*#*

Freiwillige vor :)

Typografix 26. September 2012 um 12:07 Uhr

Samsung Note:

Es wird zwar der Dialer aufgerufen, aber NICHTS angezeigt (keine IMEI)!

Updaze Staus über OTA = keines vorhanden

svenp 26. September 2012 um 12:14 Uhr

Toll hier wird immer vom S3 etc. geschrieben.
Ich habe den Link gerade mit meinem Galaxy Tab 7″ p-1000 probiert, bei mir wird die IMEI angezeigt wenn ich auf den Link klicke.

Somit bin ich auch betroffen.

Da bin ich mal gespannt ob Samsung für mein Tab noch ein Update bereitstellen wird.

Stephan 26. September 2012 um 12:27 Uhr

Ich habe hier ein S3 out of the box mit Android 4.0.4, Baseband I9300XXLH1.

Habe bisher alle angeboteten Updates installiert, nicht gerootet oder sonstwas veranstaltet.

Dieses S3 ist laut dem obigen Test nicht angreifbar …

Ich gehe davon aus, dass der Fehler schon mit dem letzten Updaten von vor ein paar Wochen gefixt wurde …

Smoozles 26. September 2012 um 12:31 Uhr

Gerade beim Galaxy S (I9000) getestet, die IMEI wird angezeigt. Da man bei diesem Handy Monate bis fast Jahre auf neue Updates warten muss installiere ich mir erst mal die App.

Johannes 26. September 2012 um 12:49 Uhr

Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.

Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX

Johannes 26. September 2012 um 12:49 Uhr

Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.

Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX

Ahjo: Und ich bekomme zusätzlich noch das Update angeboten (vermutlich auf 4.0.4!)

Basti 26. September 2012 um 12:50 Uhr

@Horst:
Bei anderen Telefonen, wie dem OneX, wird bei dem Test zwar die IMEI angezeigt, aber ihr seid von dem “Problem” nicht betroffen, da (im Gegensatz zu den betroffenen Samsung-Geräten) vor dem Factory-Reset nochmal eine Bestätigung durch den Nutzer notwendig ist.

Johannes 26. September 2012 um 13:01 Uhr

Ich muss mich korrigieren, nur ein eingebetteter iFrame wird nicht direkt ausgeführt, ein Klick auf einen Link allerdings schon, ich werde gleich ein Video machen und das Verhalten vor und nach dem Update zeigen.

Tobias 26. September 2012 um 13:23 Uhr

Habe es gerade bei meinem S3 getestet. Der Dialer wird zwar aufgerufen, aber weder der Code übergeben noch die IMEI angezeigt. Gestern Abend gab es über die Samsung Apps aber auch ein Update. Gut möglich, dass der Fehler bei denen, die sofort Updates machen schon behoben ist.

Bulli 26. September 2012 um 13:49 Uhr

HTC Sensation:
Es poppt ein Fenster auf, wo die IMEI angezeigt wird.
Also ist HTC (zum Teil) nun auch betroffen?

Samsung Galaxy Nexus i9250:
Es wird die Telefontastatur angezeigt und *#06#.

caschy 26. September 2012 um 14:04 Uhr

siehe aktueller beitrag #htc

NetzBlogR 26. September 2012 um 14:30 Uhr

Der Test mit der IMEI-Abfrage führt in die Irre: Die IMEI-Abfrage wird bei meinem Optimus Black mit Stock-ROM ebenfalls automatisch beim Aufruf der “Testseite” ausgeführt.

Ich habe das deshalb mal selbst getestet:
Gibt man im Wählfeld den IMEI-Abfragecode *#06# manuell ein, wird direkt beim Tippen der letzten Raute der Code ausgeführt.

Bei allen anderen USSD-Codes (z.B. ##002# oder testweise *#05#) wird der Code NICHT automatisch ausgeführt.

Stefan 26. September 2012 um 14:35 Uhr

Bei meinem Sony Xperia U, Android 2.3.7, wird die IMEI auch angezeigt, wenn ich auf den Link klicke…

gabel 26. September 2012 um 14:44 Uhr

Der Test ist in der Tat verwirrend, weil die Ausführung der Codes unterschiedlich ist. Gibt es hier bereits eine brauchbare Alternative?

Maja 26. September 2012 um 15:25 Uhr

Nochmal bitte für mich: Was heißt es, wenn bei mir der Code *#06# angezeigt wird? Sicher oder gefährdet? Bitte um Erklärung. Seh da nämlich noch nicht so ganz durch… ;)

Alexander 26. September 2012 um 15:39 Uhr

Bei meinem Galaxy S i9000 mit CM9 stable wird auch die IMEI angezeigt. Lieber mal die App installieren…

Johannes 26. September 2012 um 17:37 Uhr

Samsung Galaxy W GT-I8150 ist auch betroffen.

Joe 26. September 2012 um 18:57 Uhr

“In Ermangelung an ein” gibt es nicht, es muss heißen “in Ermangelung EINES Samsungs / Gartenzwergs / Blumentopfs etc…”

Timo 26. September 2012 um 20:03 Uhr

Mein Galaxy S mit CynogenMod 9 zeigt mir bei der URL aber auch den Dialer + IMEI :(

Timo 26. September 2012 um 20:13 Uhr

Hmm…man soll das Ergebnis mit Custom ROMs ja ignorieren…hab die App trotzdem installiert. Safety first :)

Gabe 27. September 2012 um 09:15 Uhr

Caschy, ich finds irgendwie langsam ein bisschen peinlich wie du mit einem Beitrag gegen Androidfanboys geschossen hast, selbst, auch sei es nicht ernst gemeint, immer wieder rumstichelst.

caschy 27. September 2012 um 09:26 Uhr

@Gabe: Ich stichle auch gegen Apple-Fanboys, weil mir beide Lager der Verstrahlten auf den Sack gehen. Aber du siehst halt immer nur gerne die eine Seite ;)

Gabe 27. September 2012 um 11:11 Uhr

Liegt evtl. dran, dass ich die iOS Beiträge oft nur überfliege. :D
In meinen Augen geben sich die beiden Fanboylager nicht viel, bin aber bestimmt toleranter was die Andys angeht. ;)
Ich musste letztens in ein Apple Store wegen Garantieaustausch, nach der Geschichte bin ich wohl zusätzlicher sensibilisierter, wenns um Apples Kundenfreundlichkeit geht.
Ich schlag mich beruflich und privat mehr mit Problemen im Umfeld von iPhones/iPads rum als Android Geräte, wie ist das bei dir so?

caschy 27. September 2012 um 11:32 Uhr

Apples Kundenfreundlichkeit ist doch eigentlich großartig, nie besseres erlebt. Tjoa. Womit habe ich im Umfeld mehr zu tun? Ich blocke meistens ab und sage, ich hätte keine Ahnung ;) Ernsthaft: bunt gemischt.

pixelgeizer 27. September 2012 um 13:08 Uhr

Samsung Galaxy SII: ja, meine IMEI erscheint. Habe mich heute morgen schon gefragt, warum ein Softwareupdate angeboten wird. Bin gerade dabei, es zu laden.

Gabe 27. September 2012 um 16:10 Uhr

Nicht die Kundenfreundlichkeit was Benutzung etc angeht. Ich meinte damit direkt die blauen Hemden im Apple Store. Nachdem man das Produkt gekauft hat. Ohne Termin bei irgend einem “Genius”. Evtl liegts auch an dem Apple Store hier, aber die werden ja wohl überall nach dem gleichen Prinzip aufgebaut sein. Aber ja, hatte da wohl einfach Pech und eine schlechte Erfahrung gemacht.
Bunt gemischt? Erstaunlich, dann wechselt es sich wenigstens bisschen ab. :D

pixelgeizer 28. September 2012 um 12:05 Uhr

Ich bin nicht begeistert. Kann sin, dass das Update nun die Sicherheiteslücke geschlossen hat, aber mein Akku ist nun noch schneller leer, als nach dem Update auf Ice Cream Sandwich, wo das ja auch schon bekannt war. Bis gestern musste ich meinen Akku jede Nacht laden. Nun traue ich mich selbst mit vollem Akku fast nicht mehr aus dem Haus. Maximal nen halben Tag hält er noch. Ich telefoniere extrem wenig …
Hat jemand ähnliche Erfahrungen?

Stephan 28. September 2012 um 21:29 Uhr

Ich habe heute für das SGS2 das 4.0.4-Update bekommen und stehe weiterhin auf der Abschussliste dieser Sicherheitslücke :(


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.