Samsung: Update schließt Sicherheitslücke und wie man testet, ob man betroffen ist
von caschy | 40 Kommentare
Bereits gestern hörte ich aus Samsung-Kreisen, dass man fieberhaft an einer Lösung gegen die gestern bekannt gewordene Sicherheitslücke arbeite. Nicht nur das, man testete bereits sehr fleißig. Laut der International Business Times hat man nun ein Update ausgerollt, welches die Lücke schließen soll. Man gab wie folgt bekannt: „We would like to assure our customers that the recent security issue concerning the GALAXY S III has already been resolved through a software update. We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.“
Gestern wurde bekannt, dass sich einige Geräte, darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S2, unter Umständen (abhängig von der eingesetzten Softwareversion) aus der Ferne löschbar seien. In Ermangelung an ein Samsung Galaxy S3 oder ein Samsung Galaxy S2 kann ich leider nicht testen ob Updates bereit stehen. Ob ihr betroffen seid, könnt ihr hier testen.
Wird der Dialer aufgerufen und die IMEI erscheint, dann solltet ihr euch bis zum Update die kostenlose App NoTelURL installieren. Was diese macht? Steht im Blog des Machers beschrieben. Ich würde jetzt gerne meine üblichen Apple / Android-Späßchen machen um mal wieder die harten Fans ein wenig zu ärgern, aber dazu ist die Sache leider viel zu ernst.
Wird geladen ...
Die IMEI wird beim HTC One x auch angezeigt…
lesen soll helfen…
„NON-SAMSUNG PHONE OWNERS: (and AOSP ROM/Nexus users)
Disregard the results of this test. You’re not vulnerable to this exploit.“
@Caschy:
Warum nennst Du das S3 doppelt?
Zitat:
darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S3,
Bugs/Fehler sind in der Welt der Software omnipräsent, das gehört eben dazu. Es kommt dann immer darauf an, wie schnell die Lücken geschlossen werden. Beim S3 & S2 sollen sie angeblich schon länger mit einem Update gefixt worden sein (S3 wurde ja jetzt bestätigt!), noch bevor diese Lücke bekannt wurde.
Ein schlechtes Beispiel wäre hier WhatsApp, richtig? ;o)
Von daher sage ich: Schwere Lücke, nicht gut, aber sowas kann vorkommen. Samsung hat bei den Top-Modellen schon längst reagiert, top! So muss das sein. Aber es bleiben noch die anderen Modelle und hier wird sich zeigen, wie gut Samsung mit sowas umgehen kann. Reagiert Samsung schnell: Top. Reagiert Samsung gar nicht oder braucht viel zu lange: Setzen, Sechs!
Sicherlich nicht sonderlich verwunderlich aber dennoch interessant zu wissen: Custom-ROMs scheinen nicht betroffen. Konkret hab ich das Galaxy S2 (I9100G) mit der aktuellen CM10 Nightly und bin nicht betroffen.
@mol: Warum? Das bestätigt doch, dass das auf dem HTC One X theoretisch genauso funktioniert. (Ich weiß allerdings nicht, ob der Code der gleiche ist.)
Siehe „It’s not just Samsung“: https://dylanreeve.posterous.com/remote-ussd-attack-its-not-just-samsung
ich habe das Galaxy Nexus mit CM10 Euroskang Nightly und bekomme
folgende Ansicht.
*#06#
da es nicht meine IMEI ist denke ich das es nicht betroffen ist.
(Sorry für den weiteren Kommentar, aber ich kann den letzten nicht bearbeiten)
Das hier wäre der Code für den Hard-Reset beim Htc One X: *#*#7780#*#*
Freiwillige vor 🙂
Samsung Note:
Es wird zwar der Dialer aufgerufen, aber NICHTS angezeigt (keine IMEI)!
Updaze Staus über OTA = keines vorhanden
Toll hier wird immer vom S3 etc. geschrieben.
Ich habe den Link gerade mit meinem Galaxy Tab 7″ p-1000 probiert, bei mir wird die IMEI angezeigt wenn ich auf den Link klicke.
Somit bin ich auch betroffen.
Da bin ich mal gespannt ob Samsung für mein Tab noch ein Update bereitstellen wird.
Ich habe hier ein S3 out of the box mit Android 4.0.4, Baseband I9300XXLH1.
Habe bisher alle angeboteten Updates installiert, nicht gerootet oder sonstwas veranstaltet.
Dieses S3 ist laut dem obigen Test nicht angreifbar …
Ich gehe davon aus, dass der Fehler schon mit dem letzten Updaten von vor ein paar Wochen gefixt wurde …
Gerade beim Galaxy S (I9000) getestet, die IMEI wird angezeigt. Da man bei diesem Handy Monate bis fast Jahre auf neue Updates warten muss installiere ich mir erst mal die App.
Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.
Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX
Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.
Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX
Ahjo: Und ich bekomme zusätzlich noch das Update angeboten (vermutlich auf 4.0.4!)
@Horst:
Bei anderen Telefonen, wie dem OneX, wird bei dem Test zwar die IMEI angezeigt, aber ihr seid von dem „Problem“ nicht betroffen, da (im Gegensatz zu den betroffenen Samsung-Geräten) vor dem Factory-Reset nochmal eine Bestätigung durch den Nutzer notwendig ist.
Ich muss mich korrigieren, nur ein eingebetteter iFrame wird nicht direkt ausgeführt, ein Klick auf einen Link allerdings schon, ich werde gleich ein Video machen und das Verhalten vor und nach dem Update zeigen.
Habe es gerade bei meinem S3 getestet. Der Dialer wird zwar aufgerufen, aber weder der Code übergeben noch die IMEI angezeigt. Gestern Abend gab es über die Samsung Apps aber auch ein Update. Gut möglich, dass der Fehler bei denen, die sofort Updates machen schon behoben ist.
HTC Sensation:
Es poppt ein Fenster auf, wo die IMEI angezeigt wird.
Also ist HTC (zum Teil) nun auch betroffen?
Samsung Galaxy Nexus i9250:
Es wird die Telefontastatur angezeigt und *#06#.
siehe aktueller beitrag #htc
Der Test mit der IMEI-Abfrage führt in die Irre: Die IMEI-Abfrage wird bei meinem Optimus Black mit Stock-ROM ebenfalls automatisch beim Aufruf der „Testseite“ ausgeführt.
Ich habe das deshalb mal selbst getestet:
Gibt man im Wählfeld den IMEI-Abfragecode *#06# manuell ein, wird direkt beim Tippen der letzten Raute der Code ausgeführt.
Bei allen anderen USSD-Codes (z.B. ##002# oder testweise *#05#) wird der Code NICHT automatisch ausgeführt.