USSD-Exploit: nicht nur Samsung ist betroffen

26. September 2012 Kategorie: Android, Backup & Security, geschrieben von: caschy

Gestern hörte ich noch ein paar Spaßvögel lachen, als es um den USSD-Exploit ging, der dafür sorgen konnte, dass man das Gerät aus der Ferne löschen konnte (die Daten, nicht das System). Wäre ja nur Samsung und man hätte ja ein anderes Gerät. Tja – so wie es aussieht sind auch Geräte anderer Hersteller betroffen. Welche Geräte dies genau sind, ist schwer einzugrenzen, hängt die Angriffsmöglichkeit auch davon ab, welchen Standardbrowser man nutzt oder welche Android-Version zum Einsatz kommt.

Folgende betroffene Modelle und Versionen sind bisher bekannt:

  • Samsung Galaxy S3 mit Android 4.04
  • Samsung Galaxy S2
  • Samsung Galaxy Ace, Beam und S Advance
  • HTC One S
  • HTC One X
  • HTC Sensation XE mit Android 4.0.3
  • HTC Desire HD
  • HTC Legend
  • HTC Desire Z
  • Motorola Milestone
  • Motorola Atrix 4G
  • Huawei Ideos

Wie man testen kann, ob das eigene Smartphone anfällig ist und wie man sich davor schützt, beschrieb ich ja bereits hier. Ich zitiere mal Kollege Seeger von AndroidPIT: Dass sich über den Besuch einer Website USSD-Code im Hintergrund ausführen lässt, ist zweifelsohne ein schwerwiegendes Sicherheitsleck. Allerdings sollte man auch die Kirche im Dorf lassen: Bisher sind keine entsprechenden Fälle in freier Wildbahn bekannt, bei denen diese Lücke ausgenutzt wurde.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16503 Artikel geschrieben.


34 Kommentare

Thors.Hamster 26. September 2012 um 14:09 Uhr

Auch das Motorola Defy mit Cyanogenmod 7.2 ist betroffen.

WarpigtheKiller 26. September 2012 um 14:11 Uhr

Es ist ja generell eine Lücke in Android ICS, aber nicht JB! Scheint so, als Google davon wusste. :|
Aber Respekt Caschy. Zwischen dem Tweet von mir und der News liegen gerade mal 11 Minuten. :)

Alles Suender 26. September 2012 um 14:13 Uhr

nexus s – bullet proof gerät mit jb 4.1.1 dazu noch vom härtner (mir) in sicherheitsrelevanten bereichen gehärtet.

DanysAhne 26. September 2012 um 14:35 Uhr

Ich dachte, der Löschcode wäre eine Eigenheit von Samsung-Phones. Das bei anderen Hersteller die normalen(harmlosen) Codes automatisch ausgeführt werden, wäre ja dann nich soo schlimm.

sio 26. September 2012 um 14:40 Uhr

Also mein Xperia S mit ICS sagt “Verbindungsproblem oder ungültiger MMI-Code.”

Tapi 26. September 2012 um 14:44 Uhr

Motorola Defy mit 4.1.1 zeigt *#06# im Wählfenster an.

Erli 26. September 2012 um 14:50 Uhr

SE Xperia pro mit ICS 4.0.4 ist definitiv nicht betroffen.

Wendigo 26. September 2012 um 15:13 Uhr

Na wenn’s bei Jelly Bean nicht mehr auftritt wissen die Hersteller ja jetzt was zu tun ist…
(naja man wird ja wohl noch träumen dürfen ;-) )

Leo 26. September 2012 um 15:21 Uhr

Also ich lade mir das Firware Update gerade runter … ist also auch bei uns verfügbar.

phil 26. September 2012 um 15:25 Uhr

HTC incredible S mit Stock 4.04 wird in Chrome und im Standardbrowser die IMEI angezeigt – ergo betroffen!

Andreas 26. September 2012 um 15:38 Uhr

Oh nein, mein Milestone ist betroffen. Yeah, ich habe ein Testgerät, das wird heute Abend direkt ausprobiert. Ich wusste die ganze Zeit nicht was ich mit dem Telefon machen soll. Ab heute hat es wieder eine Daseinsberechtigung.

Juergen 26. September 2012 um 15:46 Uhr

Auch das HTC Wildfire S (2.3.5) ist betroffen o.O ich dachte immer, dass es so low ist, dass da gar nichts geht, aber es kommt sogar ohne den Dialer anzuzeigen direkt die IMEI – nicht so gut, würde ich sagen…

CP 26. September 2012 um 15:52 Uhr

Beim uralten Galaxy 3 (i5800) unter Froyo gibt es das Problem ebenfalls.

Roman 26. September 2012 um 16:06 Uhr

Beim htc sensation 2.3.4 wird auch die IMEI direkt angezeigt :-(

Ronav 26. September 2012 um 16:07 Uhr

CM9 auf dem DesireZ ist ebenfalls betroffen

Bernd 26. September 2012 um 16:15 Uhr

Unter Steve wäre das nicht passiert! :D

Chris 26. September 2012 um 16:22 Uhr

Das die IMEI angezeit wird, heißt nicht direkt dass die Gerät vom Exploid betroffen sind und schon gar nicht, dass man nicht -Samsung-Geräte auch löschen kann.

Florian 26. September 2012 um 16:40 Uhr

Bei meinem HTC Evo 3D mit Original ROM kommt ebenfalls ohne Dialer die IMEI.

qwertzi 26. September 2012 um 16:50 Uhr

Der Spaß funktoniert auch per QR-Code:
http://qr.kaywa.com/?s=8&d=tel%3A%2A%252306%2523
Zumindest mir QR-Droid bekomme ich gleich meine IMEI angezeigt…
Gibt aber auch schon Apps zum blocken:
https://play.google.com/store/apps/details?id=com.voss.notelurl

egghat 26. September 2012 um 17:21 Uhr

@Bernd:

Steve hat das eingebaut ;-)

aveo89 26. September 2012 um 17:33 Uhr

Auch das alte Samsung Galaxy S (I9000) ist betroffen.

Sumser 26. September 2012 um 18:25 Uhr

HTC Sensation (nicht die XE / XL) ist auch davon betroffen. Mt Android 4.0.3 und der Software 3.32.162.11 Das ist nicht die aktuellste Software, aber Vodafone hat kein Update mehr gebracht. Nachteil von Brandinggeraeten.

HAL9000 26. September 2012 um 22:29 Uhr

HTC One V mit ICS v4.0.3 : Heise USSD-Check positiv

Enrico 27. September 2012 um 08:52 Uhr

Ebenfalls betroffen: Acer Liquid MT, Gingerbread 2.3.6

Installation von NoTelURL löst das Problem erfolgreich.

Alex 27. September 2012 um 10:30 Uhr

auch das ältere HTC Desire mit original Android 2.2.2 ist laut heise.de USSD Check betroffen.

Dominik 27. September 2012 um 13:31 Uhr

Milestone 2 von Motorola mit Android 2.3 ist leider auch betroffen. Zeigte mir auf der Heise-Testseite die IMEI an. Und wie ich motorola kenne… meh.

Marcel 27. September 2012 um 14:32 Uhr

Sony Ericcson Arc S auch betroffen :(

David 27. September 2012 um 18:52 Uhr

ob die Updates bringen?

Benjamin 27. September 2012 um 20:18 Uhr

Wie schon weiter oben geschrieben wurde, funktioniert das Anzeigen der IMEI auch beim Motorola Defy automatisch (Android 2.2 BoatBrowser/Barcode Reader).

Wenn ich das bei dem Test aber richtig verstehe (da steht ja, dass das Ergebnis bei anderen Herstellern keine Bedeutung hat), ist das nicht ganz so schlimm, das nicht jedes Telefon diesen USSD-Löschcode hat, oder?
Man wüsste also nur, dass man generell, egal ob der schlimme Code bei diesem Modell nun funktioniert oder nicht, sicher wäre, wenn das Telefon überhaupt keine USSD-Codes ausführen würde. Da sollte man also noch ein bisschen differenzieren, denke ich und nicht gleich die ganz große Panik machen.


4 Trackback(s)

26. September 2012
USSD-Exploit - Android-Hilfe.de
26. September 2012
[AOSP-ROM][ICS] *29.08.12* Cyanogen (mod) 9.1 Fragen - Antworten - Diskussionen - Seite 1097 - Android-Hilfe.de
26. September 2012
USSD-Bug am Galaxy S Plus vorhanden - Android-Hilfe.de
30. September 2012
Immer wieder sonntags KW 38

Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.