Samsung: Update schließt Sicherheitslücke und wie man testet, ob man betroffen ist

Bereits gestern hörte ich aus Samsung-Kreisen, dass man fieberhaft an einer Lösung gegen die gestern bekannt gewordene Sicherheitslücke arbeite. Nicht nur das, man testete bereits sehr fleißig. Laut der International Business Times hat man nun ein Update ausgerollt, welches die Lücke schließen soll. Man gab wie folgt bekannt: „We would like to assure our customers that the recent security issue concerning the GALAXY S III  has already been resolved through a software update. We recommend all GALAXY S III customers to download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.“

Gestern wurde bekannt, dass sich einige Geräte, darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S2, unter Umständen (abhängig von der eingesetzten Softwareversion) aus der Ferne löschbar seien. In Ermangelung an ein Samsung Galaxy S3 oder ein Samsung Galaxy S2 kann ich leider nicht testen ob Updates bereit stehen. Ob ihr betroffen seid, könnt ihr hier testen.

Wird der Dialer aufgerufen und die IMEI erscheint, dann solltet ihr euch bis zum Update die kostenlose App NoTelURL installieren. Was diese macht? Steht im Blog des Machers beschrieben. Ich würde jetzt gerne meine üblichen Apple / Android-Späßchen machen um mal wieder die harten Fans ein wenig zu ärgern, aber dazu ist die Sache leider viel zu ernst.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

40 Kommentare

  1. Die IMEI wird beim HTC One x auch angezeigt…

  2. lesen soll helfen…

    „NON-SAMSUNG PHONE OWNERS: (and AOSP ROM/Nexus users)
    Disregard the results of this test. You’re not vulnerable to this exploit.“

  3. @Caschy:
    Warum nennst Du das S3 doppelt?

    Zitat:
    darunter die Topseller Samsung Galaxy S3 und das Samsung Galaxy S3,

  4. Bugs/Fehler sind in der Welt der Software omnipräsent, das gehört eben dazu. Es kommt dann immer darauf an, wie schnell die Lücken geschlossen werden. Beim S3 & S2 sollen sie angeblich schon länger mit einem Update gefixt worden sein (S3 wurde ja jetzt bestätigt!), noch bevor diese Lücke bekannt wurde.
    Ein schlechtes Beispiel wäre hier WhatsApp, richtig? ;o)

    Von daher sage ich: Schwere Lücke, nicht gut, aber sowas kann vorkommen. Samsung hat bei den Top-Modellen schon längst reagiert, top! So muss das sein. Aber es bleiben noch die anderen Modelle und hier wird sich zeigen, wie gut Samsung mit sowas umgehen kann. Reagiert Samsung schnell: Top. Reagiert Samsung gar nicht oder braucht viel zu lange: Setzen, Sechs!

  5. Sicherlich nicht sonderlich verwunderlich aber dennoch interessant zu wissen: Custom-ROMs scheinen nicht betroffen. Konkret hab ich das Galaxy S2 (I9100G) mit der aktuellen CM10 Nightly und bin nicht betroffen.

  6. @mol: Warum? Das bestätigt doch, dass das auf dem HTC One X theoretisch genauso funktioniert. (Ich weiß allerdings nicht, ob der Code der gleiche ist.)

    Siehe „It’s not just Samsung“: https://dylanreeve.posterous.com/remote-ussd-attack-its-not-just-samsung

  7. ich habe das Galaxy Nexus mit CM10 Euroskang Nightly und bekomme
    folgende Ansicht.

    *#06#

    da es nicht meine IMEI ist denke ich das es nicht betroffen ist.

  8. (Sorry für den weiteren Kommentar, aber ich kann den letzten nicht bearbeiten)
    Das hier wäre der Code für den Hard-Reset beim Htc One X: *#*#7780#*#*

    Freiwillige vor 🙂

  9. Samsung Note:

    Es wird zwar der Dialer aufgerufen, aber NICHTS angezeigt (keine IMEI)!

    Updaze Staus über OTA = keines vorhanden

  10. Toll hier wird immer vom S3 etc. geschrieben.
    Ich habe den Link gerade mit meinem Galaxy Tab 7″ p-1000 probiert, bei mir wird die IMEI angezeigt wenn ich auf den Link klicke.

    Somit bin ich auch betroffen.

    Da bin ich mal gespannt ob Samsung für mein Tab noch ein Update bereitstellen wird.

  11. Ich habe hier ein S3 out of the box mit Android 4.0.4, Baseband I9300XXLH1.

    Habe bisher alle angeboteten Updates installiert, nicht gerootet oder sonstwas veranstaltet.

    Dieses S3 ist laut dem obigen Test nicht angreifbar …

    Ich gehe davon aus, dass der Fehler schon mit dem letzten Updaten von vor ein paar Wochen gefixt wurde …

  12. Gerade beim Galaxy S (I9000) getestet, die IMEI wird angezeigt. Da man bei diesem Handy Monate bis fast Jahre auf neue Updates warten muss installiere ich mir erst mal die App.

  13. Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.

    Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX

  14. Ich habe das gerade mal auf meinem Galaxy SII (ohne Providerbindung) mit einer präparierten Webseite mit dem Code *2767*3855 getestet und ein eingebundener IFrame mit der tel URL als Quelle öffnet gar nicht. Ein präparierter Link öffnet nur die Telefon APP, ich muss allerdings nochmal auf die Wähltaste drücken, damit der Code ausgeführt wird.

    Offizielles Android 4.0.3 von Samsung, Basisband: i9100XXLPX

    Ahjo: Und ich bekomme zusätzlich noch das Update angeboten (vermutlich auf 4.0.4!)

  15. @Horst:
    Bei anderen Telefonen, wie dem OneX, wird bei dem Test zwar die IMEI angezeigt, aber ihr seid von dem „Problem“ nicht betroffen, da (im Gegensatz zu den betroffenen Samsung-Geräten) vor dem Factory-Reset nochmal eine Bestätigung durch den Nutzer notwendig ist.

  16. Ich muss mich korrigieren, nur ein eingebetteter iFrame wird nicht direkt ausgeführt, ein Klick auf einen Link allerdings schon, ich werde gleich ein Video machen und das Verhalten vor und nach dem Update zeigen.

  17. Habe es gerade bei meinem S3 getestet. Der Dialer wird zwar aufgerufen, aber weder der Code übergeben noch die IMEI angezeigt. Gestern Abend gab es über die Samsung Apps aber auch ein Update. Gut möglich, dass der Fehler bei denen, die sofort Updates machen schon behoben ist.

  18. HTC Sensation:
    Es poppt ein Fenster auf, wo die IMEI angezeigt wird.
    Also ist HTC (zum Teil) nun auch betroffen?

    Samsung Galaxy Nexus i9250:
    Es wird die Telefontastatur angezeigt und *#06#.

  19. siehe aktueller beitrag #htc

  20. Der Test mit der IMEI-Abfrage führt in die Irre: Die IMEI-Abfrage wird bei meinem Optimus Black mit Stock-ROM ebenfalls automatisch beim Aufruf der „Testseite“ ausgeführt.

    Ich habe das deshalb mal selbst getestet:
    Gibt man im Wählfeld den IMEI-Abfragecode *#06# manuell ein, wird direkt beim Tippen der letzten Raute der Code ausgeführt.

    Bei allen anderen USSD-Codes (z.B. ##002# oder testweise *#05#) wird der Code NICHT automatisch ausgeführt.

  21. Bei meinem Sony Xperia U, Android 2.3.7, wird die IMEI auch angezeigt, wenn ich auf den Link klicke…

  22. Der Test ist in der Tat verwirrend, weil die Ausführung der Codes unterschiedlich ist. Gibt es hier bereits eine brauchbare Alternative?

  23. Nochmal bitte für mich: Was heißt es, wenn bei mir der Code *#06# angezeigt wird? Sicher oder gefährdet? Bitte um Erklärung. Seh da nämlich noch nicht so ganz durch… 😉

  24. Bei meinem Galaxy S i9000 mit CM9 stable wird auch die IMEI angezeigt. Lieber mal die App installieren…

  25. Samsung Galaxy W GT-I8150 ist auch betroffen.

  26. „In Ermangelung an ein“ gibt es nicht, es muss heißen „in Ermangelung EINES Samsungs / Gartenzwergs / Blumentopfs etc…“

  27. Mein Galaxy S mit CynogenMod 9 zeigt mir bei der URL aber auch den Dialer + IMEI 🙁

  28. Hmm…man soll das Ergebnis mit Custom ROMs ja ignorieren…hab die App trotzdem installiert. Safety first 🙂

  29. Caschy, ich finds irgendwie langsam ein bisschen peinlich wie du mit einem Beitrag gegen Androidfanboys geschossen hast, selbst, auch sei es nicht ernst gemeint, immer wieder rumstichelst.

  30. @Gabe: Ich stichle auch gegen Apple-Fanboys, weil mir beide Lager der Verstrahlten auf den Sack gehen. Aber du siehst halt immer nur gerne die eine Seite 😉

  31. Liegt evtl. dran, dass ich die iOS Beiträge oft nur überfliege. 😀
    In meinen Augen geben sich die beiden Fanboylager nicht viel, bin aber bestimmt toleranter was die Andys angeht. 😉
    Ich musste letztens in ein Apple Store wegen Garantieaustausch, nach der Geschichte bin ich wohl zusätzlicher sensibilisierter, wenns um Apples Kundenfreundlichkeit geht.
    Ich schlag mich beruflich und privat mehr mit Problemen im Umfeld von iPhones/iPads rum als Android Geräte, wie ist das bei dir so?

  32. Apples Kundenfreundlichkeit ist doch eigentlich großartig, nie besseres erlebt. Tjoa. Womit habe ich im Umfeld mehr zu tun? Ich blocke meistens ab und sage, ich hätte keine Ahnung 😉 Ernsthaft: bunt gemischt.

  33. Samsung Galaxy SII: ja, meine IMEI erscheint. Habe mich heute morgen schon gefragt, warum ein Softwareupdate angeboten wird. Bin gerade dabei, es zu laden.

  34. Nicht die Kundenfreundlichkeit was Benutzung etc angeht. Ich meinte damit direkt die blauen Hemden im Apple Store. Nachdem man das Produkt gekauft hat. Ohne Termin bei irgend einem „Genius“. Evtl liegts auch an dem Apple Store hier, aber die werden ja wohl überall nach dem gleichen Prinzip aufgebaut sein. Aber ja, hatte da wohl einfach Pech und eine schlechte Erfahrung gemacht.
    Bunt gemischt? Erstaunlich, dann wechselt es sich wenigstens bisschen ab. 😀

  35. Ich bin nicht begeistert. Kann sin, dass das Update nun die Sicherheiteslücke geschlossen hat, aber mein Akku ist nun noch schneller leer, als nach dem Update auf Ice Cream Sandwich, wo das ja auch schon bekannt war. Bis gestern musste ich meinen Akku jede Nacht laden. Nun traue ich mich selbst mit vollem Akku fast nicht mehr aus dem Haus. Maximal nen halben Tag hält er noch. Ich telefoniere extrem wenig …
    Hat jemand ähnliche Erfahrungen?

  36. Ich habe heute für das SGS2 das 4.0.4-Update bekommen und stehe weiterhin auf der Abschussliste dieser Sicherheitslücke 🙁

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.