Cris_
Stamm-User
- 178
Kombiniere: Ja!
# Gesendet von meinem Atari 130 - XE #
# Gesendet von meinem Atari 130 - XE #
Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne
- 495 Antworten
- Letztes Antwortdatum
jrahe
Erfahrenes Mitglied
- 112
TEST auf der von Heise eingerichteten Seite: USSD-Check | heise Security
(Seite testweise aufgerufen natürlich ohne "NoTelURL")
Ergebnis für mein Motorola Defy:
Defy (ohne "+") - CM7 Version "WhiteRabbit v1.7" - Opera Mobile v12.00 - relativ sicher - Code wird nicht automatisch ausgeführt, sondern es erscheint eine Meldung von Opera "Frameinhalt nicht angezeigt" mit der Option "Zum Anzeigen klicken". Beim Klicken wird dann allerdings der Code sofort ausgeführt und die IMEI angezeigt.
ACHTUNG:
Gleiches Gerät wie oben testweise installiert:
- Dolphin v8.8.2 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Skyfire beta v4.1.0 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Firefox v15.0.1 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 2.3.7 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
Opera noch einmal gegengecheckt = bleibt bei dem Ergebnis = Opera ist der einzige halbwegs sichere Browser auf dem oben beschriebenen Defy.
Gruß Jörg
(Seite testweise aufgerufen natürlich ohne "NoTelURL")
Ergebnis für mein Motorola Defy:
Defy (ohne "+") - CM7 Version "WhiteRabbit v1.7" - Opera Mobile v12.00 - relativ sicher - Code wird nicht automatisch ausgeführt, sondern es erscheint eine Meldung von Opera "Frameinhalt nicht angezeigt" mit der Option "Zum Anzeigen klicken". Beim Klicken wird dann allerdings der Code sofort ausgeführt und die IMEI angezeigt.
ACHTUNG:
Gleiches Gerät wie oben testweise installiert:
- Dolphin v8.8.2 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Skyfire beta v4.1.0 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Firefox v15.0.1 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
- Stock Browser Android 2.3.7 => UNSICHER - sofortige Ausführung des Codes - Anzeige IMEI
Opera noch einmal gegengecheckt = bleibt bei dem Ergebnis = Opera ist der einzige halbwegs sichere Browser auf dem oben beschriebenen Defy.
Gruß Jörg
Zuletzt bearbeitet:
D
Donngal
Neues Mitglied
- 0
mit dem original motorala System ist das Defy auch betroffen. Aber nur mit dem hauseigenem Browser. Mit Opera Mobile nicht.
JaR01
Erfahrenes Mitglied
- 47
Meins war auch betroffen, Software von huexx v6.4o
MfG
MfG
XeLLaR
Dauer-User
- 620
Cynob schrieb:
KQE V2. Mehr Bugs mehr Spaß
Villeicht könntest du auch die T-Com firmware so umbasteln das man nichtsmehr vom T-Com branding mehr sieht.
GeRe
Dauer-User
- 697
Hoffentlich ist das nicht eine falschverstandene Sicherheit, da ich gelesen habe, dass der "Angriff" auch mittels einer SMS stattfinden kann. Da hilft dir der Browser Opera auch nicht unbedingt weiter. Hier steht dazu auf der HEISE Seite noch folgender Text: Öffnen einer eine bösartigen Web-Seite oder sogar schon beim Lesen einer WAP-Push-Nachricht ausgelöst. Dies ist bei einer ganzen Reihe von Android-Smartphones der Fall
Das mit Opera kann ich auch auf dem SGS2 bestätigen. ich habe den Check durchgeführt (siehe dazu den Screenshot)
Das mit Opera kann ich auch auf dem SGS2 bestätigen. ich habe den Check durchgeführt (siehe dazu den Screenshot)
Anhänge
Zuletzt bearbeitet:
Dexxmor
Philosoph
- 1.262
Auch hier, ihr solltet euch eine AOSP (CyanogenMod) Basierende ROM auf euer Handy flashen, ist sicherer. Sicherheit gegen Garantie.
Cedarmine
Fortgeschrittenes Mitglied
- 26
2five schrieb:
Ja klar. SD-Karte aus dem Handy nehmen und über einen Kartenlesen in Windows mounten. Unter Windows gibts jede Menge Programme, um gelöschte Dateien wieder herzustellen. Z.B. den Rcuva Undelete von Piriform
Recuva - Undelete, Unerase, File and Disk Recovery - Free Download
Cedarmine
Cynob
Enthusiast
- 1.019
Öhm ich wollte (wenn ich überhaupt was erreiche!) das auf meine rom portieren, Aber ich kann ja die tkom fw mal flashen und schauen wo die ganzen brandings liegen.
jrahe
Erfahrenes Mitglied
- 112
Naja, 2five hat ein SGS 2 mit entsprechendem internen Speicher. Möglich, daß er/sie somit gar keine SD-Karte aus dem Handy nehmen und im PC einlesen kann.
Wieso werden eigentlich bei einem Werksreset die Daten auf einer SD-Karte resp. dem internen SD-Speicher beim SGS 2 gelöscht?
Gruß Jörg
Wieso werden eigentlich bei einem Werksreset die Daten auf einer SD-Karte resp. dem internen SD-Speicher beim SGS 2 gelöscht?
Gruß Jörg
mthesche
Erfahrenes Mitglied
- 56
Jelly Bean sollte imun dagegen sein. Da Google das problem dort beseitigt hat. Was genau sollte den passieren wenn ich auf den obersten Link klicke? Bei mir kommt will er in Internet. Dann öffnet sich der Dialer mit der Nummer *#06# oder so ähnlich. Wenn ich dann abhebe kommt die Meldung: Verbindungsproblem oder ungültiger MMI Code.
Gesendet von meinem LG-P970 mit der Android-Hilfe.de App
Gesendet von meinem LG-P970 mit der Android-Hilfe.de App
M
meier2009
Dauer-User
- 567
Wie man sieht installiert sich notelurl als Phone apk und fängt den Aufruf ab , so das android wissen will wer den ussd Code ausführen soll. 
Nun ist es aber so das Standard mäßig dann Notelurl dafür zuständig ist. Wenn ihr nun wirklich mal einen ussd Code eingeben wollt, z.b. *100# zum abfragen eures Kontostands bei prepaid Karten, geht das dann natürlich auch nicht mehr!
..................
Sorry für manche Schreibfehler, aber mit Slide It ist zwar schnell aber nit schön geschrieben! ;-)
Gesendet vom Note OTA
...................
Nun ist es aber so das Standard mäßig dann Notelurl dafür zuständig ist. Wenn ihr nun wirklich mal einen ussd Code eingeben wollt, z.b. *100# zum abfragen eures Kontostands bei prepaid Karten, geht das dann natürlich auch nicht mehr!
..................
Sorry für manche Schreibfehler, aber mit Slide It ist zwar schnell aber nit schön geschrieben! ;-)
Gesendet vom Note OTA
...................
jrahe
Erfahrenes Mitglied
- 112
...das ist FALSCH !
Mit "NoTelURL" werden nur von anderen apps (z.B. Browser) angeforderte USSD-Codes abgefangen und damit das ungewollte und unbemerkte Ausführen dieser Codes verhindert.
Selbstverständlich kann weiterhin die Telefonanwendung aufgerufen und dort über die Tastatur jeder gewünschte USSD-Code eingegeben und ausgeführt werden.
Zur Sicherheit gerade eben noch einmal getestet mit dem Code *222# zur Aktivierung für den Empfang von SMS.
Gruß Jörg
A
armakuni
Gast
Er öffnet die Seite von Heise, wo beschrieben wird, was passieren soll. Dort gibt es einen iFrame, der über eine TEL: URL versucht, die IMEI anzuzeigen. Hier also harmlos, aber wenn es dir diese anzeigt, ist prinzipiell bewiesen, daß eine Anfälligkeit da ist.
Ich kann mir vorstellen, daß alternative Dialer evtl. die USSDs nicht ausführen oder nachfragen.
M
meier2009
Dauer-User
- 567
Okay, dann fängt es externe Aufrufe ab. Was natürlich besser ist!
..................
Sorry für manche Schreibfehler, aber mit Slide It ist zwar schnell aber nit schön geschrieben! ;-)
Gesendet vom Note OTA
...................
..................
Sorry für manche Schreibfehler, aber mit Slide It ist zwar schnell aber nit schön geschrieben! ;-)
Gesendet vom Note OTA
...................
moanabernd
Erfahrenes Mitglied
- 6
Hallo,
lese gerade im Newsletter von PC-WELT von einer großen Sicherheits-Lücke bei Android Smartphones. Es wird besonders das GALAXY S3 erwähnt, für das Samsung schon ein Update bereit halten soll. Wann Updates für S2 (meins) und andere kommen sollen, ist nicht bekannt.
Ich habe auf meinem S2 mal diese von PC-Welt genannte URL "dylanreeve.com/phone.php" eingegeben. Daraufhin werden die IMEI-Nr. und ein OK.Button angezeigt, darunterliegend die Telefontastatur. Das beunruhigt mich, denn falls man nicht betroffen ist, soll dort nach der Eingabe folgendes erscheinen : "*#06#".
Anläßlich dieser Warnung von PC-Welt möchte ich als Laie fragen, wie ich generell an diese Sicherheits-Updates von Samsung komme.
Bei Windows ist es ja klar, Bei Android habe ich über regelmäßige Updates noch nichts gehört oder gelesen. Bisher wurden nur meine Apps regelmäßig aktualisiert !!!
LG, Bernd
lese gerade im Newsletter von PC-WELT von einer großen Sicherheits-Lücke bei Android Smartphones. Es wird besonders das GALAXY S3 erwähnt, für das Samsung schon ein Update bereit halten soll. Wann Updates für S2 (meins) und andere kommen sollen, ist nicht bekannt.
Ich habe auf meinem S2 mal diese von PC-Welt genannte URL "dylanreeve.com/phone.php" eingegeben. Daraufhin werden die IMEI-Nr. und ein OK.Button angezeigt, darunterliegend die Telefontastatur. Das beunruhigt mich, denn falls man nicht betroffen ist, soll dort nach der Eingabe folgendes erscheinen : "*#06#".
Anläßlich dieser Warnung von PC-Welt möchte ich als Laie fragen, wie ich generell an diese Sicherheits-Updates von Samsung komme.
Bei Windows ist es ja klar, Bei Android habe ich über regelmäßige Updates noch nichts gehört oder gelesen. Bisher wurden nur meine Apps regelmäßig aktualisiert !!!
LG, Bernd
Rewstah
Enthusiast
- 894
meier2009 schrieb:
Nein, der Witz ist ja eben, dass man KEINEN Standard setzt, das müßte ja wenn dann erstmal vom User manuell getan werden. Standardmäßig ist dann nämlich weder NoTelUrl noch die Telefon-App zuständig, sondern es kommt erstmal die Abfrage welche App genutzt werden soll. Das ist ja eigentlich Sinn der Sache, damit ein eventueller USSD Code abgefangen wird. Wenn man aber tatsächlich absichtlich auf einen Telefonnummer-Link klickt, weil man die Nummer anrufen will, dann wählt man halt bei der Abfrage die Telefonapp. Kommt aus heiterem Himmel die Abfrage ohne dass man einen Link geklickt hätte ist sehr wahrscheinlich etwas faul, dann nimmt man eben NoTelUrl.
bobi72
Neues Mitglied
- 1
DJMetro schrieb:
Bei mir auch
H
HipHopRulez
Enthusiast
- 576
Einfach NoTelURL ausm Store installieren und gut ist...
GeRe
Dauer-User
- 697
Hallo,
die App NoTelURL fängt auch eine Anwahl einer Nummer ab, wenn diese aus einer Nachricht (SMS) aufgerufen werden soll.
Dazu folgendes Beispiel:
Ich habe heute eine Handynummer anrufen wollen, die aber nicht erreichbar war. Dann wurde mir vom Provider mitgeteilt, dass ich und der Angerufene nach Verfügbarkeit eine SMS als Mitteilung erhalten. Dieses ist auch geschehen, als der von mir Angerufene wieder verfügbar war. Es kam die Mitteilungsnachricht in der die Mobilfunknummer aufgeführt wurde. Wenn ich diese dann anklicke, geht das PopUp Fenster von NoTelURL auf und ermöglicht mir die Auswahl (Telefon oder NoTelURL) was ich machen möchte.
Schön wäre es jetzt nur, wenn der Programmierer, was er auf seiner Webseite auch angekündigt hat, mehr Information in sein Fenster legen würde. So z.B. welcher USSD Code in Anwendung war oder ob es "nur" eine normale Telefonnummer war.
PS. Als Standard würde ich NoTelURL auf jeden Fall nicht setzen. Natürlich muss man bei geöffneten PopUp Fenster genauer hinschauen.
die App NoTelURL fängt auch eine Anwahl einer Nummer ab, wenn diese aus einer Nachricht (SMS) aufgerufen werden soll.
Dazu folgendes Beispiel:
Ich habe heute eine Handynummer anrufen wollen, die aber nicht erreichbar war. Dann wurde mir vom Provider mitgeteilt, dass ich und der Angerufene nach Verfügbarkeit eine SMS als Mitteilung erhalten. Dieses ist auch geschehen, als der von mir Angerufene wieder verfügbar war. Es kam die Mitteilungsnachricht in der die Mobilfunknummer aufgeführt wurde. Wenn ich diese dann anklicke, geht das PopUp Fenster von NoTelURL auf und ermöglicht mir die Auswahl (Telefon oder NoTelURL) was ich machen möchte.
Schön wäre es jetzt nur, wenn der Programmierer, was er auf seiner Webseite auch angekündigt hat, mehr Information in sein Fenster legen würde. So z.B. welcher USSD Code in Anwendung war oder ob es "nur" eine normale Telefonnummer war.
PS. Als Standard würde ich NoTelURL auf jeden Fall nicht setzen. Natürlich muss man bei geöffneten PopUp Fenster genauer hinschauen.
