Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne

[ErzengelG]

Der QR-code von Heise ist lediglich ein Link auf auf die Testseite. Um die Anfälligkeit bei tel:URIs in QR-Codes zu testen, muss man (beispielsweise mit einem online QR-Generator) einen QR-Code mit dem Code erstellen. Bei meinem Galaxy Nexus wird die URI, wie beim NFC-Tag, nur bis zur ersten # eingelesen.

 

[Kazama]

Also auf der Seite von Heise steht gesschrieben, dass man den dort aufgeführten QR Code nur mit einer entsprechenden App abscannen soll, um den Test zu starten.

Bei mir geht nur der Dialer auf und *#06# erscheint. ^^

 

[ErzengelG]

Bei Heise steht

Dieser QR-Code führt direkt zur USSD-Test-Seite.

Ich scanne QR-Codes mit dem Barcode Scanner und der reicht die nicht ungefragt weiter, sondern fragt zuerst was man mit dieser URI machen möchte. Daher sieht man, dass es sich bei dem Code von Heise nur um die URL der Testseite handelt.

 

[palma]

Android-Smartphones: Bei (USSD-)Anruf SIM-Tod | heise online

Ich habe es getestet (LGO3D), und es erscheint die IMEI.

 

[presseonkel]

Moin,
das hier installieren:
https://play.google.com/store/apps/...telurl&feature=nav_result#?t=W251bGwsMSwyLDNd
Schutz vor Fernlöschung von Samsung-Smartphones | heise online


hier:
https://www.android-hilfe.de/forum/...ettloeschung-aus-der-ferne.306293-page-8.html

 

[presseonkel]

wird hier im übrigen hier in epischer Breite diskutiert:
https://www.android-hilfe.de/forum/...ettloeschung-aus-der-ferne.306293-page-8.html

ich lasse diesen Thread aber trotzdem hier....

 

[kurdt]

Mit .431 wird ebenfalls erstmal nur die telefonapp aktiviert. Habe trotzdem ussd filter installiert. Man weiss ja nie

 

[presseonkel]

https://www.android-hilfe.de/forum/...ettloeschung-aus-der-ferne.306293-page-8.html

 

[gainax]

Hat eigentlich schon jemand Informationen von Sony? Mein Support-Mitarbeiter war total überfordert und nicht kompetent

 

[Chefingenieur]

Es kommt wohl drauf an welcher Dialer verwendet wird, der original Google ist betroffen.
Das jj's Hybrid Rom, was ich drauf habe, ist betroffen.

CM scheint aber nicht generell sicher zu sein, oder?

Sony-Geräte (ehemals Sony Ericsson) sind nach aktuellem Kenntnisstand nur betroffen, wenn darauf eine alternative Firmware-Version wie Cyanogen Mod installiert ist. Ansonsten fängt das Sony-eigene Wählprogramm die Steuercodes ab.

Quelle: Heise.de

 

[fbusse]

ihr solltet euch eine AOSP (CyanogenMod) Basierende ROM auf euer Handy flashen, ist sicherer.

Danke Dexxmor. Als Einsteiger wage ich mich da bisher nicht 'ran, weil ich (nach zugegeben nicht allzu intensivem Suchen) noch keine für mich verständliche Info und Anleitung gefunden habe. Hast Du einen Link für mich?

Hast Du die Orignial-Firmware drauf?

Sorry, die Information hatte ich vergessen: Ja.

Modell ST15i
Android 2.3.4
Baseband 8x55A-AAABQOAZM-203028D-64
Kernel 2.6.32.9-perf SEMCUser@SEMCHost #1
Build 4.0.2.A.0.62​

 

[noob_fl]

Auch hier, ihr solltet euch eine AOSP (CyanogenMod) Basierende ROM auf euer Handy flashen, ist sicherer. Sicherheit gegen Garantie.

cyanogenod auf den Sonygeräten ist ebenfalls betroffen

das sinnfollste ist es baseband 77 zu flashen, da besteht das Problem nicht, egal welche androidversion man verwendet

 

[hijacked]

Crybernation v1.0.1 IMEI wird angezeigt, habe dann das Package von Cynob draufgeflasht, brachte aber keine Veränderung, deswegen habe ich mir jetzt NoTelUrl aus dem Play Store geholt und habe es bei Aufruf der Seite als Standard festgelegt.

 

[CatEye139]

Der Reset-Code ist auch nicht bei jeden Phone gleich, bei Huawei ist es beispielsweise ##258741

Aber der Code ist für das S2! Und funktioniert dennoch nicht!!!

 

[Android beta gama D]

Ich hab mir für den fall der fälle die App Telstop drauf gemacht.
Bis jetzt hatte ich noch keine probleme ich hoffe das bleibt so, da ich ja auf ein update vergebens warten kann.

 

[Easyy-S]

Ich glaube diese Sicherheitslücke ist in ICS nicht existent. Bei mir hat sich die Telefon App geöffnet und es wurde *#06# angezeigt aber nicht ausgeführt.

So sieht es bei mir auch aus. Der Code wird von der Telefon-App angezeigt aber nicht ausgeführt.

ICS-Version .41

Gesendet von meinem XT910 mit Tapatalk 2

 

[GuinnessTrinker]

Ich sehe das so:
Das X3 (egal ob CustomROM oder original, weil beides Gingerbread) führt automatisch (ohne Rückfrage) USSD codes aus. Dabei ist es egal wie die ins phone kommen (Internetseite, QR-Codes, WAP-Push-Nachricht, HTML-Mail, ..).

Die entscheidende Frage ist, welche codes das X3 überhaupt "kennt".
Das hängt auch vom Provider ab.
Lidl->Fonic->O2 akzeptiert:

*101# : Abfrage Prepaidguthaben
*#06# : Abfrage IMEI-Nummer

Wer kennt noch mehr???

Im Moment sehe ich noch keine Gefahr fürs X3 und damit einen Anlass einen neuen dialer zu installieren.

 

[Kyomo]

Also bei mir sperrt Opera sofort das Fenster, falls ich trotzdem darauf klicke, muss ich wählen, ob ich das mit Nachrichten oder Go Dialer oder etwas drittem öffnen will. Eins ist sicher, auf ein Update von LG können wir wohl kaum hoffen ;-)

Edit: Habe es gerade nochmal getestet und aus Spaß Go Dialer angeklickt. Das Handy ist sicher. V21e Promethius ROM V1.5 ThiaZ Kernel

Edit2: Mit go Dialer ex keine Imei. Mit der normalen Software aber schon. Na sowas!

Gesendet von meinem LG-P920 mit Tapatalk 2

 

[prx]

ElTonno schreibt oben, dass beim Hard-Reset aka Factory Reset (##258741) eine Rückfrage kommt.

 

[emachines]

Also ich hab ja das Neo V im Orginalzustand. Sprich alles Stock usw usw usw. Mein Handy ist von der Lücke betroffen. Hab GB 2.3.4 drauf.