Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne

[red-orb]

Ich hatte hier schon einen Thread darüber erstellt vielleicht kann man die ja zusammenlegen.

[OFFURL]https://www.android-hilfe.de/samsung-galaxy-ace-s5830-forum/307189-auch-galaxy-ace-anfaellig-fuer-fernloeschung.html[/OFFURL]

 

[RAB]

Hi,

ich habe heute morgen 2 unterschiedliche Testlinks ausprobiert. Auch das Motoluxe ist anscheinend nicht sicher!

Fernlöschung und SIM-Sperrung via USSD-Codes betrifft - wie es inzwischen aussieht - doch das Android-System, und ist somit nicht nur ein Problem von Samsung und HTC.

Einen Artikel zum Thema findet Ihr hier, u. a. mit einer Beschreibung, wie Ihr Euer Handy testen könnt, außerdem werden 3 Tools vorgestellt, mit denen man die Sicherheit erhöhen kann solange es keinen Hersteller-Patch gibt...

lG, RAB

 

[prx]

Der o.A. Reset-Code funktioniert auch mit dem Stock ROM nicht. Ist schon vom Format her kein USSD-Code und wird wie beim CM normal gewählt. Als USSD-Code *#nnn# verwendet ist der Code unbekannt.

Solange niemand irgendwelche echten und gefährlichen Codes vom X3 kennt ist dies also auch ohne Zusatzdialer nicht gefährdet.

 

[FredEllers]

NoTelURL hab ich mir jetzt installiert. Danke an Euch! Ich hatte die Meldung vergangene Woche nicht ernst genommen...

 

[erazor]

Mit .431 wird ebenfalls erstmal nur die telefonapp aktiviert. Habe trotzdem ussd filter installiert. Man weiss ja nie

Ist glaube ich auch besser so. Ich hab auch noch die .431. Gehe ich per Browser auf die Heise-Test-Seite, dann geht auch nur das telefonapp auf, wählt aber nicht. Wenn ich aber den QR-Code scanne und darüber den Browser öffnen lasse, dann wählt das Teil automatisch und die IMEI wird mir sofort angezeigt.

Also verhält sich unterschiedlich.

 

[Falkenstein]

solange man sich nicht auf unseriösen seiten bewegt, oder die im text angegebenen apps installiert, sollte alles gut sein.

 

[AlteSchwedin]

Joar.. ab mir heute Mittag erstmal NoTelURL geladen ... Nimmt übrigens 500kb weg.

Wow, 500kb vs 24kb: Da braucht NoTelURL also gut den 20-fachen Speicherplatz von TelStop Wäre jetzt doch interessant, woran das liegt.

 

[flyerbaby]

Ich habe die app "notelurl" aus dem Play-Store installiert. Damit werden die USSD-Codes abgefangen. Auf diversen Testseiten hat es funktioniert.

 

[matschman]

Danke für den Hinweis. Gerade Telstop installiert.

 

[kloppi123]

hab mal den link im browser eingegeben.Laut dem text bin ich jetzt betroffen oder was? zeigt die IMEI nummer an.

 

[bigzorro]

jo, sollten alle betroffen sein, die oben beschriebene App schützt aber davor

habs mal im Startpost verlinkt.

 

[DaBigFreak]

Damit scheint die Lücke geschlossen

 

[Rhonin]

Hi Cynob,

ich war so frei, Deinen Lösungsvorschlag bei den XDA's zu posten. Du findest ihn hier. Leider bin ich noch nicht dazu gekommen, den Thread Deiner ROM nachzuziehen - habe dabei aber auch das Problem, dass ich selber nicht mehr auf dem neusten Stand bin - Du weißt schon auch wegen der Farbe und mein System läuft je auch rund mit Deiner alten...

Duck und weg

Rhonin

 

[Perri]

Jo, meine .41 scheint auch sicher zu sein, kommt dann *#06# aber passieren tut nüscht

Sent from my RAZR using Tapatalk 2

 

[lasermundwerk]

Passiert auf dieser Demo-Seite gar nichts oder erscheint zwar die Telefon-App, aber Sie können entscheiden, was Sie mit der angezeigten Nummer machen, brauchen Sie sich keine Sorgen zu machen.

Bei mir erscheint *#06# in der TelefonApp ... also kein Problem

 

[jiri01]

Hier auch noch Infos dazu
USSD-Check | heise Security

 

[mausbock]

So, hab mir gestern die KQ4 draufgehauen. Der USSD-Bug ist zumindest weg, der Exif-Bug der Kamera leider nicht. OK, dann lebt meine App Gps2Exif eben weiter.
Der TW4-Sort-Bug is leider auch noch in der KQ4, aber da begnüg ich mich jetzt mit APPZorter light.

 

[Cineatic]

Bei dem Heise-Check reagiert zumindest der integrierte Browser im One S und die IMEI wird direkt angezeigt. Lediglich Opera unterbindet es, da der IFrame nicht so ohne weiteres angezeigt wird.

 

[FelixL]

Man kann aber wohl die SIM sperren. Entwarnung gibt es also noch keine.


Android-Smartphones: Bei (USSD-)Anruf SIM-Tod | heise Security

 

[Android beta gama D]

Jap hab ich schon selber gemerkt, scheint wirklich ein Android problem zu sein.
Ich schütze mich momentan mit No tel: URL.