Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne

  • 495 Antworten
  • Letztes Antwortdatum
Und was ist mit den Leuten die nichts davon wissen also nicht wissen (können), dass sie sich mit einer App schützen sollten? Die bleiben schutzlos?

Da hab ich ne andere Ansicht...

...vom Galaxy Tab 10.1 getapatalked...
 
Das ist, wenn ich es recht verstehe, nicht eine Samsung- oder HTC-Funktion, sondern eine Funktion von Android. Es wäre interessant, bis zu welcher Android-Version das überhaupt geht. Bei meiner 4.0.4 geht es nämlich nicht. Falls das generell von 4.0.x aufgefangen wird, liegt da ja bereits die Update-Möglichkeit, jedenfalls für Geräte, für die die angeboten wird.

Gruß
Flatratte
 
Perri schrieb:
Jo, meine .41 scheint auch sicher zu sein, kommt dann *#06# aber passieren tut nüscht :D
Zum Vergrößern anklicken....
Äh, will das jetzt jeder hier posten? Selbstverständlich ist "Deine" .41 "sicher", weil es eben auch eine .41 ist. Was hast Du erwartet!?
Es dürfte doch wohl die Erkenntnis ausreichend sein, dass die (oder ab) Version .41 nicht betroffen ist.
 
Ich sehe das auch nicht so einfach, nur weil Privat entwickler die drecksarbeit für die Hersteller gemacht haben.

Heist das noch lange nicht das sie nicht in der verantwortung stehen diese lücke dicht zu machen.

HTC war mal gut, kümmert sich aber auch nicht mehr so richtig um die software ausser bei denn One Geräten.


Eigentlich kümmert sich kein Hersteller mehr richtig um seine software, lieber bringt man ein neues Modell auf dem Markt mit der software die auch hätte auf dem alten Gerät laufen können.
 
@flatratte: Es geht bis zu JB.

...vom Galaxy Tab 10.1 getapatalked...
 
Ich glaub von Donut bis JB traurig das ganze, und das ganz schlimme ist das sich keiner verantwortlich dafür fühlt die lücke dicht zu machen.

Google sollte da wirklich mal die Hersteller in den A.... tretten, und sagen so Sicherheits updates muss es über einen zeitraum von 3 Jahren geben fertig ende aus.

Wenn die schon kein ICS oder JB auf Geräte bringen die es ertragen könnten.
 
Es ist in der Tat so, daß diese NoTelUrl App etwas "wortkarg" programmiert ist. Natürlich ist es so, daß man diese App erst mal öffnet nach der Installation. An dieser Stelle ist der Hinweistext, eine App hätte versucht, via URL einen Tel-Link zu öffnen, vollkommen verkehrt.

Die App fängt alle URLs ab, die auf dem tel: Protokoll basieren (so wie das http Protokoll für Webseiten). Damit soll verhindert werden, daß die Android-interne Telefon-App die mitgegebene USSD einfach kommentarlos ausführt. Wer also eine Testseite ansteuert und bekommt umgehend die IMEI angezeigt, hat ein kleines Sicherheitsproblem, und das betrifft nicht nur das Samsung Galaxy S3.

Zu einem größeren Sicherheitsproblem wird das, wenn es einen USSD für das eigene Handy gibt (ist in Teilen für jeden Hersteller anders), der beispielsweise ohne Rückfrage Daten löscht. Beim S3 wird durch einen Code z.B. der Werksreset ausgeführt, was natürlich schon äußerst übel ist.

Ob man NoTelUrl nun als Standard für solche URLs auswählt oder nicht, ist nur eine Bequemlichkeit. Fakt ist aber, daß es zumindest von Android her schön wäre, eine Bestätigung einzuholen, bevor man USSDs ausführt, die man nicht selbst eingetippt hat (um mal die berückte *100# als Beispiel anzuführen).

Da aber Android hierfür keine Konfiguration bietet (bzw. Jelly Bean hier wohl besser gesichert ist, aber Details weiß ich mangels Gerät auch nicht), hat der Programmierer von NoTelUrl sich einfach der Android-Funktion bedient, für bestimmte Aktionen mehrere Apps installieren zu können. "Besser als nichts" dachte er sich wohl und hat dann die App programmiert.

Daraus resultiert dann eben auch der einfache Text, den die App zeigt, wenn man sie normal startet. In diesem Moment hat man keinen Angriff kassiert, aber der Programmierer der App ging davon aus, daß man diese nicht normal startet (wobei er doch mit Sicherheit abfragen könnte, ob ein Parameter mitgegeben wurde oder nicht?!).

Fazit: Die Lösung ist genial, android-konform und erfordert - vorerst - von keinem Hersteller einen Eingriff. Aber leider ist die App auch ein kleiner Schnellschuß und verwirrt den "Normalo" mehr, als daß sie hilft.
 
  • Danke
Reaktionen: Kazama
Naja ich sehe das anders, hätte es keine möglichkeit gegeben sich selber zu schützen dann hätte man jetzt als User doof dagestanden.

Viele Hersteller sind einfach update faul geworden, oder denken sich das machen schon privat entwickler für uns.

Sorry aber ganz falsches denken der Firmen.

Microsoft bringt auch immer noch sicherheitspatches für Win XP, wo ist also das problem software pflege zu betreiben.

Es muss ja nichmal ICS sein, aber sicherheitspatches sind ein muss in der digitalen Welt.
Nur scheint das keiner der Hersteller verstanden zu haben oder sie wollen es nicht verstehen.
Da muss Google eingreifen, und sich die Hersteller mal deutlich zu brust nehmen.
 
Hab nach dem heutigen Newsartikel NoTelUrl installiert, gehr schneller als in Recovery zu booten und scheint ja genauso sicher zu sein :D
 
  • Danke
Reaktionen: New-A-One
MusicJunkie666 schrieb:
@flatratte: Es geht bis zu JB.

...vom Galaxy Tab 10.1 getapatalked...
Zum Vergrößern anklicken....


Gut, dann war mein Gedanke ein Fehlschluß. Mein SGN 4.0.4 LRT juckt es garnicht, mein SGT 7", 2.3.6, dagegen ist fernabschaltbar :tongue:. Google sollte solche 'Fürz' aus Android rauslassen! Aus der Webseite heraus telefonieren?! Derart mit Fürz und Gimmicks vollgestopft, wird es noch lange dauern, bis die meisten Fehler beseitigt sind. Da ist aber auch die Kundschaft, die wollen Fürz und Gimmicks ... Die Smartphone-Hersteller sollten die Kundschaft wechseln und dann ernsthaft programmieren!:thumbup:

Gruß
Flatratte
 
Ich hab jezt mal den Selbstversuch gemacht. Galaxy ACE CM10 (Jelly). Hat nicht funktioniert.
Glaube darüber wird ein zu großer Hype gemacht. Mehr als ein Wipe geht eh nicht. Und wir brave Android User machen ja Backups :thumbup:
 
Ich hab noch nie, aber wirklich noch nie direkt aus einer Website angerufen warum auch.
Dafür hab ich meine Kontakte und gut ist es.

Aber spielkram ist es schon, was man davon hat sieht man ja jetzt.

Stimmt nicht die Sim kann auch gespert werden, aber schön das dein Ace nicht betroffen ist, vielleicht sollte man eine liste anlegen welche nicht betroffen sind.
 
Bei Heise kann man das Verhalten mit einem ungefährlichen Link testen:

USSD-Check | heise Security

Wenn die IMEI angezeigt wird, hat man ein Problem.:mellow:

Bei mir hat zunächst Opera den eingebetteten Teil geblockt. Danach fragte der Anwendungsmanager, ob er den String mit dem Wählprogramm oder mit Lookout öffnen soll. Mit Lookout kommt eine unmissverständliche Warnung, mit dem Wählprogramm wird dann allerdings die IMEI angezeigt. Andere Codes würden dann wohl schlimmeres veranstalten. Alles zusammengenommen, fühle ich mich sicher genug.
 
Das mit der Liste ist eine gute Idee. Wir könnten ja eine "harmlose" Testseite mit iframe machen, die keinen Wipe ausführt sondern einfach nur ungefährlich die IMEI Nummer.
Wer hat Lust sowas zu machen? Wer hat Webspace wo wir die Testseite hinlegen können?

Für den einfachen Aufruf mit QR-Code?
 
Meine Server sind fürs Erste leider down. Die Hardware macht nicht mehr mit :/

Könnte mich aber an der Liste beteiligen. Zum Testen habe ich: Galaxy Tab 10.1, Galaxy Tab 7.0+N, Galaxy S2, HTC Evo 3D, Xperia Arc S.

...vom Galaxy Tab 10.1 getapatalked...
 
NuMen schrieb:
Das mit der Liste ist eine gute Idee. Wir könnten ja eine "harmlose" Testseite mit iframe machen, die keinen Wipe ausführt sondern einfach nur ungefährlich die IMEI Nummer.
Wer hat Lust sowas zu machen? Wer hat Webspace wo wir die Testseite hinlegen können?

Für den einfachen Aufruf mit QR-Code?
Zum Vergrößern anklicken....

Das hat heise doch eh gemacht, wieso nehmt ihr nicht die?
Oder soll der Server alle Clients anhand der Clientkennung abzapfen
und diese in einer Datei eintragen?
 
  • Danke
Reaktionen: armakuni
Das hat heise doch eh gemacht, wieso nehmt ihr nicht die?
Oder soll der Server alle Clients anhand der Clientkennung abzapfen
und diese in einer Datei eintragen?
Zum Vergrößern anklicken....

So eine Automatik würde die Listenerstellung sehr erleichtern.

Server könnte ich bereit stellen. Wer macht die Seite?
 
Länzer;4174457 schrieb:
Positiv!
Die Lücke ist zumindest in CM7 seit der Nightly vom 30.9.12 GESCHLOSSEN! :thumbsup:
Zum Vergrößern anklicken....

Kann ich bestätigen - habe soeben den Test von heise.de ausprobiert, auch der läuft ins Leere ...
 
  • Danke
Reaktionen: DaBigFreak
1. Ist das ein allgemeines Problem von Google, nicht von den Herrstellern.
2. Hat Google das Problem im JB Update behoben.
3. Das hat leider nichts spezifisch jetzt mit dem Handy zu tun und wird deshalb in Samsung Allgemein verschoben.
gruß broken09

Edit: eig ja auch nichts mit Samsung, sondern eher mit Google, aber egal dann lass ich erstmal vorübergehend das hier stehen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Wie QR-Code aus Bilddatei scannen (und nicht durch Kamera)?
  • clsven
Antworten
5
Aufrufe
184
Herman
H
P
Wie funktioniert das QR-Code-Scannen auf Android Smartphones?
  • Papilo
Antworten
8
Aufrufe
365
maik005
maik005
Dysonboy300
Beim einrichten eines neuen Geräts über Google ohne Kabel wird ein unterschiedlicher Code angezeigt
Antworten
2
Aufrufe
214
MvBoe
MvBoe
Zurück
Oben Unten