Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne

  • 495 Antworten
  • Letztes Antwortdatum
@cynob
welche Baseband ist denn das?

Gruß
 
Sieht nach kpm aus
 
KPM kann nicht sein, hab ich drauf und IMEI wurde angezeigt.
Hab eben notelurl installiert.
Die neue Baseband aus KQ4 würde KQ3 heissen?
 
Zuletzt bearbeitet:
Doch das ist das Baseband aus der KQ4 - also aus der letzten telekomiker fw
 
Prima, das passt doch gut, bin mittlerweile bei congstar (D1 - Netz).
 
Die IMEI Nummer anzeigen, ist erst mal kein Problem. Die Frage ist eher, kann das Honor auch "schadhafte" Codes ausführen, wie die SIM sperren oder eine teure Nummer anwählen. Wer mag das mal ausprobieren?
 
Ich habe mir jetzt eben, obwohl mein
Phone offenbar ( noch ) nicht betroffen ist
( bei heise.de steht, man wisse nicht,
ob es künftig nicht noch USSD-Codes für
andere Geräte von weiteren Herstellern
geben wird ), NoTelURL gezogen.

Wie reagiere ich denn, wenn plötzlich
die Abfrage ohne mein Zutun erscheint,
über welche Anwendung das nun laufen soll ?
Reicht es aus, einfach auf den
Zurück-Button des Smartphones zu tippen
( dann verschwindet ja das Auswahlmenü
und im Regelfall wird nichts ausgeführt )
oder sollte man dann ganz explizit auf
NoTelURL tippen ?

Gesendet von meinem LT26i mit der Android-Hilfe.de App
 
Genau, einfach abbrechen, war zumindest bei mir grad so. Da ja dann keine app das ausführt, passiert ja auch nix :)

Gesendet von meinem A700 mit Tapatalk 2
 
Die habe ich drauf..
Trotzdem wird die IMEI angezeigt nach heise.de Test, hm.
Bei XDA wird da ja auch schon dikutiert und wenn ich das richtig verstanden hatte,
will ivendor mit der nächsten RC des CM9 den JB-Patch von Google einbauen.
 
Da ich meine Garantie gern behalten will, bleibt das Stock Rom.
Abfrage kommt übrigens keine, sondern sofort die IMEI.
 
Naja das ist eine Persönliche Entscheidung, Garantie gegen Sicherheit. Und im Punkt Sicherheit, wird immer CyanogenMod gewinnen.
 
Ich surfe so gut wie gar nicht mit dem Handy, hab aber trotzdem mal NoTelURL installiert. Somit ist die Lücke ebenfalls geschlossen, sollte eigentlich jeder mit Stock Rom machen.
 
Zuletzt bearbeitet:
Es scheint, dass viele oder alle Gingerbread Phones, deren Standard-Dialer nicht durch einen anderen Dialer ersetzt wurde, über dieses Verfahren zu einem automatischen Wählvorgang gebracht werden können.

Entscheidend ist dann, wie sich das Phone bei einem Killer-USSD-Code verhält und ob es überhaupt einen gibt. Wird die damit verbundene Aktion ohne Rückfrage ausgeführt, dann hat man verloren. Aber nur dann. Die Testseiten führen nur zur IMEI-Abfrage, die kein Massstab dafür ist, ob ein Factory-Reset ebenfalls ohne Rückfrage aktiv wird.

Da diese Killer-Codes zu den herstellerabhängigen Features gehören, ist dieser Aspekt von einem Gerät zum anderen verschieden. Wahrscheinlich aber gibt es ziemlich viele Geräte, die man auf diesem Weg beispielsweise zur Programmierung einer Rufumleitung verleiten kann.

Der Knackpunkt ist der vollautomatische Wählvorgang ohne Rückfrage. Der Dialer aus Original Android 4.1 tut dies nicht, ebenso mancher alternative Dialer. Sondern präsentiert dem Anwender die Nummer, auf dass er sein Grab selber schaufle, oder rechtzeitig Lunte riecht.
 
Zuletzt bearbeitet:
devzero schrieb:
Thread anständig lesen, da steht es schon 5x!
Bitte dann 5x lesen, welche Version ich habe.
Hier werden andere Versionen von Android angesprochen und
"NoTelUrl" ist ab Version 2.2 und höher.
Es sei denn, ich habe 5x was übersehen.
 
Hallo,

darauf würde ich mich aber nicht verlassen. :sad:
Manchmal reagiert das Smartphone eben nicht auf abbrechen. Ich habe mir die App NoTelURL geholt und mache lieber eine Aktion mehr, als ob irgendetwas im Hintergrund ohne mein Wissen auf meinem SmartPhone passiert.
So weiß ich wenigstens, dass jemand versucht hat einen USSD-Steuercodes bei mir zu platzieren. :winki:
 
Darüber wird inzwischen in "Android Allgemein" darüber diskutiert, daher mache ich hier erstmal zu.

Hier gehts weiter:
[OFFURL]https://www.android-hilfe.de/android-allgemein/307442-ussd-bug-behelfs-loesungen.html[/OFFURL]
[OFFURL]https://www.android-hilfe.de/android-allgemein/306738-sicherheitsleck-fernloeschung.html[/OFFURL]
 
Es könnte ja auch sein das es wie bei Samsung die Lücke gibt und das Phone dadurch gewipt werden könnte!
 
Ich glaube diese Sicherheitslücke ist in ICS nicht existent. Bei mir hat sich die Telefon App geöffnet und es wurde *#06# angezeigt aber nicht ausgeführt.

quote
Passiert auf dieser Demo-Seite gar nichts oder erscheint zwar die Telefon-App, aber Sie können entscheiden, was Sie mit der angezeigten Nummer machen, brauchen Sie sich keine Sorgen zu machen.
unquote

Eventuell kann das noch jemand von Euch bestätigen !?

Habe die .33 fastboot geflasht und letzte Woche das Update auf die offizielle .41 versehentlich ota erhalten.
 

Ähnliche Themen

C
Antworten
5
Aufrufe
185
Herman
H
P
Antworten
8
Aufrufe
367
maik005
maik005
Zurück
Oben Unten