Achtung: Sicherheitslücke beim USSD-Code ermöglicht Komplettlöschung aus der Ferne

  • 495 Antworten
  • Letztes Antwortdatum
Neuroplant schrieb:
Also ist die Nutzung von Opera auch ein möglicher Workaround.

Neuroplant

Aber nur, solange die USSD in einem iframe eingebettet ist. Wenn sie auch anders in die Seite eingebettet werden kann, funktioniert dieser "Workaround" nicht mehr.
 
NuMen schrieb:
Die meisten verwenden noch eine 2.x Version. Diese hat sehr wohl den Bug.
Ich habe mich wohl falsch ausgedruckt, ich meinte das alle die das JB Update erhalten haben, dieses Problem nicht haben.
Es ist mir ebenfalls klar, das der Großteil klein Update erhalten ist und somit noch 2.3.x nutzt. Aber danke.

MusicJunkie666 schrieb:
Am S2 mit CM10 ist der Bug durchaus noch vorhanden.

Das bei den Custom-Roms so auch ist habe ich nicht behauptet, aber eig sollte es das Problem nicht mehr geben, aber ich kenn mich nicht da so gut aus.
Ob sie das Update 1:1 übernhemen oder nicht, aber danke.
 
Komisch, bei meinem Evo hat der Test der ct keine Verwundbarkeit angezeigt. Ics Stock.
 
MusicJunkie666 schrieb:
Die Meldung kommt von selbst - vorausgesetzt du setzt NoTelURL als Standard.
Und ob das Galaxy S betroffen ist, kannst du selbst ausprobieren -> ersten Post nochmal lesen.

...vom SII getapatalked...

Das S Plus ist auch betroffen. Nunja ich habe es jetzt so verstanden:

Will ich bewusst jemand aus der zb google suche anrufen, dann klick ich Telefon. Kommt die Meldung von Geisterhand, klicke ich statt Telefon auf NoTelUrl?
 
Bennyle schrieb:
Will ich bewusst jemand aus der zb google suche anrufen, dann klick ich Telefon. Kommt die Meldung von Geisterhand, klicke ich statt Telefon auf NoTelUrl?

Ja, so ist es am Besten. Wenn du NoTelURL als Standard setzt kommt beim bewussten Anrufen von einer Webseite auch die Warnung.
Wenn du es nicht als Standard setzt, kommt immer die Abfrage, ob du NoTelURL oder Telefon verwenden willst. Da musst du dann überlegen, was du tun willst.

...vom SII getapatalked...
 
Bennyle schrieb:
Das S Plus ist auch betroffen. Nunja ich habe es jetzt so verstanden:

Will ich bewusst jemand aus der zb google suche anrufen, dann klick ich Telefon. Kommt die Meldung von Geisterhand, klicke ich statt Telefon auf NoTelUrl?

Seit dem letzten Update kannst du NoTelUrl doch besser zum Standard machen, es erkennt jetzt USSD-Codes und reicht echte Telefonnummern wenn gewünscht an den Dialer weiter

Neuroplant
 
Prüfen Sollte man natürlich auch, ob die App bzw. das Gerät die Ausführung beim Einlesen von QR-Code verhindert.
Der folgende QR-Code zeigt die IMEI des Gerätes an wenn kein Schutz installiert ist, er richtet also keinen Schaden an.
ussd_qr_code.jpg-b65e664db56ff059.jpeg

Scannen Sie den QR-Code mit Ihrem Smartphone, um den Test auszuführen.

Quelle: Heise Security
USSD-Check | heise Security
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: tabelist
Die kürzlich bekannt gewordene Sicherkeitslücke, die ungefrag USSD-Codes durch Fremde aus der Ferne ausführen läßt, ist leider auch beim GT 540 vorhanden.

Installiert ungedingt die kostenlose APP aus Google-Play, damit euer Handy nicht durch Fremde auf die Werkseinstellung gesetzt wird oder die SIM-Karte komplett gesperrt wird. Ein schadhafter USSD-Code kann durch einen QR-Code, eine manipulierte Homepage oder eine böse SMS auf euer Handy gelangen. Die APP darf nach der Installation nicht wieder deinstalliert werden und muß auf eurem Smartphone bleiben, sonst ist der Schutz wieder weg.

Zusammengetragene Infos findet Ihr auch unter Aktuelle Gefahr durch USSD-Code für Dein Android Smartphone « Allgemein « Das schwarze Schaf
 
  • Danke
Reaktionen: kalibri
Mahlzeit,
Sicherlich habt ihr es ja auch vernommen, das einige android Modelle von dieser Lücke betroffen sind.
Laut Samsung ja nicht viele und unser y auch nicht.

Habe das mal bei der Test Seite ausprobiert ob meins auch betroffen ist.
Laut http://www.isk.kth.se/~rbbo/testussd.html
Ist es das. Es wird meine imei angezeigt.

Frage an euch, wird die imei bei euch auch angezeigt, und habt ihr root rechte?
Evtl noch die verwendete gesamt firmware.

Ich habe root rechte und verwende
XXLE1

Vielen dank



Gesendet von meinem GT-S5360 mit Tapatalk
 
jo han ik am start,hab mir dann im playstore die app:No Tel:URL geladen,getestet und jepp dat funzt.
 
Das ist so absolut aber nicht der Fall! Es scheint eher auf die verwendete Telefon-App anzukommen. Ich benutze seit eh und je "Dialer One" und die fängt Telefonnummern und also auch USSDs brav ab und bietet sie mir zur Bestätigung an.
Halt so, wie es sein muss...
 
Das Update von AVAST! beinhaltet auch einen solchen USSD-Code-Blocker ;)

Gepostet mit der Galaxie S2 mit Android 4.0.4 (CBR)
 
@darkboy: Haben wir hier schon besprochen, danke.

...vom Galaxy Tab 10.1 getapatalked...
 
Der Link existiert aber angeblich nicht (mehr) ...
 
Zuletzt bearbeitet von einem Moderator:
Achso.. Na, dann :D

LG

Gepostet mit der Galaxie S2 mit Android 4.0.4 (CBR)
 
Ok, Zusammenfassung: Es gibt im Store Apps, die die Ausführung von USSd-Codes verhindert. Ob der USSD-Code, der das Samsung Gerät resettet, auch auf dem Y200 Schaden anrichten kann, ist nicht getestet.
Einer der gängigsten USSD sind z.B. *#06# für die IMEI-Nummer, oder *100# für die Abfrage vom Prepaid-Guthaben (beide Harmlos)

Apps die gegen den ungewollten Aufruf schützen (diese Codes könnten in Webseiten eingeschleußt sein) sind z.B.
https://play.google.com/store/apps/details?id=de.gdata.labs.telurlblocker

https://play.google.com/store/apps/details?id=com.iba.ussdchecker

https://play.google.com/store/apps/details?id=com.voss.notelurl

Der ursprüngliche Beitrag von 09:14 Uhr wurde um 10:03 Uhr ergänzt:

Interessante Lektüre hierzu:

USSD-Lücke: Die Android-Schwachstelle vom Entdecker erklärt
 
Thomas_ schrieb:
Prüfen Sollte man natürlich auch, ob die App bzw. das Gerät die Ausführung beim Einlesen von QR-Code verhindert.
Der folgende QR-Code zeigt die IMEI des Gerätes an wenn kein Schutz installiert ist, er richtet also keinen Schaden an.
ussd_qr_code.jpg-b65e664db56ff059.jpeg

Scannen Sie den QR-Code mit Ihrem Smartphone, um den Test auszuführen.

Quelle: Heise Security
USSD-Check | heise Security

Ich erlaube mir hier noch einmal den bereits in Post 110 und 112 gemachten Hinweis, dass dieser QR-Code keinen USSD-Code, sondern den Link auf die Testseite von Heise enthält. Damit kann man sein Telefon nicht auf die Verwundbarkeit durch in QR-Codes enthaltene Steuercodes testen!
Mit dem angehängten QR-Code sollte man sein Telefon testen können.

Der erste Code war falsch, habe ihn um 12:45 geändert.
 

Anhänge

  • qr-imei.jpeg
    qr-imei.jpeg
    4,5 KB · Aufrufe: 449
Zuletzt bearbeitet:
ErzengelG schrieb:
...Mit dem angehängten QR-Code sollte man sein Telefon testen können...
Was soll denn der von Dir eingestellte QR-Code auf dem Gerät "Anzeigen".

Der QR-Code von Heise, egal ob per Link oder direkt, zeigt bei meinen S2 den Code "*#06#" wenn ich ihn mit der Schutz-App(hier Avast) abfange.
 
Zuletzt bearbeitet:
Thomas_ schrieb:
Was soll denn der von Dir eingestellte QR-Code auf dem Gerät "Anzeigen".

Der QR-Code von Heise, egal ob per Link oder direkt, zeigt bei meinen S2 den Code "*#06#" wenn ich ihn mit der Schutz-App(hier Avast) abfange.

So soll es ja sein. Daran siehst du, dass du geschützt bist.

...vom Galaxy Tab 10.1 getapatalked...
 
Der hat die url tel:*#06# direkt im QR-Code. So kann getestet werden, was passiert wenn der Steuercode direkt im QR-Code steckt. Wenn die IMEI direkt angezeigt wird, hast du ein Problem, wenn nicht dann ist alles in Ordnung.
 

Ähnliche Themen

C
Antworten
5
Aufrufe
205
Herman
H
P
Antworten
8
Aufrufe
382
maik005
maik005
Zurück
Oben Unten