USSD – Sicherheitslücke

Die Sicherheitslücke verunsichert derzeit viele Android Smartphone Besitzer. Dennoch lassen die Android Hersteller ihre Kunden im Regen stehen. Bisher gibt es noch keinen bekannten Fall, der mit der USSD-Sicherheitslücke in Verbindung gebracht werden kann. Aber nicht desto trotz besteht diese Sicherheitslücke auf Android Geräten.

Noch kein bekannter Fall

Dies hat neulich der Berliner Sicherheitsexperte Ravi Borgaonkar bei zwei Samsung Smartphones demonstriert. Der Sicherheitsexperte Ravi Borgaonkar hat bei einem Galaxy S3 und einem Galaxy S2 gezeigt, wie man das Handy aus der Ferne zurücksetzen kann. Hierzu musste der Sicherheitsexperte nur zum ausgewählten Handy einen Link zu einer Website mit präparierten Frame über NFC Tags, QR-Codes oder WAP-Push-SMS senden. Sofern der Frame mit dem USSD-Code *2767*3855# versehen war, wurde das angewählte Handy auf Werkseinstellung zurückgestellt. Hierzu musste der Sicherheitsexperte noch nicht einmal etwas an dem Referenzhandy tun. Das heißt, dass ein Handy ohne Wissen und dem Zutun des Besitzers von der Ferne auf die Werkseinstellung gestellt werden kann. USSD-Code werden schon lange bei Handys für etliche Funktionen, wie etwa die Guthabenabfrage angewandt. Hierbei muss aber immer der „Befehl“ mit einem Klick auf die grüne Hörertaste bestätigt werden. Im Fall der Demonstration war dies nicht nötig, da der Android Browser mit der Telefonanwendung verknüpft ist.

Welche Handys sind betroffen?

Seitdem der Sicherheitsexperte Ravi Borgaonkar nach seiner Vorführung klar gemacht hat, dass nicht nur die beiden Samsung Geräten die Sicherheitslücke aufweisen, sind Handynutzer verunsichert. Denn laut dem Sicherheitsexperten liegt es nicht an dem Android Endgerät an sich, sondern an der Android Software des Gerätes. Betroffene Geräte sind unter anderem HTC One S,HTC OneX,HTC Legend,HTC  Legend,HTC Desire HD,Samsung Galaxy Ace,Samsung Galaxy Beam,Samsung Galaxy Tab Gt-P1000 und das Samsung Galaxy S2.

Foto: © android.com