Zurzeit herrscht große Aufregung um die USSD-Sicherheitslücke auf bestimmten Android-Smartphones. Jetzt erklärt der Sicherheitsexperte Ravi Borgaonkar, der die Schwachstelle entdeckt hat, wo der Fehler im System liegt und welche Folgen er haben kann. Wir stellen euch außerdem geeignete Sicherheits-Apps vor.
Lookout Mobile Security für Android warnt vor USSD-Sicherheitslücke | (c)
Das Android-OS unterstützt das sogenannte TEL-Protokoll, welches es erlaubt, aus dem Browser des Smartphones heraus eine Telefonnummer anzuwählen. Der praktische Nutzen dieses Verfahrens ist es, dass Firmen so zum Beispiel einen "Rufen Sie uns an"-Hotlink auf ihrer Website platzieren können, den der Nutzer zum Anwählen einfach anklicken kann. Vorteil für den Nutzer: Er muss die Telefonnummer des Unternehmens nicht manuell eintippen, sondern nur die Anruftaste drücken. Auch innerhalb von Apps funktioniert das, wenn in den jeweiligen Einstellungen die Berechtigung, Anrufe durchzuführen, freigegeben ist. Wer ausprobieren möchte, wie das aussieht, nutzt diesen Link in seinem Smartphone-Browser und klickt dann auf den Hotlink oben auf der Seite.
USSD-Codes sind Zahlen- und Zeichen-Kombinationen, die wie eine Telefonnummer auf der Zifferntastatur des Handys eingegeben werden. Sie lösen nach Bestätigung des Nutzers durch Klicken der grünen Anruftaste verschiedene Aktionen auf dem Telefon aus. Die meisten von ihnen sind nützlich. So zeigt etwa die Kombination *#06# die IMEI des Telefons an, andere die eigene Telefonnummer oder das Restguthaben auf der Prepaid-Karte. Es gibt aber auch USSD-Codes, die sehr umfangreiche Eingriffe vornehmen und - bei einem versehentlichen oder ungewollten Ausführen - Schaden anrichten können. Einer davon ist zum Beispiel der Code *2767*3855#, der die Geräte auf die Werkseinstellungen zurücksetzt und dabei alle darauf gespeicherten Nutzerdaten löscht. Mögliche Folgen sind auch das Sperren der SIM-Karte, das Einstellen von Rufumleitungen oder das Aufladen von Prepaid-Guthaben.
Android kann nicht zwischen Telefonnummer und USSD-Code unterscheiden und bei manchen Geräten müssen USSD-Codes zum Ausführen nicht erst durch Drücken der Anruftaste bestätigt werden. Aus dieser Kombination erwächst das Sicherheitsrisiko auf manchen Android-Smartphones. Google selbst hat die Schwachstelle bereits auf seinen Referenzgeräten gepatcht, auch andere Hersteller von Android-Smartphones haben bereits bei ersten Geräten nachgebessert - auf etlichen Geräten besteht die Sicherheitslücke jedoch.
Die von dieser Schwachstelle betroffenen Geräte können auf zwei Arten angegriffen werden. Zum einen können Nutzer über NFC-Tags, QR-Codes oder WAP-Push-SMS mit Link auf eine Website mit einem präparierten Frame geleitet werden, in den der entsprechende USSD-Code *2767*3855# mit dem TEL-Protocol eingebettet ist. Auf eine entsprechende Website können Nutzer über NFC-Tags, QR-Codes oder WAP-Push-SMS geleitet werden. Zum anderen können sich Nutzer unbewusst manipulierte Anwendungen auf das Smartphone herunterladen, die aktiv im Hintergrund USSD-Codes ausführen.
Nutzer von Android-Smartphones können selbst ihr Gerät auf die Schwachstelle hin überprüfen und gegegebenfalls das Sicherheitsrisiko durch die USSD-Lücke minimieren. Dazu betätigen sie im Handy-Browser diesen Link - wird die IMEI des Handys angezeigt, ist das Gerät gefährdet. Im Google Play Store gibt es zudem mehrere Apps, die die Schwachstelle schließen oder einen Workaround bieten.
Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.
Du bist nicht dabei?Es wurden noch keine Kommentare abgegeben.
