Sicherheitsgefahr Angreifer können Daten auf Galaxy-Smartphones löschen

In zahlreichen Galaxy-Smartphones von Samsung ist ein Sicherheitsloch entdeckt worden, über das Angreifer alle Daten auf dem Android-Gerät löschen können. Dazu muss der Angreifer nur einen bestimmten USSD-Code per Webseite oder WAP-Push auf das Gerät schicken.

Anzeige

Mit einem in einer Webseite eingebetteten USSD-Code können alle Daten unter anderem auf einem Galaxy S3 von Samsung komplett gelöscht werden. Es erfolgt keine Rückfrage und der Nutzer ist machtlos, nachdem das Kommando auf dem Smartphone ausgeführt wurde. Auf der achten Ekoparty-Sicherheitskonferenz in Buenos Aires hat Ravi Borgaonkar das demonstriert. Borgaonkar arbeitet als Sicherheitsforscher bei der TU Berlin.

USSD-Code ist ein Bestandteil des GSM-Protokolls und steht für Unstructured Supplementary Service Data. Darüber lassen sich Befehle über das Tastenfeld des Telefons ausführen. Nun entdeckte Borgaonkar, dass es für Android-Smartphones von Samsung den USSD-Code *2767*3855# gibt, mit dem sich das Mobiltelefon in den Werkszustand bringen lässt. Dabei werden alle Daten auf dem Mobiltelefon gelöscht.

Sobald der USSD-Code an die Telefon-App weitergegeben wurde, hat der Nutzer keine Chance, diesen Vorgang abzubrechen. Angreifer könnten den USSD-Code etwa in Webseiten einbinden, und wenn eine solche Webseite vom Besitzer eines Galaxy-Smartphones aufgerufen wird, werden ohne weitere Rückfrage alle Daten auf dem Gerät gelöscht.

Galaxy-Tablets mit Mobilfunkmodem möglicherweise auch betroffen

Als weitere Angriffsmöglichkeit ist WAP-Push möglich, indem jemand eine speziell präparierte SMS an ein Galaxy-Smartphone sendet. In den Einstellungen der Nachrichtenanwendung kann der WAP-Push deaktiviert werden, um eine solche Attacke abzuwehren. Nach Recherchen von Slashgear funktioniert der USSD-Code außer auf dem Galaxy S3 auch auf den Samsung-Modellen Galaxy S2, Galaxy Beam, Galaxy S Advance und Galaxy Ace. Es ist davon auszugehen, dass noch weitere Galaxy-Modelle davon betroffen sind. Auch Tablets mit integriertem Mobilfunkmodem könnten davon betroffen sein.

Mit dem erwarteten Update auf Android 4.1 alias Jelly Bean soll dieser Fehler auf dem Galaxy S3 beseitigt werden. Die Ursache des Fehlers liegt aber wohl nicht im Android-Code, sondern in Samsungs Bedienoberfläche Touchwiz. Eine offizielle Stellungnahme dazu gibt es von Samsung noch nicht.

Nachtrag vom 26. September 2012, 11:53 Uhr

Der Entwickler Jörg Voss hat die kostenlose Android-App NoTelURL im Play Store veröffentlicht, mit der sich Nutzer vor solchen USSD-Attacken schützen können. Nähere Infos dazu liefert der dazugehörige Artikel auf Golem.de.

Kommentarübersicht
Re: Sprachlos...
SoniX 28. Sep 2012

Entschuldige bitte meinen harschen Ton. Es ist nur manchmal zum Verzweifeln hier. :)

Re: Problem solved
ramboni 27. Sep 2012

@GolemForumsDurchsucher: Sind Artikelupdates für sowas nicht vorgesehen?

Alter Hut
nomuc 26. Sep 2012

Diese ganzen Codes sind seit langem bekannt. Hier ein Forumeintrag vom 7. Februar 2012...

Re: USSD-Code per Webseite ohne Rückfrage?
Nebucatnetzer 26. Sep 2012

Ach für das gibts dann Cerberus.

*#06#
fratze123 26. Sep 2012

Funktioniert bei mir nur, wenn ich es selber eingebe. Das per "tel:" an den Dialer...

Kommentieren

Trackbacks

Handynews und mehr / 27. Sep 2012

Datenklau: Sicherheitslücke auf Samung Galaxy

Sebastian's Blog / 25. Sep 2012

Achtung: Sicherheitslücke in Samsungs Galaxy-Smartphones!

Anzeige
Stellenmarkt
  1. (Junior) Softwareentwickler C#/VB (m/w)
    Prodefacto Forderungsmanagement GmbH, Osnabrück
  2. Frontend-Entwickler (m/w)
    Hahn Air Lines GmbH, Dreieich
  3. Research Fellow (m/w)
    Universität Passau, Passau
  4. IT-Projektmanager (m/w) Kundenportale
    WIKA Alexander Wiegand SE & Co. KG, Klingenberg

 

Detailsuche

Folgen Sie uns
       
Videos
Scanadu Scout - der medizinische Tricorder Scanadu Scout - der medizinische Tricorder
Ticker
  1. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  2. Lenovo

    "Wir können uns jede Übernahme leisten"

  3. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  4. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  5. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  6. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  7. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

  8. Telekom

    Bundestagspetition gegen Drosselung erreicht 50.000

  9. E-Ink

    Das E-Paper errötet

  10. Security

    WLAN-Suche als Einfallstor bei Android und iOS

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Grafiksoftware
Steve Wilhite: Ehrung für den Erfinder des "Jif"-Formates
Steve Wilhite
Ehrung für den Erfinder des "Jif"-Formates

Steve Wilhite, früherer Mitarbeiter von Compuserve, hat einen Webby Award für die Entwicklung des Grafikformates Gif erhalten. Aus diesem Anlass hat der Erfinder noch einmal auf der korrekten Aussprache beharrt.

  1. Adobe Photoshop Express jetzt auch für Windows 8
  2. World Press Photo Award Wie viel Photoshop verträgt ein Reportagebild?
  3. Animation Motion-Capture-Verfahren ohne Marker
Creative Commons
Bibliotheca Augusta: Bibliothek stellt Buchscans unter Creative-Commons-Lizenz
Bibliotheca Augusta
Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

Die Nutzungsordnung der Herzog August Bibliothek, die noch aus dem Druckzeitalter stammt, ist für das Internet nicht mehr geeignet. Angesichts laufender Abmahnwellen für illegal genutztes Bildmaterial heben die Betreiber sie jetzt auf und führen die Creative-Commons-Lizenz BY-SA ein.

  1. Open Data Map Dokumentieren, was fehlt
Amazon
Seattle Campus: Amazon baut sich einen Wald in riesigen Glaskugeln
Seattle Campus
Amazon baut sich einen Wald in riesigen Glaskugeln

Nach einem Entwurf des Architekturbüros NBBJ will Amazon eine extravagante neue Konzernzentrale bestehend aus drei riesigen Gewächshauskugeln und Bürohochhäusern errichten.

  1. Amazon Coins Amazon bringt virtuelle Währung auf Kindle Fire
  2. Cloud Drive Photos Amazon schickt Fotos auf dem iPhone in die Cloud
  3. Quartalsbericht Amazon gibt 3,2 Milliarden Dollar für Lager und Filme aus
Forumsbeiträge »
  1. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    Re: Sind 8 Prozent nicht etwas hoch gegriffen?

    Tzven | 09:39

  2. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: "Bestseller trotz Startpreis 999,99 Euro" :)

    tomek | 09:27

  3. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Re: Wieder mal ein Autovergleich

    jaykay2342 | 09:27

  4. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: 41? eher unwahrscheinlich

    wmayer | 09:27

  5. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Re: Warum kostet Traffic?

    Tzven | 09:14

Ticker »
  1. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  2. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  3. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  4. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  5. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

  6. Fonic All-Net Flat Telefon-, SMS- und Datenflatrate für 25 Euro

    12:30

  7. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    12:03

  8. Telekom Bundestagspetition gegen Drosselung erreicht 50.000

    12:02

Zum Artikel