• IT-Karriere:
  • Services:

App-Hilfe: NoTelURL für Android verhindert Attacke durch USSD-Code

Mit der kostenlosen Android-App NoTelURL wird das Ausführen von USSD-Kommandos blockiert. Damit können Angreifer das Sicherheitsloch in einigen Android-Smartphones von Samsung nicht mehr ausnutzen.

Artikel veröffentlicht am ,
NoTelURL fängt Tel-URLs ab.
NoTelURL fängt Tel-URLs ab. (Bild: Jörg Voss)

Innerhalb weniger Stunden nach Bekanntwerden der Sicherheitslücke in etlichen Galaxy-Smartphones von Samsung hat der Entwickler Jörg Voss eine Anwendung entwickelt, um einen Angriff per USSD-Code abzuwehren. NoTelURL ist im Play Store kostenlos zu bekommen. Nach der Installation fängt sie alle Tel-URLs ab.

Stellenmarkt
  1. 10X Innovation GmbH & Co. KG, Berlin
  2. Deutsche Rentenversicherung Rheinland, Düsseldorf

Damit wird verhindert, dass USSD-Codes ohne Rückfrage des Nutzers ausgeführt werden. Bei allen Aufrufen einer Tel-URL erscheint ein Dialog, in dem festgelegt werden kann, ob sie mit NoTelURL oder mit der Telefon-App geöffnet werden soll. Wird die NoTelURL gewählt, werden die betreffenden Daten nicht an die Telefon-App weitergegeben. Wer NoTelURL in dem Dialog als Standard aufruft, braucht also keine Sorge mehr haben, dass USSD-Code ohne Rückfrage auf diesem Weg ausgeführt wird.

Komfortverlust durch NoTelURL

Das bedeutet allerdings einen Komfortverlust, denn nun ist es nicht mehr möglich, Telefonnummern in Webseiten bequem anzurufen. Wer NoTelURL hingegen nicht als Standard festlegt, kann selbst entscheiden, dass die Telefonnummer auf einer Webseite nun an die Telefon-App weitergereicht werden darf. Voss hatte nach eigener Aussage auf die Schnelle keine Möglichkeit gefunden, mit NoTelURL ausschließlich URLs abzuweisen, die USSD-Code enthalten, und sich daher für diese Art der Implementierung entschieden.

Der Sicherheitsexperte Ravi Borgaonkar hatte bemerkt, dass es für Galaxy-Smartphones einen USSD-Code gibt, mit dem sich alle Daten auf dem Android-Smartphone löschen lassen.

USSD ist ein Bestandteil des GSM-Protokolls und steht für Unstructured Supplementary Service Data. Darüber lassen sich Befehle über das Tastenfeld des Telefons ausführen. Sobald ein USSD-Code an die Telefon-App weitergegeben wurde, hat der Nutzer keine Chance, diesen Vorgang abzubrechen. Angreifer könnten den USSD-Code etwa in Webseiten einbinden. Wenn eine solche Webseite vom Besitzer eines Galaxy-Smartphones aufgerufen wird, werden ohne weitere Rückfrage alle Daten auf dem Gerät gelöscht.

Bisher gibt es von Samsung keine Details zu dem Sicherheitsleck. Es ist denkbar, dass auch Galaxy-Tablets von dem Problem betroffen sind. Mit dem erwarteten Update auf Android 4.1 alias Jelly Bean soll der Fehler auf dem Galaxy S3 beseitigt werden. Seine Ursache liegt aber wohl nicht im Android-Code, sondern in Samsungs Bedienoberfläche Touchwiz. Eine offizielle Stellungnahme dazu gibt es von Samsung noch nicht.

Nachtrag vom 28. September 2012

Neben der Anwendung NoTelURL hat G Data die Android-Anwendung USSD-Filter gratis im Play Store veröffentlicht. Im Unterschied zu NoTelURL analysiert die G-Data-Software die Tel-URLs und zeigt an, ob sie USSD-Code enthält. Aus der G-Data-Anwendung heraus kann dann eine Telefonnummer in die Telefonanwendung kopiert werden, um Rufnummern in Tel-URLs weiterhin anrufen zu können, so dass es nur einen minimalen Komfortverlust gibt.

Nachtrag vom 1. Oktober 2012, 8:11 Uhr

Jörg Voss hat NoTelURL aktualisiert und kann nun ebenfalls eine Rufnummer aus einer Tel-URL an die Telefonanwendung weiterleiten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Smartphone
    Huawei gehen die SoCs aus
  2. Eingelöteter Speicher
    Neuer iMac ohne SSD-Aufrüstmöglichkeiten
  3. Hildmann, Naidoo, Identitäre
    Warum Telegram bei Rechten so beliebt ist
  4. Ciclone E4
    Garelli bringt kleines Elektro-Moped mit Wechselakku
  5. Hack-a-Sat
    Wer übernimmt den Satelliten der US-Luftwaffe?
Anzeige
Spiele-Angebote
  1. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...
  4. (-82%) 11,00€
Kommentarübersicht
Re: Opera als Standard Browser und gut ist (kwt)
zandro 27. Sep 2012

er unterstützt tel-URLs, allerdings ruft er diese nicht automatisch auf, wenn sie als...

Re: Super App!
tmc 27. Sep 2012

Das HTC Sensation mit Android 4.0.3 (T-Mobile Branding) ist auch betroffen.

Re: Kann Golem denn mal ...
thps 27. Sep 2012

auf dem Galaxy Note 10.1 wird nur die Telefonapp aufgerufen ....Auch Touchwize auf...

Re: Oh wow
Himmerlarschund... 27. Sep 2012

Zumal es hier schon einige geben dürfte, für die diese News relevant ist. Golem als...

Folgen Sie uns
       
24-zu-10-Monitor LG 38GL950G - Test

LGs 21:9-Monitor 38GL950G überzeugt durch gute Farben und sehr gute Leistung in Spielen und beim Filmeschauen. Allerdings gibt es einige Probleme beim Übertakten des Panels.

24-zu-10-Monitor LG 38GL950G - Test Video aufrufen
Indiegames Rundschau
Indiegames-Rundschau: Stadtbaukasten trifft Tentakelmonster
Indiegames-Rundschau
Stadtbaukasten trifft Tentakelmonster

Traumstädte bauen in Townscaper, Menschen fressen in Carrion und Bilderbuchgrusel in Creaks: Die neuen Indiegames bieten viel Abwechslung.
Von Rainer Sigl

  1. Indiegames-Rundschau Licht aus, Horror an
  2. Indiegames-Neuheiten Der Saturnmond als galaktische Baustelle
  3. Indiegames-Rundschau Dunkle Seelen im Heavy-Metal-Rausch
Elektromobilität
Sono Motors: Wie der E-Autohersteller durch die Krise kommen will
Sono Motors
Wie der E-Autohersteller durch die Krise kommen will

Die Crowdfunding-Kampagne kam zur richtigen Zeit. Mit dem Geld hat das Elektroauto-Startup Sono Motors die Coronakrise bisher gut überstanden.
Ein Bericht von Werner Pluta

  1. Soundcloud-Gründer Das eigene E-Bike für 59 Euro im Monat
  2. Kuberg Elektrisches Dirt Bike mit Anhänger vorgestellt
  3. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
Sysadmin Day
Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /