USSD-Sicherheitslücke bei Android - ein kleiner Test

Zur Demonstration der aktuellen Sicherheitslücke in Android hier ein paar tel:-Links zum testen der Sicherheitslücken auf euren Android-Telefonen:

• Telefoninformationen anzeigen (*#*#4636#*#*)
• Servicemenü (*#*#7378423#*#*)
• Seriennummer anzeigen (*#06#)
• Checkin für Update (*#*#2432546#*#*)

Ich übernehme keinerlei Haftung dafür, ob die Codes funktionieren, oder ob damit ein Mobiltelefon beschädigt werden kann! Jeder Test erfolgt auf eigene Gefahr!

Um euch vor Angriffen über die tel:-Funktion zu schützen, könnt ihr die Apps USSD Filter oder TelStop verwenden. Beide finden sich kostenlos im Google Play Store.

Getestet habe ich die obigen Steuercodes auf einem Samsung Galaxy S2 mit Android Version 4.0.3. Funktioniert haben aber nur das Servicemenü und die Anzeige der Seriennummer. Beim Update-Checkin erfolgte nur die Ausgabe "checkin succeeded".

Jetzt kann man sich natürlich fragen, weshalb solche Steuercodes gefährlich sein sollen. "Gefährlich" ist meiner Meinung nach Definitionssache, da aber je nach Hersteller Steuercodes für das Zurücksetzen des Mobiltelefons oder zur Eingabe der PIN und PUK existieren, sollte man sich überlegen, ob man sich nicht dagegen schützen möchte.

Ich denke niemand möchte gerne seine Simkarte nur durch Klick auf eine "Telefonnummer" deaktivieren oder sein Androidtelefon komplett zurücksetzen lassen. Deshalb können die beiden verlinkten Apps sehr hilfreich sein (nur eine davon wird benötigt).

Die verlinkten Apps fangen die tel:-Aufrufe auf Wunsch ab und zeigen dann an, ob sich im Link ein Steuercode verbirgt, der das Handy schädigen könnte. Installiert habe ich mittlerweile die App USSD Filter, welche nur genau das macht, was sie verspricht: filtern.