News 28.09.2012, 09:42 Uhr

Android: Reset-Lücke nicht nur bei Samsung

Fernlöschung und SIM-Sperrung - über vielen Android-Usern hängt ein Damoklesschwert aufgrund einer Sicherheitslücke. Mit einem kostenlosen Webtest checken Sie Ihren Androiden.
Eine Sicherheitslücke im Zusammenhang mit USSD-Codes erlaubte es Angreifern, alle Daten auf einem Samsung Galaxy S3 aus der Ferne zu löschen (PCtipp.ch berichtete). Alternativ lässt sich auch die SIM-Karte des Opfers sperren. Doch während der Entdecker des Problems anfangs noch dachte, es handle sich um eine Lücke in Samsungs hauseigener Software Touchwiz, sieht es nach aktuellem Stand ganz anders aus. Denn, wie jetzt bekannt wurde, sind anscheinend auch HTC-Geräte betroffen. HTC nutzt statt Touchwiz die hauseigene Sense-Oberfläche.
Testen Sie, ob Sie betroffen sind
Der Neuseeländer Dylan Reeve, der sich selbst als Geek bezeichnet, hat einen Test entwickelt, der feststellen soll, ob Ihr Android-Smartphone ebenfalls betroffen ist. Rufen Sie die folgende URL im Browser Ihres Smartphones auf: dylanreeve.com/phone.php. Wenn Ihr Smartphone daraufhin automatisch die Tastatur zum Wählen einer Telefonnummer und zugleich die IMEI-Nummer in einem Pop-Up anzeigt, sind Sie laut Test von der Sicherheitslücke betroffen. Wird nur «*#06#» (ohne Anführungszeichen) angezeigt, sollte Ihr Smartphone diesbezüglich sicher sein (siehe Bild).
Unsere Kollegen von der PC-Welt konnten mithilfe des Tests das Problem nicht nur mit einem HTC Desire, HTC One S, HTC Sensation XE und Samsung Galaxy S feststellen, sondern auch mit einem LG Optimus Speed. Letzteres nutzt weder Touchwiz noch Sense. Es drängt sich also die Frage auf, ob ein allgemeines Android-Problem vorliegt – zumindest bei älteren Versionen. Das Sony Xperia Mini mit Android 4.1 war im Redaktions-Check laut Test nicht betroffen.
So schützen Sie sich
Samsung hat zumindest für das Galaxy S3 bereits ein Update bereitgestellt, das die Sicherheitslücke schliessen soll. Die Koreaner raten dringend zur Installation des Updates. Alle Betroffenen ohne verfügbares Update können sich die App TelStop oder Auto-Reset Blocker installieren. Die Gratis-Apps führen eine zusätzliche Abfrage ein - der Hacker bekommt die USSD-Codes also nicht mehr automatisch. Aber Vorsicht: Wenn Sie etwa bei TelStop auf «Aktion durchführen mit Telefon» statt auf «Aktion durchführen mit TelStop» tippen, tappen Sie trotzdem in die Falle. Mit der App NoTelURL unterbinden Sie das Aufrufen von Telefonnummern aus dem Webbrowser komplett. Setzen Sie für mehr Sicherheit ein Häkchen und verwenden Sie «NoTelURL» als Standard, wenn Sie auf das Feature verzichten können.



Kommentare
Avatar
Hannes Weber
28.09.2012
Der Fehler erscheint nur wenn der Stock Dialer benutzt wird. Und dies mit einer Version < 4.1.1 Mit anderen Worten, auf einem Grossteil aller Android-Smartphones.

Avatar
Nebuk
28.09.2012
Mein Nexus S weist diese Lücke nicht auf :)

Avatar
schrepfer
28.09.2012
Auf dem HTC One X und HTC Desire HD tritt diese Sicherheitslücke auf. Und dies im Stock-Browser, Firefox Beta & Opera Mobile. Test funktioniert auch mit Aufruf dieses URL's: tel:*%2306%23

Avatar
CableGuy
28.09.2012
Seit Gestern ist für das Samsung Galaxy SII ein Update auf Android 4.0.4 verfügbar. Dieser behebt die "Reset-Lücke", da diese in Android 4.0.4 behoben wurde. Daher ist das Update sehr zu empfehlen und kann manuell über Einstellungen – Telefoninfo – Software Aktualisierung die Aktualisierung starten installiert werden.

Avatar
schrepfer
28.09.2012
Seit Gestern ist für das Samsung Galaxy SII ein Update auf Android 4.0.4 verfügbar. Dieser behebt die "Reset-Lücke", da diese in Android 4.0.4 behoben wurde. Daher ist das Update sehr zu empfehlen und kann manuell über Einstellungen – Telefoninfo – Software Aktualisierung die Aktualisierung starten installiert werden. Diese Android-Version weist diese Sicherheitslücke noch immer auf. Abhilfe schafft das App NoTelUrl aus dem Play Store!

Avatar
cedricsuetterlin
28.09.2012
Auf dem Galaxy S3 war die Lücke nach einem Tag geschlossen. Der Dialer öffnet sich zwar noch, aber es wird nichts mehr automatisch eingegeben und schon gar nicht gewählt.

Avatar
Mooris
28.09.2012
Bei meine S3 passiert gar nichts.. keine Zahlen werden gewählt aus dem Browser... bei mir ist jedoch noch 4.0.4 installiert und es gibt anscheinend keine updates..

Avatar
dbaechli
29.09.2012
Auf dem HTC One X und HTC Desire HD tritt diese Sicherheitslücke auf. Und dies im Stock-Browser, Firefox Beta & Opera Mobile. Test funktioniert auch mit Aufruf dieses URL's: tel:*%2306%23 Stimmt, ONE X würde den Code ausführen, update scheint noch keiner vorhanden zu sein. Ich denke, dass auch andere Modelle von HTC (und anderer Hersteller) betroffen sind. Ich habe schon seit längerem Lookout Mobile installiert und die App führt den Code nicht aus, sondern lässt mich wählen, ob ich anrufe oder die Telefon-App starte. Wähle ich App starten, startet sie und die Nummer/der Code erscheint in einem Pop-Up, bevor er ausgeführt wird. Wenn man natürlich auf das App-Symbol zum direkt ausführen klickt, ist man auch gelinkt.. ,-(