So verhindern Sie, dass Hacker Ihr Android-Telefon mit einem einzigen Link löschen

Galaxy S III Top-Bildschirm

Das Android-Ökosystem bekam gestern einen Ruck mit der Entdeckung, dass einfache Links - etwas, das Sie möglicherweise nur online öffnen - ein vollständiges Löschen einiger Android-Geräte auslösen könnten. Der Forscher Ravi Borgaonkar enthüllte den Exploit, und (natürlich) das Gerät, das die ganze Aufmerksamkeit auf sich zog, war das meistverkaufte Samsung Galaxy S III. Samsung hat bereits einen Patch für die Sicherheitsanfälligkeit veröffentlicht. Es stellt sich jedoch heraus, dass viele andere Android-Telefone anscheinend für denselben Exploit anfällig sind. Die Wurzel des Problems liegt im Standard-Android-Dialer. Obwohl Google das Problem vor Monaten behoben hat, hat es dieses Update möglicherweise nicht auf aktuelle Android-Geräte übertragen, und viele werden es nie erhalten.

Es gibt Anlass zur Sorge, aber keine völlige Panik. Hier erfahren Sie, wie der Exploit funktioniert, und einige Tipps, wie sich Android-Benutzer schützen können.

Was ist USSD?

Der neue Android-Exploit basiert auf einem Protokoll, das in den meisten Telefonen mit dem Namen USSD oder Unstructured Supplementary Service Data integriert ist. Stellen Sie sich USSD ein bisschen wie ein SMS-Protokoll vor, aber anstatt Kurznachrichten zwischen Telefonbenutzern zu übertragen, sollen sowohl Gerätehersteller als auch Mobilfunkanbieter Zusatzdienste für ihre Telefone und ihr Netzwerk erstellen können. Wie Textnachrichten sind USSD-Nachrichten kurz (bis zu 182 Zeichen), aber im Gegensatz zu Textnachrichten können sie tatsächlich eine bidirektionale Netzwerkverbindung zwischen einem Gerät und einem Netzwerkendpunkt herstellen, sodass sie schneller reagieren als SMS-Nachrichten wird für interaktive Echtzeitdienste verwendet.

Leute, die auf Prepaid-Telefondienste angewiesen sind, haben wahrscheinlich USSD-Dienste verwendet, um ihren verbleibenden Prepaid-Kontostand zu überprüfen. Beispielsweise wählen Prepaid-Benutzer von T-Mobile  #999#, um ihren Kontostand anzuzeigen. Das ist USSD. Die USSD kann jedoch anspruchsvollere Anwendungen wie mobile Zahlungsdienste unterstützen. Dies ist einer der Gründe, warum einige Entwicklungsländer mit mobilen Zahlungen weiter fortgeschritten sind als Nordamerika und Europa. Andere Dienste haben Funktionen für soziale Netzwerke für Twitter, Facebook und andere Dienste für soziale Netzwerke eingerichtet, obwohl diese in aufstrebenden Märkten normalerweise nur auf Funktionstelefonen verfügbar sind.

USSD ist in GSM-Telefonen implementiert (die Standardbenutzer von Netzbetreibern wie AT & T und T-Mobile). Dies bedeutet jedoch nicht, dass Sie aus dem Schneider sind, wenn Sie ein Telefon mit einem CDMA-Betreiber wie Verizon oder Sprint verwenden. Viele USSD - Codes auslösen Aktionen auf dem lokalen Gerät und Sie nicht benötigen einen Mobilfunkbetreiber , dass Stützen USSD. Viele für CDMA-Netzwerke gebaute Telefone reagieren auf diese Codes.

USSD ist per Definition unstrukturiert, was bedeutet, dass Telefone nicht dieselben USSD-Codes unterstützen. Verschiedene Hersteller und Mobilfunkbetreiber sind weitgehend ihren eigenen Instinkten bei der Entwicklung von USSD-Funktionen und -Diensten gefolgt. Ein USSD-Code, der eine Sache auf einem Nokia-Telefon ausführt, kann auf einem LG-Telefon etwas ganz anderes tun - oder gar nichts. Ein häufig verwendeter Code ist jedoch *#06#, der häufig die eindeutige IMEI-Nummer (International Mobile Equipment Identity) eines Geräts anzeigt.

Tel: mir eine Geschichte

Ravi Borgaonkar (USSD-Sicherheitslücke, Samsung)

USSD ist nichts Neues und keine neue Bedrohung für Android. Was Ravi Borgaonkar demonstrierte, war eine erstaunlich einfache Kombination von USSD-Codes mit dem URL-Protokoll „tel:“. Sie haben in Dinge wie Web - Links und E - Mail - Adressen URL Protokolle gesehen - das sind http:und mailto:jeweils. Es gibt jedoch Hunderte anderer URL-Protokolle.

Das tel:Protokoll ermöglicht es Benutzern, eine Telefonnummer über einen Webbrowser zu wählen: Tel: 555-1212 sollte beispielsweise die meisten Amerikaner mit der landesweiten Verzeichnisverwaltung verbinden. Die Demonstration von Borgaonkar kombinierte das tel:URL-Schema mit einem bestimmten USSD-Code, der - Sie haben es erraten - einen Werksreset einiger Android-Geräte durchführen kann. Borgaonkar nannte dieses Zurücksetzen der USSD auf die Werkseinstellungen die "Samsung-Tragödie", auch weil die Implementierung des Löschbefehls durch Samsung keine Benutzerinteraktion beinhaltet. Einige andere Geräte verfügen über ähnliche Befehle zum Zurücksetzen auf die Werkseinstellungen, erfordern jedoch zumindest eine manuelle Bestätigung durch den Benutzer.

Theoretisch müsste ein Angreifer lediglich eine schädliche URL in eine Website einbetten, und jedes anfällige Gerät, das diese Seite lädt, wird auf die Werkseinstellungen zurückgesetzt. (In einigen Fällen umfasst dies sogar das Löschen der SIM-Karte.)

Es ist verlockend zu glauben, dass dies nur eine Sicherheitslücke im integrierten Browser eines Telefons ist, aber im Fall von Android handelt es sich tatsächlich um den Standard-Android-Dialer: Borgaonkar demonstrierte auch Möglichkeiten, den USSD-Reset mithilfe von QR-Codes, WAP-Push-SMS-Nachrichten und (in) auszuführen der Fall des Galaxy S III) sogar über NFC. Es ist nicht erforderlich, einen Browser einzuschalten. Jede App, die auf einem Android-Telefon eine Nummer wählen kann, kann möglicherweise einen USSD-Befehl auslösen.

Nicht das Ende der Welt?

Die Sicherheitslücke mag ziemlich schlimm erscheinen, aber Hendrik Pilz und Andreas Marx von der unabhängigen deutschen Sicherheitsfirma AV-TEST stellen fest, dass die Sicherheitslücke für Cyberkriminelle wahrscheinlich nicht sehr attraktiv ist.

"Wir glauben, dass die Mehrheit der Malware-Autoren möglicherweise nicht daran interessiert ist, die Sicherheitsanfälligkeit auszunutzen, da es keinen Sinn macht, ein Telefon zu löschen oder Benutzer auszusperren", heißt es in einer Erklärung per E-Mail. „Malware versucht, auf Ihrem System zu schweigen, sodass Ihr mobiles Gerät für böswillige, möglicherweise kriminelle Aktivitäten verwendet werden kann. Dies funktioniert nur mit laufenden und funktionierenden Systemen. “

Ist Ihr Telefon anfällig?

Sony Xperia P Bewertung nebeneinander Samsung Galaxy S3 Android-Handy

Bisher wurde nur bei ausgewählten Samsung-Handys ein USSD-Code nachgewiesen, der einen Werksreset durchführt. Dies bedeutet jedoch nicht, dass Telefone anderer Anbieter keine ähnlichen Codes haben, mit denen Angreifer Telefone löschen, Datenverlust verursachen oder möglicherweise sogar Benutzer für teure Dienste anmelden könnten. Das ist schließlich ein beliebter Zeitvertreib von Android-Malware-Autoren.

Leider gibt es keinen sicheren Weg, um festzustellen, ob ein Android-Telefon für einen USSD-basierten Angriff anfällig ist, aber Benutzer können überprüfen, ob ihre Dialer anfällig sind.

Es wurde bestätigt, dass die folgenden Geräte für das Wählen von USSD-Codes von einer Webseite anfällig sind:

  • HTC Desire HD
  • HTC Desire Z.
  • HTC Legende
  • HTC One W.
  • HTC ein x
  • HTC Sensation (XE) (mit Android 4.0.3)
  • Huawei Ideos
  • Motorola Atrix 4G
  • Motorola Meilenstein
  • Motorola Razr (mit Android 2.3.6)
  • Samsung Galaxy Ace, Beam und S Advance
  • Samsung galaxy s2
  • Samsung Galaxy S3 (mit Android 4.0.4)

Dies bedeutet wiederum nicht, dass alle diese Geräte über USSD gelöscht werden können. Bisher wurde bestätigt, dass nur ausgewählte Samsung-Telefone über einen USSD-Befehl gelöscht werden können. Viele andere Geräte wählen möglicherweise USSD-Befehle - und es gibt sogar Berichte, dass einige Geräte, auf denen Symbian und das bada-Betriebssystem von Samsung ausgeführt werden, USSD-Befehle über tel:URLs wählen .

Borgaonkar bot eine Testseite an, auf der mithilfe eines Iframes versucht wird, einen Browser zum Wählen eines USSD-Codes zu überreden. In diesem Fall wird die *#06#IMEI-Nummer eines Geräts angezeigt:

//www.isk.kth.se/~rbbo/testussd.html

Der selbst beschriebene Geek Dylan Reeve hat auch eine kurze Testseite zusammengestellt, auf der angegeben werden kann, ob Ihr Android-Dialer USSD-Codes mit demselben *#06#USSD-Code verarbeitet:

//dylanreeve.com/phone.php

Herr Reeve ist jedoch kein Experte für mobile Sicherheit. Wenn jemand ein Angreifer wäre, der diese Sicherheitsanfälligkeit ausnutzen möchte, wäre das Hacken einer dieser Testseiten eine großartige Möglichkeit, Chaos zu verursachen.

Wie Sie sich schützen können

Android 4.1 Jelly Bean

Wenn Sie ein Samsung-Telefon haben - Samsung hat bereits ein Firmware-Update veröffentlicht, das die Sicherheitsanfälligkeit behebt. Angesichts der Tatsache, dass ausgewählte Samsung-Telefone derzeit die einzigen Geräte sind, von denen bekannt ist, dass sie gelöscht werden können, empfehlen wir Samsung-Besitzern dringend, das Update anzuwenden.

Android aktualisieren - Bisher gibt es keine Hinweise darauf, dass Geräte mit Android 4.1 Jelly Bean anfällig für die USSD-Sicherheitsanfälligkeit sind. Wenn Jelly Bean für Ihr Gerät verfügbar gemacht wurde und Sie Ihr Update verschoben haben, wäre jetzt ein guter Zeitpunkt. Leider liegt die Verfügbarkeit von Jelly Bean auf unterstützten Geräten weitgehend im Ermessen der Netzbetreiber, und Mobilfunkbetreiber sind notorisch langsam bei der Zertifizierung neuer Software für ihre Netzwerke. Viele Geräte, die für mögliche USSD-Angriffe anfällig sind, können niemals auf Jelly Bean aktualisiert werden.

Verwenden Sie einen alternativen Dialer - Die offene Plattform von Android bietet möglicherweise eine Problemumgehung: Anstatt sich auf den integrierten Dialer von Android zu verlassen, können Android-Benutzer einen Dialer eines Drittanbieters installieren, der keine USSD-Befehle weiterleitet. Ein Favorit ist der kostenlose DialerOne, der mit Android 2.0 und neuer funktioniert.

Tel: URLs blockieren - Ein anderer Ansatz besteht darin, die Verarbeitung von tel:URLs zu blockieren . Jörg Voss bietet die kostenlose NoTelURL an, die sich im Wesentlichen als Dialer ausgibt: Wenn Benutzer auf eine tel:URL stoßen (ob über einen Browser oder das Scannen eines Codes), wird ihnen eine Auswahl an Dialern angeboten, anstatt sie sofort verarbeiten zu lassen.

Sichern Sie Ihr Telefon - Es sollte selbstverständlich sein, aber Sie sichern Ihr Android-Telefon (und alle Ihre Kontakte, Fotos, Medien und Daten) regelmäßig, nicht wahr? Unabhängig davon, ob Sie auf einem lokalen PC, einem Cloud-basierten Dienst oder einem anderen Schema sichern, ist das regelmäßige Speichern Ihrer Daten an einem sicheren Ort der beste Schutz für den Fall, dass Ihr Telefon gelöscht wird - ganz zu schweigen von Verlust oder Diebstahl.