Image Image Image Image Image Image Image Image Image Image

Android USSD Sicherheitslücke lässt auch SIM-Karten sterben

Android USSD Sicherheitslücke lässt auch SIM-Karten sterben

Eine Abwandlung des kürzlich vorgestellten Angriffs auf Samsung Android Geräte mit Jelly Bean kann nun auch genutzt werden um die SIM-Karte des Smartphones zu “killen”.

Es gibt nämlich einen MMI-Code, der erlaubt die Gerätepin mit Einsatz des PUK-Codes zu ändern. Wenn dieser Code mehrfach mit der falschen PUK aufgerufen wird (und eine falsche PUK/PIN ist wesentlich leichter zu finden als eine richtige), kann die SIM-Karte permanent gesperrt werden. Autsch. In Folge darf sich das Opfer dann eine neue Karte beim Provider bestellen.

Die Prozedur könnte sogar in einem Schritt durchgeführt werden: Statt einem iFrame mit dem “tel:” Code aus dem anderen Angriff könnten hier zehn iFrames in eine Internetseite eingebaut werden, die alle den PIN-Wechselbefehl mit einer jeweils falschen PUK aufrufen. Zack und die Karte ist gesperrt.

Das Ganze geht natürlich auch mit der Falscheingabe der PIN, was bei zahlreichen Android-Geräten (auch non-Samsung Geräte sind betroffen!) möglich sein soll. Wir haben übrigens einen Sicherheitstest in diesen Artikel eingebaut, der eure IMEI-Nummer anzeigt, sofern euer Gerät gegenüber den USSD-Angriffen verwundbar ist. Wird stattdessen die normale Website angezeigt, seid ihr auf der sicheren Seite. Keine Angst, der Test ist völlig harmlos und legt eure SIM-Karte nicht lahm.

galaxy s3 exploit 300x216 Android USSD Sicherheitslücke lässt auch SIM Karten sterbenIm letzten Sicherheitsupdate wurde das Samsung Galaxy S3 bereits gesichert, riskanter USSD/MMI Code kann nicht mehr über den Browser durch Dritte aufgerufen werden. Um sicher zu gehen, solltet ihr jedoch nach Updates für euer Endgerät schauen. Der SIM-Karten PIN-Wechselcode in MMI soll jedoch von vielen Geräten, auch jenseits des Galaxy SIII unterstützt werden, da es sich um eine Standardfunktion handelt. Sicherheitsforscher Collin Mulliner aus dem SECLAB der Northeastern Uni in Boston äußerte sich hierzu gegenüber Techhive und sieht den PUK-Angriff als problematischer an.

Mit der TelStop App könnt ihr euch generell gegen Angriffe dieser Art schützen. Als alternativer Dialer zeigt TelStop den Inhalt der “tel:” URI an und warnt vor gefährlichen Übergriffsversuchen. Alternativ könnt ihr auch NoTelURL benutzen, was im Endeffekt genauso wirksam ist.

Lest ihr diesen Artikel gerade auf eurem Rechner/Tablet und wollt den Sicherheitscheck durchführen, könnt ihr folgenden QR-Code mit einer beliebigen QR App scannen und die Probe auf’s Exempel machen:

wbiqr Android USSD Sicherheitslücke lässt auch SIM Karten sterben

via Techhive

Probleme? Wir liefern Unterstützung bei Fragen zu iOS 8, OS X, 3D Druck und mehr! Trete unserer Community auf Facebook bei und verpasse keine Neuigkeiten mehr: