Eine Abwandlung des kürzlich vorgestellten Angriffs auf Samsung Android Geräte mit Jelly Bean kann nun auch genutzt werden um die SIM-Karte des Smartphones zu "killen".
Es gibt nämlich einen MMI-Code, der erlaubt die Gerätepin mit Einsatz des PUK-Codes zu ändern. Wenn dieser Code mehrfach mit der falschen PUK aufgerufen wird (und eine falsche PUK/PIN ist wesentlich leichter zu finden als eine richtige), kann die SIM-Karte permanent gesperrt werden. Autsch. In Folge darf sich das Opfer dann eine neue Karte beim Provider bestellen.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Die Prozedur könnte sogar in einem Schritt durchgeführt werden: Statt einem iFrame mit dem "tel:" Code aus dem anderen Angriff könnten hier zehn iFrames in eine Internetseite eingebaut werden, die alle den PIN-Wechselbefehl mit einer jeweils falschen PUK aufrufen. Zack und die Karte ist gesperrt.
Das Ganze geht natürlich auch mit der Falscheingabe der PIN, was bei zahlreichen Android-Geräten (auch non-Samsung Geräte sind betroffen!) möglich sein soll. Wir haben übrigens einen Sicherheitstest in diesen Artikel eingebaut, der eure IMEI-Nummer anzeigt, sofern euer Gerät gegenüber den USSD-Angriffen verwundbar ist. Wird stattdessen die normale Website angezeigt, seid ihr auf der sicheren Seite. Keine Angst, der Test ist völlig harmlos und legt eure SIM-Karte nicht lahm.
Im letzten Sicherheitsupdate wurde das Samsung Galaxy S3 bereits gesichert, riskanter USSD/MMI Code kann nicht mehr über den Browser durch Dritte aufgerufen werden. Um sicher zu gehen, solltet ihr jedoch nach Updates für euer Endgerät schauen. Der SIM-Karten PIN-Wechselcode in MMI soll jedoch von vielen Geräten, auch jenseits des Galaxy SIII unterstützt werden, da es sich um eine Standardfunktion handelt. Sicherheitsforscher Collin Mulliner aus dem SECLAB der Northeastern Uni in Boston äußerte sich hierzu gegenüber Techhive und sieht den PUK-Angriff als problematischer an.
Mit der TelStop App könnt ihr euch generell gegen Angriffe dieser Art schützen. Als alternativer Dialer zeigt TelStop den Inhalt der "tel:" URI an und warnt vor gefährlichen Übergriffsversuchen. Alternativ könnt ihr auch NoTelURL benutzen, was im Endeffekt genauso wirksam ist.
Lest ihr diesen Artikel gerade auf eurem Rechner/Tablet und wollt den Sicherheitscheck durchführen, könnt ihr folgenden QR-Code mit einer beliebigen QR App scannen und die Probe auf's Exempel machen:
via Techhive
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
