Der Sysop und Sicherheitsfreund Pau Oliva (@pof bei Twitter) hat heute Nacht oder gestern Nacht, Definitionsfrage, ein nettes Stückchen Samsung-Ausrutscher per Twitter erwähnt. So kann der USSD-Code für den Werksreset eines Samsung Galaxy S3 vom Browser aus aufgerufen werden.
Mit einem kleinen Codeschnipsel könnt ihr per WAP Push SMS, QR Code oder NFC das Galaxy S3 eures Freundes komplett wipen. Falls er mal wieder eine neue Custom ROM ausprobieren will, oder gerade ein frisches NANDROID-Backup gemacht hat, kommt das ja ganz gelegen. Anderenfalls könnte es schmerzhaft werden.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Die Lücke wurde auf der Ekoparty 2012 von Ravi Borgaonkar (@raviborgaonkar) vorgeführt und ist im nachfolgenden Video zu bewundern. Via SMS schießt Ravi das Gerät einfach mal komplett ab. Herrlich. Der angebliche Entdecker der Lücke ist c0rnholio von silentservices.
Das Galaxy S3 Stock ROM ist bekanntlich ein von Samsung angepasstes ROM. Witzigerweise reagiert dieses auf den USSD Code für den Full Wipe oder Werks-Reset des Galaxy S3, dieser wird nämlich in einen HTML-Frame eingebettet und als Telefonnummer hinterlegt. Das Samsung Galaxy S3 muss den passenden HTML-Code einfach nur über den Browser aufrufen und Tadá, das Exploit greift.
the USSD code to factory data reset a Galaxy S3 is *2767*3855# can be triggered from browser like this: <frame src="tel:*2767*3855%23" />
— Pau Oliva (@pof) September 25, 2012
Beheben lässt sich das Problem recht einfach: Installiert reguläres bzw. "vanilla" Android auf eurem Galaxy S3 oder eine Jelly Bean ROM aus dem XDA Forum. Dazu ist natürlich ein entsperrter Bootloader und ein gerootetes Smartphone erforderlich. Alternativ wartet ihr ab, bis es von Samsung ein Update hierzu gibt.
Laut mobiflip könnt ihr als kleine Präventivmaßnahme ohne root auch WAP-Push in den Einstellungen der Nachrichten-App deaktivieren. Außerdem macht es immer Sinn, ein Titanium Backup zu machen. Mit alternativen Browsern wie Chrome, Opera und co. wird übrigens nicht direkt gewählt - ein weiterer Schutzfaktor also. Laut den Kollegen bei mobiflip sind übrigens alle Samsung Geräte (bis auf das Nexus) betroffen, die nicht mit Jelly Bean ausgerüstet sind.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
