Junge, Junge, das hat mal wieder reingehauen – Samsungs Smartphone lassen sich durch einen Manufacturer defined MMI-Code (meist fälschlich als USSD-Code bezeichnet) aus der Ferne sperren. Samsung hat reagiert und bietet ein Update an. Aber nun stellt sich heraus, dass da viele Android-Smartphones betroffen sind. Zeit, mal unter die Haube zu schauen.
Anzeige
Die Meldung …
In diesem Artikel mit dem Titel "Android-Smartphones: Bei (USSD-)Anruf SIM-Tod" machte heise.de auf das Problem aufmerksam. Und dann klapperte Spiegel Online mit Angreifer können Sim-Karte aus der Ferne sperren hinterher – getoppt wurde das dann von PC-Welt, die den Untergang der Republik mit dem Artikel Android-Sicherheitsskandal weitet sich aus einläuteten. Lässt Apple-Benutzer natürlich kalt, die plagen sich da eher mit iOS 6 und Kratzern am iPhone 5 herum – Luxusproblem sage ich nur.
… und das steckt dahinter
Beim Samsung Galaxy S3 hat Samsung bestimmte MMI-Steuercodes implementiert, um das Gerät über eine Mobilfunkverbindung auf Werkseinstellungen zurücksetzen zu können. So kann man z.B. den USSD Code #06# per Tastatur an seinem Android-Smartphone über die Telefonfunktion ausprobieren. Dieser Code sollte die IMEI-Nummer des Geräts anzeigen – funktioniert aber nicht auf allen Geräten. So was lässt sich auch über einen Manufacturer defined MMI Code abrufen.
Was im Grunde nur ärgerlich ist, wächst sich ggf. zum Problem aus. Denn kurz danach wurde bekannt, dass über solche MMI-Steuercodes auch die SIM-Karte zum Entsperren angesprochen werden kann. Setzt nun ein Dritter eine entsprechende Seite auf, bei deren Abruf ein MMI-Steuercode zur PIN-Eingabe mit einem Pseudo-PIN übertragen wird, führt das zum Problem. Spätestens nach drei übertragenen USSD-Codes mit fehlerhafter PIN wird die SIM-Karte gesperrt. Der Benutzer muss diese dann über die Super PUK entsperren.
Treibt der Angreifer den Spuk noch weiter, könnte er per MMI-Code auch die SuperPIN mehrfach falsch ansprechen – wodurch die SIM-Karte endgültig gesperrt wird. Danach ist nur eine kostenpflichtige Freischaltung durch den Provider möglich.
Anzeige
heise.de konnte in Versuchen eine präparierte Webseite aufsetzen, die eine SIM-Sperre auslöst. Bisher wurde argumentiert, dass niemand das ausnutzen würde, weil es keinen monetären Vorteil darstellt, die SIM-Karte zu sperren. Aber wie ist es, wenn es Hackern gelänge, die Webseiten der Mobilfunkanbieter zu kompromittieren und mit solchen Codes zu spicken? Da könnte man ganze Mobilfunkanbieter arg in Bedrängnis bringen.
Bin ich mit meinem Smartphone betroffen?
Die springende Frage für Besitzer von Android-Smartphones ist nun natürlich: Bin ich auch betroffen, oder kann ich mich diesbezüglich zurücklehnen? Die Redakteure bei heise.de haben eine kleine Webseite USSD-Check eingerichtet, die Sie auch über und abrufen können. Zeigt das Android Smartphone nach dem Abrufen der Seite die 15-stellige IMEI-Nummer des Geräts an, sollte höchste Alarm-Stufe sein – denn dann ist das Gerät wahrscheinlich angreifbar.
Ich habe mir den Spass erlaubt und das Pearl Simvalley SP-140 zum Test herausgepickt. Die obige Seite abgerufen und schon wurde ich von den IMEIs der beiden SIM-Karten begrüßt.
Nicht so schön – und von simvalley wird es – sofern das SP-140 angreifbar ist, wohl keinen schnellen Patch geben. Für andere Smartphones gilt wohl ähnliches. Hier wird der Hintergrund noch etwas ausgeleuchtet – verantwortlich ist der Telefon-Dialer, der eigentlich nur Benutzereingaben annehmen sollte, aber wohl auf MMI-Telefoncodes reagiert.
First Aid gefällig? Schon unterwegs …
Ich hatte eigentlich schon einen Blog-Beitrag zum Thema im Auge, bin aber durch meine Windows 8-Buchprojekte zu nix gekommen. Da ich nun die zwei ersten Windows 8-Titel abgeschlossen habe, kann ich mal wieder über den Schüsselrand schauen. Und dabei bin ich über den Blog von Jörg Voss auf den Artikel Update zur USSD Sicherheitslücke und wie man sie schließen kann gestoßen.
Jörg Voss beschreibt in diesem Beitrag nicht nur sehr anschaulich die Hintergründe für die möglichen Angriffsszenarien. Neben Websites lassen sich natürlich auch QR-Codes, NFS-Datenübertragungen oder HTML-Mails sowie WAP-Push-Nachrichten für den Angriff verwenden.
Aber damit nicht genug, Jörg Voss hat eine ganz nette Idee gehabt: Schickt eine Nachrichtenquelle (Webseite etc.) einen USSD-Code an das Android-Smartphone, könnte man doch eine App verwenden, die dann startet. Und mit der App ließe sich der Code einfach "ins Leere umleiten". Gesagt getan – Jörg Voss hat einen kleine App NoTelURL entwickelt, die kostenlos im Google Play Store oder auf seiner Website bezogen werden kann.
NoTelURL via Google Play Store
NoTelURL direkt von dieser Website
Installiert man die App und ruft sie auf, meldet sich diese mit der folgenden Nachricht.
Kann man aber erst einmal ignorieren, da noch kein Angriffsversuch stattgefunden hat. Interessant wird das Ganze, wenn man wieder die Webseite USSD-Check bei heise.de aufruft. Auf meinen Smartphones erscheint bei installierter App folgendes Fenster.
Der Benutzer kann also wählen, ob er den Anruf über die Telefon-App annehmen will (da lauert das Risiko) oder ob No Tel URL die Datenübermittlung handhaben soll. Wählt man die App und hat Immer für diese Aktion verwenden markiert, werden alle ähnliche Nachrichten mit USSD-Codes an die App umgeleitet. Es kann nichts mehr passieren – außer, dass die oben gezeigte Warnmeldung auf dem Display erscheint.
Da geht noch mehr …
Auch von GData gibt es den G Data USSD Filter im Play Store, der die USSD-Codes ausfiltert. Nachteil ist dort, dass die App zu vielen meiner Geräte nicht kompatibel ist.
Besser ist da schon NoUSSD von Erik C. Thauvin, die kostenlos im Play Store erhältlich ist. Die App läuft auf allen meinen Android-Geräten und zeigt an, welcher Code gerade übermittelt wurde.
Zudem fragt die App bei jedem Anruf nach. Verfolgt man die Diskussion im heise.de-Forum, kann man statt der oben erwähnten NoTelURL die App TelStop verwenden. Diese zeigt – sofern Sie als Dialer ausgewählt wird, den Code mit an.
Und es gibt noch eine App USSD Blocker im Play Store, die den Dialer des Smartphones ersetzen kann, dabei aber MMI-Codes (UUSD-Codes) des Herstellers ersetzt. Allerdings läuft auch diese App nicht auf allen meinen Geräten. Aber egal – ihr habe jetzt einige Alternativen, mit denen sich das Problem entschärfen lässt.
Anzeige
Hallo, meine App NoTelURL wurde im Market soeben upgedatet. Mehr geht jetzt nicht mehr .. ;)
@Jörg: Danke für die Info.