Verfasst von:

Sicherheitsleck: Samsung-Smartphones lassen sich unbemerkt löschen

Verfasst von: Andreas Seeger — 25.09.2012

Android-Smartphones von Samsung sind von einer schweren Sicherheitslücke betroffen. Der Entwickler Ravi Borgaonkar demonstriert in einem Video, wie sich ein Galaxy S2 aus der Ferne löschen lässt – ohne dass Nutzer eine Möglichkeit haben, einzugreifen. [Update] Gut, dass unser Community-Mitglied Jörg Voss inzwischen eine App geschrieben hat, die Angreifern einen Riegel vorschiebt.

Borgaonkar hat das Sicherheitsproblem am 21. September auf der Hackerkonferenz Ekoparty in Buenos Aires demonstriert, das dazugehörige Video ist bereits seit zwei Tagen bei Youtube online. Aber erst jetzt kommt das Thema "groß raus", ich selbst bin über BGR darauf aufmerksam geworden.

Bei seiner Demonstration setzte der Entwickler ein Samsung Galaxy S2 komplett zurück, indem er eine Telefonnummer in einer SMS antippte. Was sich anhört wie Zauberei, hat einen ganz einfachen Hintergrund: Über Kurzwahlbefehle lassen sich seit Jahren auf dem Telefon Aktionen ausführen. Diese sogennannten USSD-Codes werden vor allem von Netzbetreibern eingesetzt, "um beispielsweise Zugang zu vorkonfigurierten Diensten zu bekommen, die für den Betreiber des jeweiligen Mobilfunknetzes spezifisch sind." (Wikipedia)

Rufumleitungen, Guthabenabfragen, Multi-SIM-Funktionen – alles sehr leicht steuerbar, indem der Nutzer im Telefonmenü eine Zahlen-Zeichenkombination (*111#) wählt und auf "anrufen" tippt. Solche Kurzbefehle werden auch von Herstellern benutzt, um Systemfunktionen anzusteuern. Bei Samsung-Geräten etwa löscht der Code *2767*3855# alle Apps und persönlichen Einstellungen. Wenn man diesen Code „anruft“ erscheint keine Warnmeldung auf dem Display, die Inhalte werden ohne Rückfrage gelöscht. Sie sind vor allem für den internen Gebrauch gedacht und werden daher nur selten nach außen kommuniziert. 

Das von Borgaonkar aufgezeigte Problem: Bei einigen Samsung-Modellen ist es auch möglich, diesen Code im Hintergrund auszuführen, sodass das Smartphone ohne Wissen des Nutzers gelöscht wird.

Dafür nutzte er eine einfache Funktion, die zum Standard-Repertoire von Smartphones gehört: das direkte Anrufen von Telefonnummern auf einer Website. Wenn ein Entwickler auf einer eigens präparierten Website statt einer Telefonnummer den obigen USSD-Code hinterlegt und ihn entsprechend einbettet, versucht das Smartphone diese Telefonnummer anzurufen, sobald man diese Website ansurft. Der dafür erforderliche Code ist HTML-Standard, ein paar Beispiele für solche Code-Schnipsel hat Renè Hesse von Mobiflip zusammen getragen.

Es gibt noch drei weitere Einfallstore, um den USSD-Code unbemerkt auszuführen und auch darauf hat Borgaonkar hingewiesen: QR-Codes und NFC-Tags, die diese präparierten Websites direkt aufrufen, sowie WAP-Push. Letzteres sind Kurznachrichten, die von einem Anbieter (in der Regel ein Netzbetreiber) auf das Gerät „gepusht“ werden und vom Nutzer nur noch bestätigt werden müssen. Auf unseren speziellen Fall angewendet, heißt das: Ich bekomme eine Nachricht und mein Telefon ist gelöscht. Eine weitere Interaktion mit dem Nutzer ist nicht erforderlich, auch eine Warnmeldung fehlt.

Von dieser Sicherheitslücke sollen alle Android-Smartphones von Samsung betroffen sein, auf denen die Oberfläche TouchWiz installiert ist.

[UPDATE vom 25.09. 18:03] Es kristallisiert sich langsam heraus, dass nicht alle Touchwiz-Geräte davon betroffen sind: heise gelang es nicht, das Problem auf einem Galaxy S3 mit Android 4.04 nachzuvollziehen. 

[UPDATE vom 25.09. 18:13] Borgaonkar schreibt auf Twitter, dass die Lücke nicht nur TouchWiz betrifft, sondern generell Smartphones mit Android: "Es hat nichts mit TouchWiz auf dem Galaxy S3 zu tun, sondern mit dem Android-System". Er verweist auf eine Website, auf der man sein Telefon überprüfen kann: http://www.isk.kth.se/~rbbo/testussd.html  Wer diese Website mit seinem Smartphone ansurft und danach die IMEI-Nummer sieht, ist davon betroffen. Ich habe gerade den Test mit einem S3 gemacht, auf dem CM9 installiert ist und die IMEI wurde eingeblendet.

[UPDATE vom 25.09. 18:32] Ich habe jetzt mal die direkt die Website angesurft, die den präparierten Schadcode enthält. Bei mir (SGS3 mit CM9) wurde danach nur das Wählprogamm eingeblendet, das den ensprechenden Löschcode enthält. Er funktioniert aber zum Glück nicht, weil ich ein Custom-ROM installiert habe.

[Update vom 26.09. 9:04] Wer's in den Kommentaren noch nicht gesehen hat: AndroidPIT-Community-Mitglied Jörg Voss hat ein kleines Tool geschrieben, das Euch vor Löschangriffen schützen kann. Ihr könnt NoTelURL direkt aus dem Play Store installieren.

Foto: Samsung/Andreas Seeger
 

Der studierte Historiker hat schon für viele verschiedene Publikationen im Mobilfunkbereich gearbeitet, unter anderem für Europas größtes Telekommunikationsmagazin CONNECT. Er ist an der Ostsee aufgewachsen, lebt aber schon seit mehr als 12 Jahren in Berlin. Das Meer vermisst er immer noch.

113 Kommentare

Neuen Kommentar schreiben:
  • P4T.911 05.10.2012 Link zum Kommentar

    Falls hier noch wer liest...
    Apps wie "Avast Mobile Security" helfen übrigens auch.
    Beim S2 mit 4.0.3 kommt ne Warnung das es sich um eine schädliche Aktion handelt und diese blockiert wurde.

  • Katharina Boschini 02.10.2012 Link zum Kommentar

    Und noch einmal mehr : DANKE JOERG !!!
    Somit konnten auch meine Freunde in Spanien ihre Geraete mit Ihrer SchutzApp versehen - ich finde es großartig,wenn sich jemand fuer den Geraeteschutz Gedanken macht, sich hinsetzt und eine Anwendung entwickelt, die wir sogar kostenfrei erwerben koennen. Das ist sehr großzuegig,Joerg ! ***** ***** ***** !!!
    Gruß und einen schönen Feiertag
    wünscht

    KBosc

  • Charlie Braun 27.09.2012 Link zum Kommentar

    Ich habe den oben aufgeführten Link ( http://www.isk.kth.se/~rbbo/testussd.html )
    von meinem Samsung Note und auch vom S2 meiner Nichte und vom S3 meiner Frau aus aufgerufen und es geht jeweils lediglich die Telefonnummerneingabe App auf...und keine IMEI ist im Display zu sehen.

    JUHU...

    alle Geräte haben die jeweils aktuellste Version der Standard-Samsung-Android 4.0.4-4.1.1.

  • Michael H. 27.09.2012 Link zum Kommentar

    Bei Heise gibt es inzwischen eine Meldung dazu. Mit der Erwähnung von Jörg ...

    http://www.heise.de/security/meldung/Schutz-vor-Fernloeschung-von-Samsung-Smartphones-1717765.html

  • Dave Matthew 27.09.2012 Link zum Kommentar

    könnte es passieren das wenn deinen link teste mein phone zurückgesetzt wird ?

  • Dave Matthew 27.09.2012 Link zum Kommentar

    Jörg
    eine frage. was genau macht deine app ?

  • 16
    Donsaibot 26.09.2012 Link zum Kommentar

    Ich hab mir mal ne experimentelle CM10 für mein Desire Z besorgt und damit gehts nicht mehr.

  • Sabine B. 26.09.2012 Link zum Kommentar

    Danke Jörg!!!!!

  • Benedikt K 26.09.2012 Link zum Kommentar

    One S ist betroffen, hab jetzt gleich die App installiert, danke für den Blog.

  • Fabio 26.09.2012 Link zum Kommentar

    hallo
    erstmal für mich zum verstehen:
    steht dort kein IME ist telefon sicher oder verstehe ich da was falsch ?

  • Wölfchen 26.09.2012 Link zum Kommentar

    Danke für den Tipp mein HTC Sensation ist ebenfalls betroffen (IMEI Code kam). Werde erstmal vorsichtiger surfen.

  • b0rtz 26.09.2012 Link zum Kommentar

    LG p990 mit cm7 von temasek betroffen.

  • Dirk K. 26.09.2012 Link zum Kommentar

    Mein S2 hat soeben ein Firmware Update von 4.0.3 auf 4.0.4 über OtA bekommen. Ich hoffe, dass es nicht das letzte Update ist. Vielleicht bekommt es ja noch Android 4.1...

  • 2shi 26.09.2012 Link zum Kommentar

    ich hab grad mal den Sicherheitsleck für nen Full Wipe genutzt :D weil fürs S2 ein Update auf 4.0.4 gibt u. ich immer Wipe bevor ich Update =)
    somit kann man den Bug auch positiv anwenden ...nicht desto trotz werde ich die App nach dem Update installieren :D

  • Dirk K. 26.09.2012 Link zum Kommentar

    @Andreas Seeger
    Vielen Dank, dass Du auf die Sicherheitslücke aufmerksam gemacht hast!

  • Dirk K. 26.09.2012 Link zum Kommentar

    Habe mir jetzt, nach der Installation von Jörgs App "No Tel: URL" getraut, die benannte Seite aufzurufen. Mein Telefon ist jetzt erstmal sicher. Die anderen beiden Apps von Jörg habe ich gleich mit installiert.

    @Jörg
    Vielen Dank! Ich fühle mich gleich etwas sicherer.

  • Christian B. 26.09.2012 Link zum Kommentar

    HTC HD2 umgeflasht auf EnergyROM Android (aktuelle Version):
    IMEI wird angezeigt.
    Dank Jörgs App kann man's aber abfangen.

    Danke für die nützliche App!

  • Rafael K. 26.09.2012 Link zum Kommentar

    Test auf einem S2 ohne Branding mit 4.0.3
    - Aufruf der URL zeigt die IMEI an, also Gerät anfällig
    - Mit Jörgs App wird der Aufruf aber abgefangen

    Danke Jörg !

  • Ingo B. 26.09.2012 Link zum Kommentar

    "Getestet auf dem S3 mit der brandingfreien XXBLH3 (4.0.4). Es öffnet sich die Telefon App, mehr passiert nicht. :-)"

    Mit dem T-Mobile gebrandeten Gerät passiert das gleiche. ;o)

  • Tobias K. 26.09.2012 Link zum Kommentar

    ich hab das S3 Mut jelly bean und bei mir zeig er diese Nummer nicht an!

Zeige alle Kommentare