Bei Android-Handys wurde eine gefährliche Lücke entdeckt. Man kann über bestimmte Zahlen-/Zeichen-Codes, die man in der Telefon-App eingibt, Kommandos z.B. an die SIM-Karte absetzen. Diese USSD-Steuercodes gibt es prinzipiell bei allen Mobiltelefonen. Auch beim iPhone kann man sich z.B. zu Analysezwecken die detaillierten Infos zu der aktuell genutzten Netzverbindung anzeigen lassen.
Brisant ist nun, dass man bei einigen/vielen Androids auch über in Websites eingebettete Links oder zugeschickte SMS diese Steuercodes ohne Zutun des Benutzers aus der Ferne abschicken kann.
Man kann mit diesen Codes die SIM-Karte komplett löschen oder besser noch durch absichtliches falsches Abschicken von SIM oder PUK die SIM zeitweise oder für immer deaktivieren.
Abhilfe erhält man aktuell durch die kostenlose App NoTelUrl, welche nichts anderes macht, als sich für die gleichen URLs als Ziel ins System einzutragen. Daher wird dann bei Einschleusung der Codes jedes Mal gefragt, welche App (Telefon oder NoTelUrl) Ziel sein soll und da darf man dann nicht Telefon wählen.
Überprüfen, ob man betroffen ist, kann man über den
USSD-Check von heise. Wird beim Öffnen automatisch die 15-stellige IMEI-Nummer angezeigt, ist man sehr wahrscheinlich verwundbar.
siehe:
Schutz vor Fernlöschung von Samsung-SmartphonesAndroid-Smartphones: Bei (USSD-)Anruf SIM-TodEchte Abhilfe wird nur ein Android-Update bieten, was dann aber die wenigsten Geräte bekommen dürften...
Sowohl iOS als auch Windows Phone reagieren nicht auf die Lücke.