Samsung Android-Handys: Ein falscher Klick und alles ist weg
Sicherheitslücke bei Samsung-Handys mit Android
Bild: teltarif.de
Samsungs Android-Flaggschiff Galaxy S3
hat offenbar Schlagseite in Sachen Sicherheit, und auch eine ganze Reihe
weiterer Handys der Koreaner sind wohl von einer Sicherheitslücke betroffen. Wie der
Blog Stadt-Bremerhaven.de unter Berufung auf
Twitter-User FlashMueller
berichtet, ist es möglich, das Smartphone durch die Eingabe eines sogenannten
USSD-Codes ohne weitere Rückfragen komplett zu löschen. Das Problem dabei: Ein
solcher Code kann sehr einfach durch eine Website auf das Handy
geschleust werden, eine einfache WAP-Push-SMS stellt ebenso eine reale
Bedrohung dar. Der Fehler kommt dem Experten Ravi Borgaonkar
[Link entfernt]
zufolge durch Anpassungen, die
Samsung mit der TouchWiz-Oberfläche am Quellcode der Version 4.0 Ice Cream Sandwich
des Google-Betriebssystems vorgenommen hat. Bei Geräten, die bereits das
aktuelle Android 4.1 Jelly Bean nutzen, tritt der Fehler offenbar nicht auf.
Auch ist noch nicht klar, ob der Fehler die komplette Android-Palette von
Samsung betrifft.
Sicherheitslücke bei Samsung-Handys mit Android
Bild: teltarif.de
Der USSD-Code, der den kompletten Reset der Smartphones auslöst, lautet
*2767*3855# und kann entweder direkt auf der Handy-Tastatur eingegeben
und abgeschickt, über einen Link ausgeliefert oder in anderer Form versendet
werden (ACHTUNG: In keinem Fall selbst ausprobieren!). Im Internet finden sich
mittlerweile einige Nutzer, die das Verhalten der Smartphones bestätigen - nach
der Eingabe des USSD-Codes waren alle persönlichen Daten gelöscht und das Handy
auf Werkszustand zurückgesetzt. Das "nackte" Android ohne die Samsung-Oberfläche
löst die Löschung über den Code nicht direkt aus.
Android-Update ist in Sicht
Eine direkte Lösung für das Problem ist derzeit nicht in Sicht. Ein Update auf das vermeintlich sichere Android 4.1 Jelly Bean sollte zwar für das Galaxy S3 und einige andere Samsung-Handys nicht mehr allzu lange auf sich warten lassen, Samsung arbeitet allerdings anscheinend zusätzlich bereits an einem Update, um das Problem bereits vorher zu beheben. Wer auf seinem Samsung-Handy bereits ein Update mit Hilfe eines Custom-ROMs durchgeführt hat - und dabei natürlich auch die Samsung-spezifische Software losgeworden ist - hat die Probleme wohl nicht in jedem Fall. Es kursieren aber auch Nutzerberichte, die trotz installiertem CyanogenMod ihr Samsung-Handy so gelöscht haben. In jedem Fall sollte in den System-Einstellungen der Empfang von WAP-Push-SMS deaktiviert werden, um zumindest diese Lücke zu schließen.
Der USSD-Code-Angriff im Video
Der Software-Entwickler Ravi Borgaonkar demonstriert des USSD-Angriff auf das Samsung Galaxy S3 im Rahmen der Sicherheits-Konferenz Ekoparty in Buenos Aires (ab etwa Minute 09:30).