Apple

Samsung-Sicherheitspanne: Galaxy S3 Fernlöschung per Internetseite möglich

Heute wurde bei Samsung-Smartphones eine riesige Sicherheitspanne bekannt.

Jegliches Samsung-Gerät vor Android 4.1 Jelly Bean kann ohne Zutun des Nutzers durch Schadcode auf einer Webseite auf Werkseinstellungen zurückgesetzt werden (DATENVERLUST!). 

Dies geschieht durch einen sogenannten USSD-Code. Diese Codes sind Ziffernfolgen mit Sonderzeichen, welche durch die “Anrufen”-Taste bestätigt werden und beispielsweise die Mailbox de-/aktivieren.

Mit nachfolgendem USSD-Code kann das Smartphone komplett resettet werden:

*2767*3855#

Ihr solltet diesen Code also nicht zu Testzwecken ausführen. Auch mit Jelly Bean 4.1 löscht er das jeweilige Gerät.

Betroffen sind folgende Geräte mit Samsung TouchWiz-Oberfläche:

  • Galaxy S3
  • Galaxy S2
  • Galaxy S Advance
  • Galaxy Beam
  • Galaxy Ace

Der Entwickler Ravi Borgaonkar hat es nun geschafft, diesen Code in den iFrame auf einer Webseite einzubinden. Somit lassen sich Smartphones ohne Bestätigung des Nutzers löschen.

Dies geschieht über die Ausnutzung der Möglichkeit, dass Smartphones auf Internetseiten Telefonnummern mit einem tel: davor automatisch in einen klickbaren Link konvertieren (ähnlich wie mailto: bei E-Mails).

Dadurch kann der USSD-Code in einer einfachen Telefonnummer versteckt werden und führt sich automatisch aus. Konsequenz: das Smartphone löscht sich.

So könnte der Befehl aussehen:

<iframe src=”tel:*2767*3855#” name=”Reset” />

Alle Samsung-Smartphones außer dem Galaxy Nexus sind betroffen. Da es noch kein Android 4.1 für die oben genannten Geräte gibt, ist daher Vorsicht geboten.

Auf unserer Schwesterseite Android-Magazin.org haben wir Tipps zusammengestellt, wie man sich gegen die Fernlöschung schützen kann.

Zum Abschluss noch das Video, in der die Sicherheitslücke demonstriert wird:

(via Android-Magazin.org)

Das könnte dir auch gefallen:

2 Comments

  1. 1

    Ich würde den Code editieren. Wir kennen ja die Leute und wie genau sie manchmal die Artikel lesen…nicht das sich nachher noch jemand beschwert, obwohl es bei einem Samsung-Nutzer ja schon recht witzig wäre ;D

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.