Moin
Wie ich in den letzten Tagen erfahren habe, sind sehr viele Android Smartphones empfänglich für sogenannte tel:-URLs. Diese werden üblicherweise gebraucht, um aus einer App oder einer Website einen Anruf zu starten, idealerweise aber mit Nachfrage.
Nun ist vor einigen Tagen bekannt geworden, dass manche Samsung Smartphones, wie z.B. das Galaxy S2, durch einen QR-Code in den Werkszustand zurückversetzt werden können. Der QR-Code enthält einen Link, der durch die Scannerapp automatisiert im Standardbrowser geöffnet wird und eine HTML-Zeile mit einer tel:-URL enthält. Diese wird ohne Nachfrage an die Wahlapp (Call-Screen) weitergeleitet und ausgeführt und somit der Werksreset gestartet.
Andere Scannerapps als das im Video gezeigte ScanLife (wie z.B. QR-Droid) zeigen die URL zur manipulierten HTML-Seite an, doch starten den Browser nicht selbständig. Das Sicherheitsloch liegt aber definitiv in der Call-Sreen App, welche solche Codes ohne Benutzerinteraktion ausführt.
Durch weitere Tests, u.A. durch heise-security, wurde die Schwachstelle auch bei anderen Smartphones auf Androidbasis bestätigt, wenn bisher auch nur von Samsung ein Code zum Resetten bekannt/existent ist. Zum Beispiel lässt sich bei vielen Modellen durch einen iFrame mit der URL "tel:*%2306%23 " die IMEI auslesen (Code für die Wahltasten: *#06#). Dieser Code wird vom Android Standardbrowser, als auch von der Standard Emailapp (HTML-Mails), automatisch an die Wählapp weitergeleitet und in vielen Android Versionen automatisch ausgeführt. Weitere mobile Browser wie Firefox, SkyFire und Chrome öffnen den tel:-Link ebenfalls automatisch, Opera Mini blockiert den iFrame, doch lässt sich die URL auch über Javascript ausführen.
Kritisch ist diese Sicherheitslücke dahingehend, dass Codes existieren, die die PIN-Abfrage aufrufen (oder die PIN-Änderung). Wie jeder weiß, wird bei dreimaliger Falscheingabe zur Einabe der PUK aufgefordert, und auch dafür sollen Codes existieren. Damit wäre es einem Angreifer möglich, die SIM-Karte unbrauchbar zu machen.
Bisher hilft nur, einen USSD Blocker zu installieren, wie "TelStop", "NoTelURL" oder "USSDFilter" oder, wo möglich, ein Update auf Jelly Bean 4.1.
Empfänglich sind allem Anschein nach auch Custom-ROMs wie Cyanogen-Mod, welche auf ICS 4.0.x basieren. Andere wiederum sind dagegen gefeit.
Aus eigener Erfahrung: SonyEricsson Xperia Neo mit Krabappel2548's ROM v.21 (KA21) und ICS-Call-Screen ist soweit sicher, die Wahlapp wird mit Code gestartet, allerdings muss man noch selbst den grünen Button zur Ausführung drücken.
Definitiv öffnen der Android Browser als auch die Email App ungefragt eine tel:-URL. Google Mail App ist in der Hinsicht sicher (zumindest HTML-Mail mit iFrame).
PS: Die "news" habe ich heute Mittag bereits an einen Redakteur geschickt, aber bisher ist noch nichts auf der Hauptseite erschienen
Wie ich in den letzten Tagen erfahren habe, sind sehr viele Android Smartphones empfänglich für sogenannte tel:-URLs. Diese werden üblicherweise gebraucht, um aus einer App oder einer Website einen Anruf zu starten, idealerweise aber mit Nachfrage.
Nun ist vor einigen Tagen bekannt geworden, dass manche Samsung Smartphones, wie z.B. das Galaxy S2, durch einen QR-Code in den Werkszustand zurückversetzt werden können. Der QR-Code enthält einen Link, der durch die Scannerapp automatisiert im Standardbrowser geöffnet wird und eine HTML-Zeile mit einer tel:-URL enthält. Diese wird ohne Nachfrage an die Wahlapp (Call-Screen) weitergeleitet und ausgeführt und somit der Werksreset gestartet.
Andere Scannerapps als das im Video gezeigte ScanLife (wie z.B. QR-Droid) zeigen die URL zur manipulierten HTML-Seite an, doch starten den Browser nicht selbständig. Das Sicherheitsloch liegt aber definitiv in der Call-Sreen App, welche solche Codes ohne Benutzerinteraktion ausführt.
Durch weitere Tests, u.A. durch heise-security, wurde die Schwachstelle auch bei anderen Smartphones auf Androidbasis bestätigt, wenn bisher auch nur von Samsung ein Code zum Resetten bekannt/existent ist. Zum Beispiel lässt sich bei vielen Modellen durch einen iFrame mit der URL "tel:*%2306%23 " die IMEI auslesen (Code für die Wahltasten: *#06#). Dieser Code wird vom Android Standardbrowser, als auch von der Standard Emailapp (HTML-Mails), automatisch an die Wählapp weitergeleitet und in vielen Android Versionen automatisch ausgeführt. Weitere mobile Browser wie Firefox, SkyFire und Chrome öffnen den tel:-Link ebenfalls automatisch, Opera Mini blockiert den iFrame, doch lässt sich die URL auch über Javascript ausführen.
Kritisch ist diese Sicherheitslücke dahingehend, dass Codes existieren, die die PIN-Abfrage aufrufen (oder die PIN-Änderung). Wie jeder weiß, wird bei dreimaliger Falscheingabe zur Einabe der PUK aufgefordert, und auch dafür sollen Codes existieren. Damit wäre es einem Angreifer möglich, die SIM-Karte unbrauchbar zu machen.
Bisher hilft nur, einen USSD Blocker zu installieren, wie "TelStop", "NoTelURL" oder "USSDFilter" oder, wo möglich, ein Update auf Jelly Bean 4.1.
Empfänglich sind allem Anschein nach auch Custom-ROMs wie Cyanogen-Mod, welche auf ICS 4.0.x basieren. Andere wiederum sind dagegen gefeit.
Aus eigener Erfahrung: SonyEricsson Xperia Neo mit Krabappel2548's ROM v.21 (KA21) und ICS-Call-Screen ist soweit sicher, die Wahlapp wird mit Code gestartet, allerdings muss man noch selbst den grünen Button zur Ausführung drücken.
Definitiv öffnen der Android Browser als auch die Email App ungefragt eine tel:-URL. Google Mail App ist in der Hinsicht sicher (zumindest HTML-Mail mit iFrame).
PS: Die "news" habe ich heute Mittag bereits an einen Redakteur geschickt, aber bisher ist noch nichts auf der Hauptseite erschienen
Zuletzt bearbeitet:
