NoTelURL für Android: Das Smartphone vor USSD-Code-Attacken schützen

Die Android-App NoTelURL schützt Besitzer eines Android-Smartphones vor einer erst kürzlich bekannt gewordenen Sicherheitslücke. Ein Sicherheitsforscher der Technischen Universität Berlin hatte entdeckt, dass es über eine präparierte Webseite möglich ist, sogenannte USSD-Codes auf einer Reihe an Smartphones ohne Rückfrage des Nutzers auszuführen und erheblichen Schaden auf den betroffenen Geräten zu verursachen.

USSD-Codes sind Steuercodes der Mobilfunkbetreiber und stellen an sich erst einmal keine Gefahr dar. Normalerweise ist für das Ausführen der Zeichen- und Zahlenfolgen eine manuelle Eingabe des Nutzers erforderlich. Gibt der Smartphone-Besitzer beispielsweise die Zeichen *#06# über die Wähltasten des Handys ein und bestätigt mit der Anrufen-Taste, zeigt ein kleines Fenster die IMEI des Smartphones an. Weitere Kombinationen können das Guthaben oder die eigene Telefonnummer abfragen, eine Rufumleitung aktivieren oder auch das Gerät auf Werkszustand zurücksetzen.

Durch die Einbettung eines USSD-Codes über eine Tel-URL in eine Webseite können diese Codes jedoch auf einigen Android-Geräten im Hintergrund automatisch ausgeführt werden. Tel-URLs verwenden beispielsweise Firmen auf ihren Webseiten, um dem Nutzer das Anrufen der Service-Hotline zu erleichtern. Anstatt die Telefonnummer per Hand einzugeben, tippt er einfach im Browser auf einen Link und die Telefonnummer wird an das Smartphone weitergereicht. Im Prinzip eine praktische Sache. Diese Technik lässt sich allerdings auch für das Ausführen der USSD-Codes ausnutzen. Ein Besuch einer präparierten Webseite reicht dafür schon aus. Auch QR-Codes, NFC-Tags oder WAP-Push-Nachrichten ließen sich dafür missbrauchen.

Ob das eigene Smartphone von der Sicherheitslücke betroffen ist, lässt sich auf folgender Webseite herausfinden. Wird sie im Browser des Smartphones aufgerufen und es öffnet sich ein Fenster, dass den IMEI-Code des Telefons anzeigt, ist das Smartphone gefährdet. In allen anderen Fällen ist das Ausführen von USSD-Codes auf dem Gerät nicht ohne weiteres möglich.

Bis offizielle Updates der Hersteller Verfügbar sind, die diese Sicherheitslücke beheben, schütz die Android-App NoTelURL vor einer möglichen Attacke durch einen USSD-Code. Sie fängt eingeschleuste Tel-URLs, die USSD-Codes auslösen können, einfach ab und informiert den Nutzer über den möglichen Angriff. Fälschlich abgefangene Telefonnummern können Nutzer ab Android in der Betriebssystemversion 3.0 und aufwärts dann auf Wunsch wie gehabt direkt wählen.

Die App NoTelURL steht kostenlos in Googles Play Store zum Download bereit und läuft auf allen Smartphones mit Android in der Betriebssystemversion 2.0.1 und höher.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu NoTelURL für Android: Das Smartphone vor USSD-Code-Attacken schützen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *