USSD-Lücke: Auch HTC-Smartphones betroffen

  • Die USSD-Lücke kann mit Hilfe einer App gestopft werden.
    foto: derstandard.at

    Die USSD-Lücke kann mit Hilfe einer App gestopft werden.

Galaxy S3 mit aktuellster Firmware nicht betroffen, Update empfohlen

Die kürzlich bekannt gewordene Gerätecode-Lücke bei Samsung Galaxy-Smartphones zieht weitere Kreise. Wie auch User der WebStandard-Foren berichten, dürfte die direkte Übergabe von "tel:"-Handles an den Telefon-Dialer auch bei manchen HTC-Geräten funktionieren.

Code-Übergabe auch bei HTC-Phones

So sollen der Aufruf einer Testseite auch am HTC Desire und HTC Sensation zur Ausführung des USSD-Codes geführt haben. Damit wäre auch hier die Fernlöschung per präparierter Website möglich. Ersteres Gerät lief mit der Alternativ-Firmware CyanogenMod 7.2.0.1, zweiteres mit Android 4.0.3. Ebenso könnten Phones anderer Marken ebenso betroffen sein.

"NoTelURL" schützt vor Angriff

Eine kleine App schafft nun Abhilfe. Sie heißt "NoTelURL" und dient dazu, via "tel:" übergebene Anweisungen abzufangen. Nach dem Aufruf einer entsprechenden Seite kann der User wählen, ob das Kommando vom Dialer oder dem Programm ausgeführt wird. "NoTelURL" schickt den Befehl ins Nirvana, hält das Telefon schadlos und liefert einen Warnhinweis.

Eine vom Entwickler online gestellte Webseite dient zur Selbstüberprüfung. Wer ausprobieren möchte, ob sein Telefon betroffen ist, muss diese nur ausführen und bekommt im schlimmsten Falle die IMEI seines Geräts angezeigt.

Update für Galaxy S3

Für das Galaxy S3 hat Samsung bereits vor Längerem ein Softwareupdate veröffentlicht.Wer noch nicht über dieses verfügt, kann es problemlos Over-The-Air einspielen. (red, derStandard.at, 26.09.2012)

Share if you care
Posting 1 bis 25 von 56
1 2

Wer sich mit einem werbefinanzierten os ins bett legt wacht mit vieren und spyware wieder auf.

Android, die digitale kaffeefahrt.

Kann man echt soviel Falsches in einen Satz packen?

Werbefinanziertes OS: falsch
Virus: falsch
Spyware: falsch

was daran ist falsch?

Jedes einzelne Wort. Denk mal nach.

Zeig mir bitte, wo im OS Werbung vorkommt. Ich hab bis jetzt noch nicht eine einzige gesehen, dabei verwende ich gar keinen ad-blocker.

naja, die lustigen nicht-deinstallierbaren Apps bei Touchwiz

z.B.: HRS Hotels

TouchWiz ist von Samsung.. Das ist kein Bestandteil von Standard Android..

Touchwiz ist nicht Android.

Genauso wie MS Internet Explorer nicht der einzige
Browser ist.

Nur wenn beides vorinstalliert daherkommt. und ein gewisser aufwand darin steckt zu verhinder das man ihn deinstalliert...

Seit ICS sind diese "WerbeApps" einfach deaktivierbar und scheinen nicht mehr auf...
Sollte der Spaß im Launcher (Touchwiz, Sense, ...) verpackt sein, einfach einen anderen Launcher installieren (i.d.R. werbefrei).
Wobei ich mir sicher bin, dass z.B. diese HRS Hotels App einfach zu deaktivieren ist.

NoTelURL

hat heiße 720 downloads! o.O

Lesen ist halt schon schwer oder?
Das sind die Bewertungen..

INSTALLATIONEN:
10.000 - 50.000

mich wundert etwas, dass das so als kleines Randthema abgehandelt wird

Ich besitze selbst ein Android-Gerät und wenn es einen Bug gibt, wodurch bei bloßem Aufruf einer Seite ein Factory Reset durchgeführt werden kann, möchte ich schon darüber informiert werden, bzw. wissen ob ich davon betroffen bin und was ich dagegen tun kann.

Dass es dann in der Praxis - wie so oft bei auch so kritischen Lücken - immer noch relativ unwahrscheinlich ist, tatsächlich auf so eine Seite zu stoßen, schon allein weil es sich "nur" um Vandalismus handelt, mit dem sich kein Geld machen lässt, ist dabei ja völlig egal

Die Lücke ist jene: Es wird UNGEFRAGT eine eingebettete Nummer angerufen!

Nur gibt es eben "Nummern" die eigentlich geheime Codes sind ( *#0000#, *#06#, etc.) und wenn der Reset-Code gewählt wird, dann macht das Handy halt einen Reset..

Einfach die No-Tel App installieren und gut ist.

Ich weiß, mir ging es darum: es gibt eine kritische Lücke, es gibt auch einen einfachen Workaround und dennoch wird es hier nur so als Randnotiz erwähnt und selbst wenn Linus Torvalds auf Google+ über Mitt Romney schimpft scheint das wichtiger zu sein?

das Problem liegt darin

daß es eigentlich nicht eine Android-, sondern eine Touchwiz- oder Sense-Lücke ist und dafür in erster Linie die von den Handyherstellern gestellte Entwicklungsmannschaft geradestehen muß.

soweit ich es verstehe, gabs die Lücke auch im Vanilla Android, wo es allerdings mittlerweile gefixed ist (CM 7/9 waren zB auch betroffen). Das Problem bei den Handyherstellern ist damit also eher die übliche Update-Problematik

Opera Mobile schützt auch

bis zu einem gewissen Maß: Nur per auf den Link klicken tut sich gar nichts, man muss dann nochmal auf die tel-URL klicken, d.h. eine in der Seite versteckte tel-URL ist harmlos.

25 postings!!!! fünf-und-zwanzig!!! das gleiche problem bei apple und dieses forum würde den standard einreißen!!!

wo sind die androiden?

Das ist ja auch nicht der erste Beitrag, sondern der 2te zu dem gleichen Thema..

http://derstandard.at/134828396... martphones

Eine ganz neue Erfahrung..

... dass bei einem schwerwiegenden Fehler nicht alle Jubelperser des betroffenen Herstellers ausschwärmen und gegen jeden Dschihad führen, der stichelt oder kritisiert, nicht wahr?

Apple

hätte den Fehler ohne Klage gar nicht zugegeben, und danach jemanden wegen Patentbruch verklagt....

Bei Linuxsystemen wird über Fehler/Backdores und... offen gesprochen und an einer schnellen Lösung gearbeitet.

Deshalb braucht man es nicht breittreten....
Außerdem besitzen wir ja nicht DAS BESTE Smartphone der Welt......

Bei Apple würde es auch nicht so schnell ein Update geben - warten auf die neue iOS Version...

Wir haben kein Freebird, der im Schnitt 1/3 der Apple Postings ausmacht und alle anderen provoziert um Apple bzw Android noch mehr zu bashen.

HTC Wildfire S mit 2.3.5 zeigt auch die IMEI :(

ist schon ein älteres Teil, da läuft der Firefox nicht drauf ...

Wann ist Android endlich nicht mehr Beta?

Posting 1 bis 25 von 56
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.