Okt 01

Am vergangenen Wochenende wurde eine Sicherheitslücke bekannt, die fast alle Android-Smartphones betrifft und die sehr unangenehme Folgen haben kann. Und zwar ist es, wie heise-online berichtet, eine Steuercode-Schwachstelle. Diese ermöglicht es, GSM-Steuercodes nicht nur über die Tastatur, sondern auch entsprechende Links in Webseiten oder Mails auszuführen. Neben den bekannten und harmlosen Steuercodes wie z.B. *#06# (gibt die IMEI-Nummer des Gerätes aus) gibt es Codes, mit denen man die SIM-Karten sperren kann oder bei einigen Herstellern auch Codes, die ohne weitere Rückfrage das Gerät auf Werkseinstellung zurücksetzen und alle dabei Benutzerdaten unwiederbringlich löschen.

Das Problem betrifft fast alle Android-Geräte mit Versionen vor Android 4.1 Jelly Bean. Es ist ein Fehler im Wählprogramm, das nur sehr wenige Hersteller modifiziert oder durch ein eigenes ersetzt haben. Google hat diesen Fehler in der aktuellen Android-Version behoben – bei der bisheringen Update-Politik dermeisten Hersteller wird es aber vermutlich keine Updates für ältere Smartphones geben.

Zusammen mit anderen bekannten Sicherheitslücken in älteren Android-Versionen wäre ein Erpresser-Trojaner vorstellbar, der bei Nichtzahlung innerhalb von X Stunden damit droht, die Karte endgültig unbrauchbar zu machen oder das Telefon zu resetten.  Einen evtl. fälligen Kartenwechsel lassen sich die Netzbetreiber meist mit Beträgen zwischen 15 und 30 Euro bezahlen, eine Datensicherung von einem bereits infizierten Telefon ist fast unmöglich, da man das Telefon ja nicht mit Rettungs-CD oder ähnlichem starten kann.

Es wird nur eine Frage der Zeit sein, bis die ersten Kriminellen das „ErfolgsmodellUkash-Trojaner in die Mobilwelt portieren werden. Die Updatepolitik von Google und den Telefonherstellern macht es Ihnen viel zu einfach. Einen Windows-PC kann man mit geringem Aufwand aktuell halten. Microsoft und andere Softwarehersteller bringen bei gefundenen Sicherheitslücken inzwischen innerhalb weniger Stunden passende Updates heraus. Dennoch ist durchschnittliche jeder Zehnte PC aufgrund von nicht aktueller Software verwundbar – da hilft auch kein aktueller Virenschutz. In Spitzenzeiten kurz nach Bekanntwerden einer Sicherheitslücke) ist der Prozentsatz infizierbarer Rechner sehr viel höher! Kriminelle nutzen solche Lücken innerhalb weniger Stunden aus. Bei den Smartphones wurden bislang Sicherheitlücken erst nach Monaten oder oft auch gar nicht beseitigt, weil der Hersteller die neuere Software nicht mehr für ältere Geräte bereitstellt. Also viel Zeit für die Internet-Unterwelt.

Gegen den Fehler im Android-Dialer gibt es inzwischen einige Apps, die das ungefragte Ausführen von „tel:“-Urls verhindern.  Aktuelle sind die kostenlosen Apps „Telstop„, „NoTelUrl“ und „USSD Filter„. Besitzer von iphones sollten nicht zu laut vor Schadenfreude jubeln, denn auch IOS hat in allen Versionen Probleme mit manipulierten Tel:-Urls. Bei zu großen Urls stürzt es durch einen Überlauf einfach ab.

 

Es gilt für alle Beteiligten zu lernen, dass moderne Smartphones mindestens genauso verwundbar für Angriffe krimineller Banden sind wie gewöhnliche Computer. Vorbei die Zeiten, das arbeitslose Heranwachsende aus Langeweile Würmer auf die Menschheit losließen. Heute sind es straff orgarnisierte Banden, die mit geklauten EC- und Kreditkartendaten, SPAM-Netzwerken, Erpressungstrojanern und anderem hunderte Millionen Euro erbeuten. Und denen wird es oftmals erschreckend einfach gemacht. Es wird Zeit, das sich was ändert und ein Umdenken stattfindet.

geschrieben von Holger \\ tags: , , , , ,

Hinterlasse ein Kommentar