Sicherheit

USSD-Gefahr: Killer-SMS löscht alle Daten auf Ihrem Android-Smartphone

Eine SMS trifft ein, der Bildschirm Ihres Android-Smartphones wird schwarz und Ihr Smartphone startet neu. Ein nur wenige Zeichen langer USSD-Servicecode hat gerade alle Ihre Daten auf dem Android-Smartphone gelöscht. Das kann auch beim Anklicken eines Links, dem Aufruf einer Webseite oder Scannen eines QR-Codes passieren. Lesen Sie hier, wie Sie sich schützen und diese Sicherheitslücke schließen.

Welche Android-Smartphones und -Tablets von der Sicherheitslücke betroffen sind

Die USSD-Sicherheitslücke wurde zuerst auf einem Samsung-Smartphone demonstriert und der TouchWiz-Oberfläche von Samsung zugeschrieben. Es sollten daher nur bestimmte Samsung-Smartphones betroffen sein. Doch dann wurde die Sicherheitslücke auch bei Smartphones von HTC und Motorola festgestellt.

Hinweis: Bei USSD oder Unstructered Supplementary Service Data handelt es sich um einen Übermittlungsdienst für GSM-Netze, wobei die Dienste auf einem Mobiltelefon über einen Code abgerufen werden. Sie bekommen beispielsweise durch die Eingabe von *#06# statt einer Telefonnummer auf dem Display Ihres Smartphones dessen IMEI angezeigt, das ist die 15-stellige Seriennummer Ihres Mobiltelefons.

USSD-Sicherheitslücke

Nach aktuellem Wissensstand ist die USSD-Sicherheitslücke in Android bis zur Version 4.0 vorhanden. Potenziell gefährdet sind also alle Smartphones und Tablets mit diesen Android-Versionen, sofern sie eine SIM-Karte enthalten bzw. ein 3G/UMTS-Zugang zum Internet möglich ist:

  • Version 1.1 vom 10. Februar 2009
  • Version 1.5 vom 30. April 2009, Bezeichnung Cupcake
  • Version 1.6 vom 15. September 2009, Bezeichnung Donut
  • Version 2.0 und 2.1 vom 26. Oktober 2009 und 12. Januar 2010, Bezeichnung Eclair
  • Version 2.2 vom 20. Mai 2010, Bezeichnung Froyo
  • Version 2.3 vom 6. Dezember 2010, Bezeichnung Gingerbread
  • Version 3.0, 3.1 und 3.2 vom 23. Februar 2011, 10. Mai 2011 und 16. Juli 2011, Bezeichnung Honeycomb
  • Version 4.0 vom 19. Oktober 2011, Bezeichnung Ice Cream Sandwich

Mit Version 4.1.1 vom Juli 2012 hat Google das Wählprogramm von Android (Dialer) geändert, so dass es USSD-Codes nicht mehr automatisch ausführt. Diese als Jelly Bean bezeichnete sichere Android-Version läuft jedoch nur auf schätzungsweise jedem hundertsten Android-Gerät, also sind rund 99 Prozent aller Android-Smartphones und nahezu alle Tablets mit 3G/UMTS-Zugang durch USSD-Schadcode gefährdet.

Wie der gefährliche USSD-Code auf Ihr Android-Smartphone oder -Tablet gelangen kann

Die erste Demonstration der Sicherheitslücke erfolgte mit Hilfe einer SMS, doch ein gefährlicher USSD-Code kann auch noch auf anderen Wegen auf Ihr Android-Smartphone oder -Tablet gelangen:

  • Sie klicken auf einen Link oder rufen eine Webseite auf und der USSD-Code wird direkt auf Ihrem Android-Smartphone oder -Tablet ausgeführt.
  • Sie klicken eine Telefonnummer auf einer Webseite an und statt dem Wählen der Nummer wir der gefährliche USSD-Code ausgeführt.
  • Sie scannen einen QR-Code ein und dieser führt zu einer gefährlichen Webseite mit dem USSD-Code oder der USSD-Code wird direkt ausgeführt.
  • Sie erhalten einen USSD-Code per WAP-Push.
  • Der USSD-Code wird per NFC (Near Field Communication) übertragen, sofern Ihr Smartphone diese Funktion unterstützt.
  • Sie öffnen eine E-Mail im HTML-Format und dabei wird der USSD-Code ausgeführt oder über einen Link in der E-Mail.

So testen Sie, ob Ihr Smartphone oder Tablet mit Android-Betriebssystem betroffen ist

Der Heise-Verlag hat eine Testseite für die USSD-Sicherheitslücke eingerichtet. Scannen Sie den QR-Code auf dieser Seite, kann folgendes passieren:

  • Ihr Android-Smartphone  oder -Tablet reagiert nicht, dann besteht keine USSD-Gefahr.
  • Das Telefonwahlprogramm (Dialer) wird aufgerufen, fragt Sie jedoch, ob der angezeigte USSD-Code (die "Telefonnummer") ausgeführt werden soll. Solange Sie eine solche Anfrage nicht bei einem Schadcode bestätigen, besteht keine Gefahr.
  • Der USSD-Code wird ausgeführt und die Seriennummer Ihres Smartphone oder Tablet angezeigt. In diesem Fall ist Ihr Gerät gefährdet und Sie sollten die Sicherheitslücke umgehend schließen.

Sie brauchen keine Angst vor diesem Test zu haben, denn der eingebettete USSD-Code ist harmlos. Laut Angabe von Heise ist in einem Frame der Webseite "tel:*%2306%23" eingebettet, das entspricht dem USSD-Code *#06# in HTML, denn hier ist %23 gleich der Raute (#).

Hinweis: Sie brauchen keine Angst vor der USSD-Gefahr zu haben, wenn Sie ein Apple iPhone oder iPad besitzen, denn Geräte mit iOS sind von dieser Sicherheitslücke nicht betroffen. Hier sollten Sie aus Sicherheitsgründen jedoch iOS 6 installiert haben (siehe Artikel zu Sicherheitslücken in iOS). Auch bei Smartphones mit WindowsPhone besteht die Gefahr nicht und wahrscheinlich ebenfalls nicht beim neuen Windows RT, der ARM-Version von Windows 8.

Wie Sie sich vor der USSD-Gefahr schützen und die Sicherheitslücke schließen

Derzeit kann lediglich ein Update auf das aktuelle Android 4.1.1 Jelly Bean oder eine spätere Version die USSD-Sicherheitslücke schließen. Es ist zu erwarten, dass die Smartphone- und Tablet-Hersteller ihre Android-Versionen zumindest für die aktuellen Geräte aus diesem Jahr patchen und dafür Updates bereitstellen.

Fragen Sie beim Support Ihres Smartphone- oder Tablet-Herstellers nach oder bei Ihrem Mobilfunkanbieter, wenn Sie Ihr Android-Gerät zusammen mit einem Mobilfunkvertrag erworben haben.

Tragen Sie Ihre Erfahrungen mit dem Hersteller Ihres Smartphones oder Tablets bzw. Ihrem Mobilfunkprovider bitte unter diesem Artikel als Kommentar ein, das kann anderen Android-Nutzern helfen und wir erhalten hier so einen Überblick, was an Patches angeboten wird – und welche Hersteller oder Mobilfunkprovider sich um die Sicherheitslücke kümmern und welche nicht!

Die drei Musketiere gegen die USSD-Gefahr: NoTelURL, TelStop und

Bis das aktuelle Android oder ein USSD-Sicherheitsupdate für Ihr Smartphone oder Tablet verfügbar ist, können Sie sich mit einer App schützen, die ein Ausführen des gefährlichen USSD-Codes verhindert. Die haben die Auswahl zwischen diesen drei USSD-Schutzprogrammen:

  • NoTelURL fängt USSD-Codes ab und zeigt diese in einem Pop-up-Fenster an. Weitere Informationen zu NoTelURL finden Sie auf der Webseite des Programmautors.
  • TelStop zeigt eine Warnung an, wenn über das Telefonwählprogramm ein USSD-Code ausgeführt werden soll.  Auf der Google-play-Webseite finden Sie auch das Video mit der Demonstration der USSD-Sicherheitslücke per SMS in englischer Sprache.
  • G Data USSD Filter klinkt sich in die Registrierung für Internetadressen ein und prüft, ob Adressen mit "tel:" ausgeführt werden sollen, die den USSD-Schadcode übertragen können. Dann werden die betreffenden URLs auf USSD-Code überprüft. Der Filter muss beim ersten Starten der App manuell gestartet werden, das sollten Sie nicht vergessen! 

Webseiten mit interessanten Informationen zur USSD-Sicherheitslücke und USSD-Codes

PS: Qualitätsmanagement ist uns wichtig!

Bitte teilen Sie uns mit, wie Ihnen unser Beitrag gefällt. Klicken Sie hierzu auf die unten abgebildeten Sternchen (5 Sternchen = sehr gut):

Dieser Artikel wurde noch nicht bewertet!
Please wait...

Über Ihren Experten

Michael-Alexander Beisecker