Samsung WAP-Push Sicherheitslücke: Galaxy S3 und S2 lassen sich aus der Ferne komplett löschen – ein Webseitenaufruf genügt

Böser Patzer bei den Samsung-Smartphones Galaxy S2 und Galaxy S3: Über eine manipulierte Webseite oder einen Pushbefehl lässt sich ganz einfach das komplette Telefon löschen. Der Aufruf einer einzigen manipulierten Webseite genügt. Alle Daten und persönlichen Einstellungen sind dann futsch. Betroffen sind alle Samsung Galaxy S2 und S3 vor Android 4.1.

USSD-Code reicht

Der Schwarze Peter liegt nicht bei Google und seinem Android-Betriebssystem, sondern bei Samsung. Denn der Fehler hat sich durch Samsungs Anpassung des Original-Android eingeschlichen. Entdeckt hat den Fehler der Entwickler Ravi Brogaonkar.

Darum geht’s: Wenn Sie auf dem Samsung-Handy die Zeichenfolge

*2767*3855#

eingeben, starten Sie den Befehl zur Komplett-Löschung des Telefons. Wird der Befehl über die Tastatur eingegeben, erscheint zuvor eine Sicherheitsabfrage. Peinlich: Wird der Befehl jedoch per iFrame oder tel-Link in der Form „tel://“ im Browser ausgeführt, erfolgt das Löschen ohne Nachfrage. Die Daten sind sofort und ohne weitere Interaktion verschwunden.

So einfach geht’s: Enthält eine Webseite, ein QR- oder NFC-Code oder eine WAP-Push-SMS einen Code im Format

<frame src=“tel:*2767*3855#“ name=“Alles löschen“ />

startet der Browser automatisch die Android-Telefonapp und übergibt den Löschbefehl – ohne dass Sie klicken oder sonstwas tun müssen.

Es reicht also, mit dem Android-Browser eine manipulierte Webseite aufzurufen, die einen solchen iFrame oder „tel“-Link enthält – und schon sind Sie ohne Nachfrage alle Daten und Einstellungen los. Ein solcher Löschlink könnte auch in einem QR-Code stecken oder per NFC bzw. WAP-Push-SMS empfangen werden. Eine Sicherheitsabfrage erfolgt nicht. Und das Wiederherstellen der gelöschten Daten ist ebenfalls nicht möglich.

Wie das Ganze live auf einem Samsung Galaxy S2 oder S3 funktioniert und aussieht, zeigt Ravi Borgaonkar eindrucksvoll in folgender Präsentation:

Gegenmaßnahmen: WAP-Push deaktivieren

Wie kann man sich davor schützen? Am besten schalten Sie die in den Einstellungen der Nachrichten-App die WAP-Push-Funktion aus, damit Ihnen niemand per Push einen solchen Löschbefehl schicken kann. Um WAP-Push zu deaktivieren, öffnen Sie die Nachrichten-App, drücken die Menütaste, scrollen nach unten und aktivieren die Option „WAP Push ausschalten“.

Zudem sollten Sie einen alternativen Dialer und einen anderen Browser wie Chrome oder Opera verwenden. Oder Sie aktualisieren das Galaxy-Handy auf eine Android-Version 4.1 oder höher.

2 Comments

  1. DoodleJump 26. September 2012
  2. mike 25. September 2012

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.