Gefahrenquelle USSD-Code: So schließen Sie diese Sicherheitslücke bei Ihrem Android-Handy

Nicht nur betrügerische Apps versuchen an Ihre Daten zu kommen; auch die allseits geschätzten USSD-Codes sind wie ein offenes Scheunentor für Angeifer aus dem Netz. So lässt sich die Gerätenummer (Code *#06#) oder das Restguthaben (Code *100#) beispielsweise mit USSD-Codes anzeigen. Auch die Sperrung von SIM-Karten oder die Wiederherstellung der Werkseinstellungen und die damit verbundene Löschung aller Datenbestände können damit vollzogen werden. Wer diese Gefahr jedoch kennt, der kann das „Scheunentor“ schnell schließen.

Die eigentliche Gefahrenquelle

Die Gefahr die von den USSD-Codes ausgeht, sind eigentlich nicht die Codes selbst. Vielmehr ist es das Android-Handy, von dem die Gefahr ausgeht. Die Codes lassen sich nämlich nicht nur manuell über die Tastatur eingeben, viele Handys lassen auch die Übergabe der USSD-Codes per URLs zu, die mit „tel:“ beginnen.

Diese Tel-URL´s sind in Webseiten oder in QR-Codes eingebettet und bauen eine Rufverbindung auf. Besonders gerne wird die Funktion der QR-Codes von Online-Telefonbüchern genutzt. Diese automatische Übergabe gilt es zu verhindern.

Ist mein Telefon gefährdet?

Die gute Nachricht ist, dass nicht alle Hersteller von Android-Handys die automatische Übergabe erlauben. Das Computermagazin „COM“ schafft hier Klarheit. Mit der Webseite www.com-magazin.de/ussd-check können Sie testen ob Ihr Smartphone zu den gefährdeten Geräten gehört.

Rufen Sie mit Ihrem Smartphone diese Webseite auf. Wird im Anschluss folgende Webseite mit Text angezeigt…

bild-2-joerg-voss-app-no-tel-url-automatisch-sicher-übergabe-ussd-verhindern-rufaufbau

…findet keine automatische Übergabe an das Wählprogramm statt.

Wird allerdings die Gerätenummer (IMEI) angezeigt…

bild-1-app-android-ussd-code-gefahr-angriff-hacker-imei-guthaben-werkseinstellung-daten-persönlich-sensibel

…gehört Ihr Handy zu den gefährdeten Geräten.

 „No Tel URL“ schützt

In diesem Fall können Sie Ihr Smartphone mit der App „No TelURL“ des Entwicklers Jörg Voss schützen. Die App ist kostenlos im Google Play-Store erhältlich. Klicken Sie hier, um direkt zum Angebot weitergeleitet zu werden und laden Sie die App herunter.

„No Tel URL“ schützt Ihr Handy automatisch; ein separater Programm-Start ist nicht nötig. Versuchen Sie es trotzdem, erhalten Sie lediglich folgende Meldung:

bild-3-meldund-jörg-voss-entwickler-no-tel-url-verhindern-automatisch-meldung-geschützt-download-kostenlos-android-play-store

Wird von der App eine „infizierte“ Telefonnummer erkannt, reagiert das Programm mit folgender Bildschirmmeldung:

bild-4-url-no-tel-automatisch-verbindung-verhindern-url-telefon-android-sicherheitslücke-ussd-abfangen

Tippen Sie auf „No Tel: URL“ wird die Verbindung verhindert, mit „Telefon“ werden Sie automatisch mit dem Teilnehmer verbunden.

Hinweis:

Das Verbinden mit dem Teilnehmer per Taste „Telefon“ funktioniert erst ab Android 4.o (Ice Cream Sandwich). Die Nutzer von älteren Android-Versionen müssen den manuellen Weg über das Wählprogramm nehmen. Einen Einfluss auf den Schutz des Telefons hat das jedoch nicht. Der Grund liegt einfach nur in der fehlenden Schnittstelle zum Wählprogramm, die erst ab Android 4.0 (ICS) enthalten ist.