In den letzten Tagen geisterten Hiobsbotschaften für Samsung Smartphonebenutzer durch die Nachrichten: Durch sogennannte USSD Code, die z.B. in Webseiten aber auch in eMail und WAP Nachrichten enthalten sein können, können Außenstehende allerlei übles anrichten, ohne dass der Besitzer des Gerätes auch nur gefragt wird: Telefonspeicher komplett löschen, Anrufweiterleitungen einrichten (bei teuren 0900er Nummern nicht nur ein teurer Spaß für den Besitzer, sondern leider auch ein starkes Motiv für Kriminelle), SIM unbrauchbar machen (durch wiederholte Falscheingabe von PIN und PUK) – das kann alles sehr unangenehm sein.

Leider sind prinzipiell nicht nur Samsung Smartphones davon betroffen. Der Heise Verlag hat eine spezielle Testseite dazu veröffentlicht, anhand derer man das Gefahrlos prüfen kann: http://heise.de/ussd – Erscheint bei deren Aufruf ohne vorherige Nachfrage die IMEI des Telefons auf dem Bildschirm, ist das Gerät grundsätzlich in Gefahr. Ob tatsächlich auch die “bösen” USSD Codes funktionieren ist zwar damit nicht bewiesen, aber ich würde das weder selber ausprobieren wollen noch mich blind darauf verlassen.

Ich habe den Test mit meinem Huawei Ascend P1 durchgeführt und es ist tatsächlich angreifbar! Auch zwei ZTE Blades mit Cyanogenmod 7 bzw. 9 zeigten sofort die IMEI.

Was nun? Es gibt zum Glück Abhilfe. So hat z.B. Jörg Voss die Applikation “No Tel: URL” in den Play Store gestellt, die das Problem auf sehr einfache, aber effektive weise löst: Die App trägt meldet einfach im Android System an, dass sie URLs die mit “TEL:” beginnen entgegen nimmt. Da Android nun zwei Applikation die sich so angemeldet hat (das Telefonprogramm macht das standardmäßig), fragt Andoird brav nach, womit man die Aktion ausführen will. Viele von Euch dürften den Dialog daher kennen, dass Android nachfragt wie es mit bestimmten Dateitypen (z.B. PDF) umgehen soll, wenn sich dafür verschiedene Programme anbieten. Erscheint nun diese Abfrage, ohne dass man bewusst auf eine Telefonnummer getippt hat die man anrufen wollte, sollte man tunlichst “No Tel: URL” wählen, und nicht “Telefon”. Auf meinem Handy ist die App installiert und tut genau was sie soll. Leider zeigt sie nicht den Code an, der da gewählt werden sollte, so dass man nicht erkennen war, ob es tatsächlich ein böswilliger Angriff war (Sonderzeichen wie % deuten darauf hin), oder vielleicht doch eine harmlose Telefonnummer.

Die App findet ihr hier im Play Store: https://play.google.com/store/apps/details?id=com.voss.notelurl

Oder direkt den QR-Code mit dem Handy scannen:

Nachtrag: Es gibt noch zwei weitere Apps, die diese Funktion erfüllen:

• TelStop zeigt die Nummer bzw. den Code an und fragt, ob das gewählt werden soll oder nicht
• NoUSSD filtert gezielt USSD Codes heraus und fragt nur bei diesen nach, normale Telefonnummern werden durchgelassen.

NoTelURL und TelStop haben jeweils schon über 10000 Downloads innerhalb kürzester Zeit (max. 3 Tage) erhalten. Erfreulich ist, dass alle drei hier gelistetem App keinerlei Rechte anfordern – man kann also ausschließen, das von diesen eine Gefahr ausgeht.