Mit einem solchen USSD-Befehl (den wir an dieser Stelle natürlich nicht veröffentlichen) kann man auch die Pin-Eingabe des Smartphones ansteuern. Angreifer können so eine falsche PIN zur Abfrage an das Gerät schicken. Nach der (meist) dritten falsch geschickten PIN-Nummer wird die SIM-Karte gesperrt. Wenn der Angreifer über die Fake-Webseite zudem auch (10 Mal) falsche Super-PINs bzw. PUKs an das Gerät schickt, wird die SIM unwiderruflich gesperrt. Damit benötigt der Nutzer eine neue SIM-Karte, die bei den Mobilfunkprovidern meist einen bestimmten Unkostenbeitrag erfordert.

ussd lückeHeise Security erstellte eine solche Webseite zum Test. Mit dieser konnten sie sowohl die SIM-Karte des HTC One XL als auch des Motorola RAZR XT910 sperren. Von dem Angriff bekommt der Nutzer natürlich so lange nichts mit, bis sein Handy automatisch gesperrt wird.

Achtung! Auch QR-Codes können Euch auf solche attackierende Webseiten schicken. Angreifer können sogar per HTML-Mail und WAP-Push-Nachricht die SIM-Karten zerstören. Natürlich können auch weitere Arten von Steuercodes aufgerufen werden, z.B. um das Gerät auf Werkseinstellungen zurückzusetzen.

Die Lücke scheint bislang einzig Android-Smartphones zu betreffen. iPhones scheinen die Steuercodes nicht an das System weiterzureichen. Heise richtete einen USSD-Check ein, mit dem man gefahrlos überprüfen kann, ob sein eigenes Gerät auch von der Lücke betroffen ist.

USSD NoTelURLAlle Android-Nutzer sollten unbedingt die kostenlose App NoTelURL von Jörg Voss installieren. Mit ihr können die USSD-Steuerbefehle nicht mehr ohne Bestätigung durch den Nutzer ausgeführt werden. Die App nutzt ein einfaches Prinzip: Sie fängt alle URLs ab, die mit der Schema-Bezeichnung “TEL:” beginnen (Links zu Telefonnummern). Damit nutzt sowohl die Telefon-App als auch die NoTelURL-App diesen Linktyp. Das Gerät fragt den Nutzer also, mit welchem Programm der Link (die Telefonnummer) geöffnet werden soll. Wählt man dort nun die App NoTelURL aus, so wird der Vorgang abgebrochen, also die Telefonnummer (möglicherweise der USSD-Steuercode) nicht gewählt.

Sollte sich dieser Dialog plötzlich auf einer Webseite öffnen, steckt wohl ein Angreifer dahinter. (Quelle: Heise)

Wir berichten täglich über alle Neuigkeiten zu Smartphones & Tablets. Immer up2date bleibst du ganz einfach:

Klicke den "Gefällt mir"-Button unserer Facebook-Fanseite, cycle unsere Google+ Page oder folge uns einfach auf Twitter