Sicherheits-Check & Apps gegen USSD-Angriffe

Über USSD-Codes (Unstructured Supplementary Service Data) lassen sich bestimmte Funktionen des Smartphones oder Handys steuern. Die Codes kommen etwa bei der Abfrage von Konto-Informationen beim Netzanbieter aber auch für gerätespezifische Zwecke zum Einsatz. Ein typischer USSD-Code hat die Form „*1002#“. Die meisten Smartphones erlauben die USSD-Übergabe nicht nur per Tastatur sondern auch über eine URL, die mit „tel:“ beginnt. Und hier liegt die Gefahr.

Wenn sich das Smartphone über einen USSD-Befehl auf den Werkszustand zurücksetzen lässt, können Angreifer alle Daten auf dem Gerät löschen. Weitere Informationen dazu finden Sie im Artikel Angreifer löschen Smartphones aus der Ferne. Es ist sogar möglich, mehrfach eine falsche PIN und PUK an das Smartphone zu senden und damit die SIM-Karte dauerhaft zu sperren.

Ob Ihr Android-Smartphone oder Tablet angreifbar ist, können Sie über die Website von G Data unter der URL www.gdata.de/fileadmin/LP/SecurityLab/USSD-check.html ausprobieren. Oder Sie scannen den QR-Code auf dieser Seite ein. Dafür verwenden Sie beispielsweise eine kostenlose App wie QR Droid.

Nach dem Aufruf der Seite tippen Sie auf „Jetzt testen!“, Auf einem anfälligen Android-Gerät öffnet sich dann das Wählprogramm. Danach sehen sie die eindeutige IMEI (International Mobile Equipment Identity) des Geräts. Wenn das Smartphone sicher ist, erscheint nur die Webseite. Der Test ist völlig ungefährlich. Dabei wird nur die Anzeige der IMEI über den Code

<iframe src="tel:*%2306%23" name="IMEI-Check" style="height: 1px; width: 1px; border: none;"></iframe> 

angestoßen.

Für das Samsung Galaxy S III liefert Samsung inzwischen ein Update aus, mit dem sich die Sicherheitslücke beseitigen lässt. Ob und wann Updates für andere betroffenen Android-Smartphones herausgegeben werden, ist bisher nicht bekannt.

Außerdem hat der Entwickler Jörg Voss eine App namens NoTelURL entwickelt, die das unerlaubte Ausführen von USSD-Kommandos verhindert. Ruft ein Nutzer eine Tel-URL auf, öffnet sich ein Dialog. Hier kann der Nutzer bestimmen, womit sie geöffnet wird. Die App steht im Play Store kostenlos zum Herunterladen bereit.

Eine weitere Schutz-App gibt es von G Data. Die App G Data USSD Filter müssen Sie nach der Installation einmal starten und dann die angegebene URL aufrufen. Im Dialog „Aktion durchführen mit“ setzen Sie ein Häkchen vor „Immer für diese Aktion verwenden“ und tippen dann auf „G Data USSD Filter“.

Beim Aufruf einer Tel-URL zeigt die App eine Seite, über die sich die URL bei Bedarf in die Zwischenablage kopieren und dann in die Telefon-App einfügen lässt.