Artikel empfehlen

Samsung Galaxy-Sicherheitslücke: Vorsichtige Entwarnung und erste Gegenmaßnahmen


26.09.2012, 10:57 Uhr

S3-USSD-Code

Gestern erschütterte die Meldung über die katastrophale Sicherheitslücke in Samsungs Galaxy-Geräten, über die betroffene Gerät per Dialer-Code ohne Möglichkeit zum Abbruch gewipet werden können. Viel Aufruhr und Unsicherheit bei Samsung-Nutzern und Häme seitens anderer Smartphone-Fraktionen waren die Folge. Heute nun stellt sich das „Wipegate“ als eventuell gar nicht so schwerwiegend heraus: Zum einen erreichen uns Berichte, nach denen der Exploit bei den meisten Geräten bereits gefixt gewesen sei, zum anderen gibt es erste Apps, die eventuell betroffene Geräte sicher machen.

Das Samsung Galaxy S3, das S2 und viele weitere Smartphones des koreanischen Herstellers, die mit dem hauseigenen TouchWiz UI versehen sind, einfach via URL oder QR-Code komplett wipen respektive zurücksetzen und dabei möglicherweise sogar noch die SIM-Karte unbrauchbar machen – ein Schreckensszenario, das gestern Wirklichkeit wurde: Auf der Ekoparty Security Conference wurde demonstriert, dass der dafür notwendige Dialer-Code *2767*3855#, der soweit bekannt ist und über den sich Android-Geräte ganz allgemein, wipen lassen können, auf den betroffenen Samsung-Smartphones von außen automatisch und ohne Rückfrage ausgeführt werden kann. Wer also einen QR-Code scannt oder eine Short-URL anklickt, die diesen Code plus einen entsprechenden Ausführbefehl beinhaltet, riskiert quasi einen kompletten Datenverlust.

Das führte natürlich zu reichlich Aufregung und hämischen und nicht ganz ungefährlichen Postings, wie diesem (bitte nicht ausprobieren!):

Glücklicherweise stellt sich die Gefahrensituation für Besitzer von Galaxy-Smartphones heute schon etwas harmloser dar: Zum einen war ja schon gestern bekannt, dass Geräte, die bereits mit Android 4.1 Jelly Bean laufen, nicht betroffen sind – hier wird zwar der Dialer mit dem entsprechenden Code angezeigt, dieser aber nicht automatisch ausgeführt. Wie die Kollegen von (passenderweise) Android Police nun berichten, haben aber auch sehr viele andere Samsung-Geräte in der vergangenen Wochen bereits stillschweigend Updates erhalten, die das Problem ebenfalls fixen. In einem Video demonstrieren sie sogar, dass der Exploit auf einem ihrer Test-Galaxy S3 mit ICS nicht funktioniert:

Zwar gibt das nun keine hundertprozentige Sicherheit, weil nicht ganz klar ist, welche Geräte bereits geschützt sind und bei welchen die Sicherheitslücke noch vorhanden ist; dennoch heißt das, dass das Problem bei Samsung durchaus bekannt ist, und daran schon länger gearbeitet wird. Grundsätzlich sei an dieser Stelle auch noch einmal erwähnt, dass es sich dabei noch nicht einmal um ein reines Samsung-Phänomen handelt, sondern eines von Android selbst – unter Umständen könnte der Exploit also auch auf Geräten anderer Hersteller funktionieren.

[Update]: Zumindest zum Galaxy S3 hat sich Samsung inzwischen konkret geäußert: „We would like to assure our customers that the recent security issue concerning the Galaxy S III has already been resolved through a software update. We recommend all Galaxy S III customers download the latest software update, which can be done quickly and easily via the Over-The-Air (OTA) service.“ Also, Lücke bereits mit einem vorherigen Update gestopft, allen S3-Besitzern wird dringlichst empfohlen, ihr Gerät OTA auf den neuesten Stand zu bringen. Was mit den anderen Galaxy-Devices genau ist, darüber schweigt man sich zur Stunde leider noch aus … [/Update via engadget.com]

Wer auf Nummer sicher gehen möchte, kann sich inzwischen verschiedene Apps installieren, die die automatische Ausführung des Codes verhindern: Zum einen hat Entwickler J. Voss eine App gebastelt, die die sogenannten tel:URLs mit etwaigem Schadcode abfängt, und kostenlos in den Play Store gestellt. Alternativ kann auch einfach ein anderer Dialer, zum Beispiel Dialer One, installiert werden, der laut Erfahrungsberichten auf reddit den bösen Code ebenfalls nicht automatisch ausführt.

Grundsätzlich muss das Problem natürlich seitens der Hersteller aber auch von Google selbst angegangen und behoben werden – zu viele Nutzer von Android-Smartphones wissen oftmals nämlich nicht so genau, was sie da tun, was ein Dialer ist und was Full Wipe überhaupt bedeutet. Solche Lücken sollten also tunlichst gar nicht auftreten. Verhindern wird man sie aber bei einem so komplexen Produkt wie einem Smartphone respektive einem modernen mobilen-OS auch zukünftig kaum können. Da heißt es eben für den Nutzer: Ruhe bewahren, genau prüfen, was man klickt, scannt und öffnet und immer ein bisschen skeptisch sein.

Quellen: Android Police, SmartDroid, Reddit

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 4.50 von 5 - 12 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

  • http://gadget-time.de/2012/09/nachrichten/sicherheitslucke-bei-samsung-aufregung-spott-und-abhilfe.html Sicherheitslücke bei Samsung: Aufregung, Spott und Abhilfe | gadget-time.de

    [...] [Android Police, SmartDroid, Reddit via Android Next] [...]

  • http://www.androidnext.de/news/wipegate-ussd-sicherheitsluecke-nicht-samsung/ Wipegate: USSD-Sicherheitslücke nicht nur auf Samsung-Geräten

    [...] präparierte Webseite ohne Nutzer-Nachfrage auf Werkszustand zurückgesetzt werden können. Nach leichten Entwarnungen weitet sich das Problem nun wieder aus: Nicht nur Samsung-Devices sind betroffen, mit der Methode [...]

Verwandte Artikel