Bereits vor sieben Monaten fanden die Experten des  Berliner IT-Sicherheitsunternehmen Curesec eine schwere Sicherheitslücke im Android-Betriebssystem. Sie besteht bei den meisten Android-Versionen nach wie vor und ermöglicht sogar ungewollte Anrufe bei Premium-Diensten.
Nur in der Version 4.4.4 ist sie behoben, zumindest ließ dies Google vor ein paar Tagen verlauten. Auf den meisten Handys laufen aber niedrigere Versionen von Android und die sind allesamt betroffen.
Und was kann die Sicherheitslücke bewirken? Laut Curesec können dadurch Apps ungefragt kostenpflichtige Premium-Dienste anrufen oder etwa laufende Gespräche beenden. Die Lücke umgeht das Android-Sicherheitsmodell, in dem Apps ohne die Berechtigung, Anrufe zu tätigen (CALL_PHONE), keine Anrufe auslösen können.
Der Bug kann auch genutzt werden, um USSD (Unstructured Supplementary Service Data), SS (Supplementary Service) oder vom Hersteller definierte MMI (Man Machine Interface)-Codes auszuführen. Diese speziellen Codes werden über die Zifferntasten eingegeben und von den beiden Zeichen * und # eingeschlossen. Sie variieren je nach Gerät und Mobilfunkanbieter und erlauben den Zugriff auf bestimmte Gerätefunktionen oder Dienste der Mobilfunkanbieter. Unter diesen Codes gibt es auch einige sehr sensible, etwa das Sperren der SIM-Karte.
Betroffenheitsüberprüfung
Die Sicherheitsexperten von Curesec haben eine Anwendung entwickelt, mit deren Hilfe du überprüfen kannst, ob dein Handy von dieser Sicherheitslücke betroffen ist oder nicht. Zu finden ist sie allerdings nicht im Play Store, sondern auf der Webseite von Curesec.
Und so installierst du sie:
- Lade die Anwendung hier herunter: http://www.curesec.com/data/CRT-Kolme.apk
- Erlaube in den Android-Einstellungen (Sicherheit / Unbekannte herkunft) die Installation fremder Apk-Dateien.
- Führe die apk-Datei aus.
- Starte die Anwendung und wähle das entsprechende SDK aus.
Sollte dein Handy betroffen sein, wird ein Anruf an die Nummer 31337 getätigt.
Quelle: Curesec via Computerworld