Sicherheitslücke in Android ermöglicht Anrufe bei Premium-Diensten

9. Juli 2014 1 Kommentar(e)

Bereits vor sieben Monaten fanden die Experten des  Berliner IT-Sicherheitsunternehmen Curesec eine schwere Sicherheitslücke im Android-Betriebssystem. Sie besteht bei den meisten Android-Versionen nach wie vor und ermöglicht sogar ungewollte Anrufe bei Premium-Diensten.

Nur in der Version 4.4.4 ist sie behoben, zumindest ließ dies Google vor ein paar Tagen verlauten. Auf den meisten Handys laufen aber niedrigere Versionen von Android und die sind allesamt betroffen.

Und was kann die Sicherheitslücke bewirken? Laut Curesec können dadurch Apps ungefragt kostenpflichtige Premium-Dienste anrufen oder etwa laufende Gespräche beenden. Die Lücke umgeht das Android-Sicherheitsmodell, in dem Apps ohne die Berechtigung, Anrufe zu tätigen (CALL_PHONE),  keine Anrufe auslösen können.

Der Bug kann auch genutzt werden, um USSD (Unstructured Supplementary Service Data), SS (Supplementary Service) oder vom Hersteller definierte MMI (Man Machine Interface)-Codes auszuführen. Diese speziellen Codes werden über die Zifferntasten eingegeben und von den beiden Zeichen * und # eingeschlossen. Sie variieren je nach Gerät und Mobilfunkanbieter und erlauben den Zugriff auf bestimmte Gerätefunktionen oder Dienste der Mobilfunkanbieter. Unter diesen Codes gibt es auch einige sehr sensible, etwa das Sperren der SIM-Karte.

Betroffenheitsüberprüfung

Die Sicherheitsexperten von Curesec haben eine Anwendung entwickelt, mit deren Hilfe du überprüfen kannst, ob dein Handy von dieser Sicherheitslücke betroffen ist oder nicht. Zu finden ist sie allerdings nicht im Play Store, sondern auf der Webseite von Curesec.

Die App CRT-Kolme (gesprochen wie Call me) testet, ob dein Handy betroffen ist oder nicht.

Die App CRT-Kolme (gesprochen wie Call me) testet, ob dein Handy betroffen ist oder nicht.

Und so installierst du sie:

  • Lade die Anwendung hier herunter: http://www.curesec.com/data/CRT-Kolme.apk
  • Erlaube in den Android-Einstellungen (Sicherheit / Unbekannte herkunft) die Installation fremder Apk-Dateien.
  • Führe die apk-Datei aus.
  • Starte die Anwendung und wähle das entsprechende SDK aus.

Sollte dein Handy betroffen sein, wird ein Anruf an die Nummer 31337 getätigt.

Quelle: Curesec via Computerworld

auf Facebook teilen auf Google+ teilen auf Twitter teilen
pic_HG2

Harald Gutzelnig   Herausgeber

Harald hat eigentlich als Herausgeber und Geschäftsführer des hinter dem Portal stehenden Verlags gar nicht viel Zeit Artikel zu schreiben, aber es macht ihm so viel Spaß, dass er dafür sogar ab und an aufs Schlafen verzichtet. Er hofft natürlich, dass dieser Schlafentzug seinen Artikeln nicht anzumerken ist.

Xing Profil

Kennst du schon unsere Magazine?

Alle Magazine anzeigen