Android-Smartphones: Angreifer können Sim-Karte aus der Ferne sperren

Smartphones sind anfällig für besonders heimtückische Attacken: Einige Android-Handys enthalten eine Sicherheitslücke, über die man die jeweils eingelegte Sim-Karte unbenutzbar machen kann. Abhilfe ist möglich, kommt aber nicht vom Hersteller selbst.

Sim-Karte: Kann in Android-Handys per Fernbefehl gesperrt werden Zur Großansicht
Matthias Kremp

Sim-Karte: Kann in Android-Handys per Fernbefehl gesperrt werden

Angreifer können die in die Handys eingelegte Sim-Karte unbrauchbar machen, indem sie den Anwender dazu verleiten, beispielsweise eine präparierte Webseite anzusteuern. Dem Fachmagazin heise Security ist es gelungen, über eine eigens dafür eingerichtete Testseite die Sim-Karte in einem HTC One XL zu sperren.

Der Trick funktioniert so: In den HTML-Code der Webseite wird ein sogenannter USSD-Befehl (Unstructured Supplementary Service Data) eingebettet. In Kombination mit zufällig gewählten, falschen Pin-Codes wird dem Handy vorgegaukelt, der Anwender hätte die zum Entsperren des Telefons nötige Zahlenkombination mehrfach falsch eingegeben. Das Telefon reagiert darauf mit der vorgesehenen Vorsichtmaßnahme und sperrt das Gerät so lange, bis ein der Sim-Karte zugeordneter PUK-Code (Personal Unblocking Key) eingegeben wird, den man von seinem Telefonanbieter üblicherweise mit der Karte geliefert bekommt.

Während die Redakteure ihre zum Test genutzte Sim-Karte in diesem Fall also reaktivieren konnten, hätte ein böswilliger Angreifer auch die Möglichkeit, die Karte dauerhaft unbrauchbar zu machen. Dazu hätte man den Angriffscode nur so modifizieren müssen, dass er auch die "PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte", erklären die heise-Redakteure.

Das Handy wäre folglich vorerst unbrauchbar, könnte sich nicht mit dem Mobilfunknetz verbinden und wäre weder für Telefonate noch fürs mobile Internet zu gebrauchen. Abhilfe wäre für die Betroffenen in einem solchen Fall nur möglich, wenn sie sich eine Ersatzkarte besorgen oder sich für ihre alte Rufnummer eine neue Sim-Karte zuschicken lassen würden. Beides wäre mit Kosten und gegebenenfalls mit einigen Tagen Wartezeit verbunden, während derer man unerreichbar wäre.

Hilfe durch Dritt-Apps

Die Entdeckung folgt nur wenige Tage nachdem ein Sicherheitsexperte der TU-Berlin eine Sicherheitslücke in Samsung-Handys entdeckt hatte. Sie ermöglicht es Fremden, auf ähnliche Weise einen Löschbefehl auszulösen, der den gesamten Speicher des jeweiligen Geräts auf den Werkszustand zurücksetzt. Laut Samsung sind nur ältere Modelle von dem Fehler betroffen, sie sollen per Software-Update immun gemacht werden. Unterdessen tauchen im Web Berichte auf, nach denen neben Samsung-Smartphones auch Geräte von HTC und Motorola betroffen sind.

Android-User, die sich vor den geschilderten Angriffsmöglichkeiten schützen wollen, bis entsprechende Software-Patches verfügbar werden, sollten sich in Googles Online-Shop Play eine der Apps TelSop oder NoTelURL herunterladen. Beide unterbinden die Ausführung von USSD-Befehlen. Der einzige damit verbundene Nachteil: Auch absichtlich eingegebene USSD-Codes werden nicht mehr ausgeführt. Das aber dürfte nur wenige User stören, unter Normalnutzern ist es eher ungewöhnlich, sich solcher Zifferncodes zu bedienen, um das Handy zu steuern.

Laut "heise security" sind neben den genannten Android-Smartphones keine anderen Geräte von den Schwachstellen betroffen. Wer sein Handy auf die Sicherheitslücke prüfen will, kann das über eine extra dafür eingerichtete Test-Webseite tun.

mak

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 32 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Solange man damit kein
hdudeck 27.09.2012
Geld verdienen kann werden professionelle Datenmanipulierer sich damit nicht abgeben. Alles was man damit erreicht ist, den Besitzer zu aergern und den Telekom Unternehmen etwas mehr Umsatz zu bescheren. Warum das hier so [...]
Geld verdienen kann werden professionelle Datenmanipulierer sich damit nicht abgeben. Alles was man damit erreicht ist, den Besitzer zu aergern und den Telekom Unternehmen etwas mehr Umsatz zu bescheren. Warum das hier so aufgebauscht wird, keine Ahnung. Oh, vergass, es geht um das von Apple gestohlene Andoid, ich verstehe nun.
2. Sinn?
chb_74 27.09.2012
Das ist ja dann wohl höchstens für Sicherheitsorgane im Fall von Gefahr im Verzug oder gelangweilte Script-Kiddies von Interesse, denn welcher "professionelle" Ganove sollte Zeit und Geld in etwas investieren, aus dem [...]
Zitat von sysopSmartphones sind anfällig für besonders heimtückische Attacken: Einige Android-Handys enthalten eine Sicherheitslücke, über die man die jeweils eingelegte Sim-Karte unbenutzbar machen kann. Abhilfe ist möglich, kommt aber nicht vom Hersteller selbst. Sim-Karte von Android-Handys kann von fern gesperrt werden - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/gadgets/sim-karte-von-android-handys-kann-von-fern-gesperrt-werden-a-858375.html)
Das ist ja dann wohl höchstens für Sicherheitsorgane im Fall von Gefahr im Verzug oder gelangweilte Script-Kiddies von Interesse, denn welcher "professionelle" Ganove sollte Zeit und Geld in etwas investieren, aus dem er keinen Profit zieht, wenn er mit ähnlichem Aufwand auch gewinnbringender arbeiten könnte? Solche nüchternen Analysen, die über reines Abtippen von Meldungen anderer Medien oder Agenturen hinausgeht, würde ich mir eigentlich von SPON wünschen, wenn man diese Medium noch ernst nehmen soll....
3.
Flari 27.09.2012
Wieso aufgebauscht? Wenn Sie das Thema nicht interessiert, lesen Sie es doch einfach nicht. Nach der Aufdeckung einer relativ trivialen Lücke, wird natürlich bei anderen Geräten und Anwendungen nach ähnlichen [...]
Zitat von hdudeckGeld verdienen kann werden professionelle Datenmanipulierer sich damit nicht abgeben. Alles was man damit erreicht ist, den Besitzer zu aergern und den Telekom Unternehmen etwas mehr Umsatz zu bescheren. Warum das hier so aufgebauscht wird, keine Ahnung. Oh, vergass, es geht um das von Apple gestohlene Andoid, ich verstehe nun.
Wieso aufgebauscht? Wenn Sie das Thema nicht interessiert, lesen Sie es doch einfach nicht. Nach der Aufdeckung einer relativ trivialen Lücke, wird natürlich bei anderen Geräten und Anwendungen nach ähnlichen Schwachstellen gesucht. Nicht nur von Heise & Co, sondern auch von den Scriptkiddies, die ggf. einfach aus Spass an der Sache mal viele ärgern wollen.. Oder mit ihren Fähigkeiten angeben wollen.. Was bitte ist da an einem Hinweis schlecht, der auch noch die Möglichkeit der Verhinderung selber Opfer zu werden, beinhaltet?
4.
bärbeck 27.09.2012
Genau hier liegt der Hund begraben. Ein solcher Vorfall bei Apple hätte schon längst wieder einen Shitstorm hervorgerufen, stattdessen bis 18:50 nur ein Beitrag. Es ist das Messen mit zweierlei Maß bei einem nicht kleinen Teil [...]
Zitat von hdudeckWarum das hier so aufgebauscht wird, keine Ahnung. Oh, vergass, es geht um das von Apple gestohlene Andoid, ich verstehe nun.
Genau hier liegt der Hund begraben. Ein solcher Vorfall bei Apple hätte schon längst wieder einen Shitstorm hervorgerufen, stattdessen bis 18:50 nur ein Beitrag. Es ist das Messen mit zweierlei Maß bei einem nicht kleinen Teil IT-affiner Menschen. Der inzwischen ausufernde Applehass unter diesen Mitbürgern ist eigentlich ein Fall für den Psychotherapeuten. Eine wirklich gravierende Sicherheitslücke verschiedener Androidhandys wird kaum zur Kenntnis genommen, Kratzer am iPhone führen zu 1000 Forenbeiträgen. iPhonebesitzer werden als psychisch krank dargestellt und einer religiösen Sekte zugeordnet, die jeden Morgen beten müssen und deren Führer die Weltherrschaft anstrebt, während der paramilitärisch geführte Rüstungskonzern Samsung der Gute in diesem Spiel ist. Das nennt man verzerrte Wahrnehmung der Realität.
5.
Universaldilletant 27.09.2012
Manche schaffe es aus wirklich jeder Meldung heraus Apple zu bashen ...
Zitat von hdudeckGeld verdienen kann werden professionelle Datenmanipulierer sich damit nicht abgeben. Alles was man damit erreicht ist, den Besitzer zu aergern und den Telekom Unternehmen etwas mehr Umsatz zu bescheren. Warum das hier so aufgebauscht wird, keine Ahnung. Oh, vergass, es geht um das von Apple gestohlene Andoid, ich verstehe nun.
Manche schaffe es aus wirklich jeder Meldung heraus Apple zu bashen ...
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Gadgets
RSS
alles zum Thema Android
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Donnerstag, 27.09.2012 – 17:56 Uhr
  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 32 Kommentare
Mehr Apps

Aktuelle Handys im September 2012
Mehr auf SPIEGEL ONLINE
Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.





MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP