Android Sicherheitslücke – bin ich betroffen und was kann ich dagegen tun?

Die Funktionsweise

Bist du Besitzer eines Android-Smartphones? Ja? Dann läufst du eventuell Gefahr, dass du von dem aktuellen Android-Exploit betroffen bist. Es handelt sich hierbei um eine Sicherheitslücke im Betriebssystem Android, welche einem ziemlich alten Prinzip zugrunde liegt. Viele kennen sicher noch die Funktion von seinem alten Nokia 3210 (oder auch den meisten anderen, alten Handys): Gibt man *100# ein und drückt auf anrufen, so wird bzw. wurde einem das aktuelle Guthaben auf dem Display angezeigt. Dieses Prinzip funktioniert nach wie vor auch mit den aktuellen Smartphones. Doch was hat das nun mit dem neuen Android-Hack zutun? Die sogenannten USSD-Codes wie der, des obigen Beispiels können natürlich auch Schaden anrichten. Innerhalb des Android Betriebssystems ist nun zum Vorschein gekommen, dass solche Codes – wenn sie etwa auf Internetseiten versteckt sind – automatisch mit einem Besuch auf einer solchen Seite, ausgeführt werden können. Es wird also während des surfens ein Code ausgeführt, von dem der ahnungslose Smartphone-Benutzer unter Umständen gar nichts mitbekommt.

Ist mein Smartphone auch betroffen?

Laut „Android-Pit“ geht man zur Zeit von folgenden, betroffenen Smartphones aus (Stand 01.10.2012):

• Samsung Galaxy S3 mit Android 4.0.4 (Custom ROM CM9)
• Samsung Galaxy S2
• Samsung Galaxy Ace, Beam und S Advance
• Samsung Galaxy Note mit Android 4.0.3
• Samung Galaxy Tab GT-P1000
• HTC One S
• HTC One X
• HTC Sensation (XE) mit Android 4.0.3
• HTC Desire HD
• HTC Legend
• HTC Desire Z
• HTC Incredible S
• Motorola Milestone
• Motorola Atrix 4G
• Motorola Razr mit Android 2.3.6
• Huawei Ideos
• LG P990 Optimus Speed
• Sony Ericsson Xperia Play mit Android 2.3.4
• Sony Ericsson Xperia Neo mit Android 4.0.4
• Sony Ericsson Xperia arc S mit Android 2.3.4

Um letztendlich sicherzugehen, ob dein Smartphone ungewünschterweise USSD-Codes ausführt, kannst du den Link http://dylanreeve.com/phone.php ausführen. Auf der Internetseite wird dir dann angezeigt, ob du mit deinem Smartphone als potenzielles Opfer giltst.

Was kann ich tun, um mich vor dem Exploit zu schützen?

Samsung hat zwar bereits ein Update angekündigt, welches die Sicherheitslücke schließen soll, doch bis jetzt (Stand 02.10.2012) ist noch nichts erschienen. Auch andere Hersteller haben sich zwar schon der Lösung des Problems angenommen, doch warten Smartphonebenutzer noch vergebens auf ein Sicherheitsupdate.

Der Entwickler Jörg Voss hat jedoch bereits eine kleine App namens NoTelURL herausgebracht, die wenigstens eine Art „Workaround“ darstellt. Die App erkennt ab einer Android Version größer oder gleich Ice Cream Sandwich, USSD Codes und fängt diese ab, bevor sie automatisch ausgeführt werden. Der Benutzer hat hiernach die Möglichkeit innerhalb der App selbst auszuwählen, ob er der Ausführung des Codes zustimmen möchte oder nicht.

Die App kann hier heruntergeladen werden.