Gefährliche Sicherheitslücke: Samsung-Smartphones können komplett gelöscht werden

26. September 2012
Tino Hahn Von Tino Hahn, News & Trends, Windows, Freeware & Open Source, Linux ...

Besitzer eines Samsung-Smartphones sollten in den nächsten Tagen mit erhöhter Aufmerksamkeit surfen: Über eine entsprechend manipulierte Website ist es möglich, dass der gesamte Inhalt des Smartphones komplett gelöscht wird – ohne, dass Sie es verhindern können. Wir erläutern Ihnen, wie es zu dieser Sicherheitslücke kommt und was Sie dagegen tun können.

Samsung Galaxy S3: Daten können aus der Ferne gelöscht werden

Über sogenannte USSD-Codes können zahlreiche Aktionen und Befehle direkt über das Tastenfeld von Smartphones ausgelöst werden. Darunter befindet sich jedoch ein Code, nach dessen Eingabe der komplette Inhalt des mobilen Geräts gelöscht wird – und zwar ohne jegliche Nachfrage. Dadurch, dass sich dieser Code auch in eine Website einbauen lässt, kann bereits ein Klick dazu führen, dass alle Daten gelöscht werden.

Da Samsung Anpassungen an den USSD-Codes vorgenommen hat und eine eigene Benutzeroberfläche namens „TouchWiz“ einsetzt, kommt es nach bisherigen Erkenntnissen nur bei Smartphones von Samsung zu dieser Sicherheitslücke. Wir informieren Sie, sofern sich diese Situation ändern sollte. Eine offizielle Stellungnahme von Samsung gibt es bislang noch nicht. Allerdings soll das Update auf Android 4.1 bzw. Jelly Bean diesen Fehler beseitigen, der jedoch nicht im Android-Betriebssystem, sondern in der TouchWiz-Oberfläche verankert zu sein scheint.

Welche Smartphones sind bislang davon betroffen?

Nach unseren Erkenntnissen sind bislang folgende Samsung-Modelle betroffen:

  • Samsung Galaxy S3
  • Samsung Galaxy S2
  • Samsung Galaxy Beam
  • Samsung Galaxy S Advance
  • Samsung Galaxy Ace

So funktioniert die Fernlöschung von Samsung-Smartphones

Nahezu alle aktuellen Smartphones können Telefonnummern direkt anwählen, die auf einer Website eingebunden sind. Dazu wird einfach ein entsprechender Link eingebaut, der angeklickt werden muss. Wird dieser Link jedoch in ein sogenanntes „iframe“ eingebaut, dann wird er automatisch von Ihrem Samsung-Smartphone aufgerufen. Nach diesem Prinzip starten beispielsweise auch YouTube-Videos automatisch, die ebenfalls über ein iframe in eine Webseite integriert werden. Diese harmlose aussehende Zeile Code sorgt dafür, dass alle Daten gelöscht werden:

“<frame src="tel:*2767*3855#" name="Reset" />” – diese Angabe dient nur Demonstrationszwecken und stellt in keiner Weise eine Gefahr da.

So schützen Sie sich vor der Fernlöschung

Besonders böswillig ist es, wenn eine SMS mit dem Lösch-Code verschickt wird: Über den sogenannten WAP-Push wird die URL direkt auf Ihr Smartphone geschickt, ohne dass Sie es unterbinden – sofern WAP-Push aktiviert ist. Bis eine Lösung für diese Sicherheitslücke veröffentlicht wird, sollten Sie deshalb den WAP-Push abschalten, um diese Gefahr zu beseitigen.

  1. Rufen Sie die Nachrichten-App auf Ihrem Samsung-Smartphone auf und drücken Sie dann die Menütaste.
  2. Scrollen Sie anschließend nach unten und deaktivieren Sie den WAP-Push.

Schutz vor Fernlöschung – kein automatisches Wählen von Telefonnummern

Mit der kostenlosen App „NoTelURL“ können Sie verhindern, dass Ihr Samsung-Smartphone automatisch eine Telefonnummer anwählt, die auf einer Website angegeben wurde. NoTelURL fängt alle entsprechenden Links ab und fragt Sie sicherheitshalber, ob Sie wirklich diese Telefonnummer wählen wollen.

Dazu wählen Sie unter „Vorgang abschließen mit“ die Option „No Tel: URL“ aus.

Download von NoTelURL: http://market.android.com/details?id=com.voss.notelurl&referrer=utm_source%3Dappaware%26utm_medium%3Dwebsite%26utm_campaign%3Dfree

Erhalten Sie regelmäßig die wichtigsten Freeware-Tipps in Ihr Postfach!

Jetzt gratis per E-Mail

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Weitere Artikel

Ein eleganter Spiegeleffekt für Ihre Fotos

So halten Sie Ihren Windows-PC fit

Achtung: Wenn Sie anonym ins Netz gehen, sollten Sie dieses Update sofort einspielen


Die besten Linux- und OpenSource Tipps für Sie!

Jetzt gratis per E-Mail

  • die besten Tipps
  • völlig kostenlos
  • jederzeit abbestellbar
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"