Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Verschiedenes Informationen aus aller Welt Aus der Welt der Pocketsysteme
 
foto: derstandard.at/gpifoto: derstandard.at/gpi
Schwere Lücke erlaubt einfache Rücksetzung von Galaxy-Smartphones
25. September 2012, 15:26


Der Code für eine Werkszustand-Rücksetzung lässt sich auf verschiedene Weise übergeben.
·
"Factory Reset" per Browser, QR-Code und über andere Wege auslösbar
Der Telekom-Techniker Paul Oliva hat heute per Twitter auf ein schweres Sicherheitsproblem des Samsung Galaxy S3 und anderer Telefone der Reihe hingewiesen. Der Vorzeige-Androide des koreanischen Unternehmens lässt sich über die einfache Präparation einer Website auf den Werkszustand zurücksetzen.
· MEHR ZUM THEMA
· Telekom:next layer - die flexible Alternative
· Werbung
Direkte Dialer-Übergabe
Hintergrund der Lücke ist, dass der Browserr "tel:"-Handler direkt an den Dialer übergeben, der diese prompt ausführt. 2767*3855# lautet jene Kombination, nach deren Eingabe sich das Galaxy S3 ohne weiterer Rückfrage auf den Werkszustand zurücksetzt.
Einfache Auslösung möglich
In Kombination mit dem Handler lässt sich dies ohne Schwierigkeiten im Code einer Seite unterbringen. Ein Beispiel gibt Oliva selbst, der Befehl könnte als Frame-Quelle versteckt werden und würde dann so aussehen: <frame src="tel:*2767*3855%23" /> . Prinzipiell lässt sich die Schwachstelle aber auch per NFC nutzen und WAP-Konfigurations-SMS oder via QR-Code nutzen.
Fehlerquelle TouchWiz
Die Fehlerursache dürfte Samsung selbst mit dem TouchWiz-Interface geschaffen haben. Besagter USSD-Code gehört nicht zum Standardrepertoire von Android, sondern wurde von Samsung selbst festgelegt. Entdeckt wurde das Problem von Ravi Borgaonkar. Er präsentierte seinen Fund auf der Ekoparty Security Conference.
Mindestens fünf Modelle anfällig
Soweit bekannt, sind auch die Modelle Galaxy S Advance, S2, Galaxy Ace sowie das Projektor-Phone Galaxy Beam betroffen, berichtet The Next Web. "Deswegen hasse ich Veränderungen von Seiten der OEMs, die an Android vorgenommen werden", kommentiert Oliva die Situation lapidar. (red, derStandard.at, 25.09.2012)