heise Security gelang es, eine Testseite zu erstellen, die mehrfach einen bestimmten USSD-Befehl in Kombination mit einer falschen PIN an das Telefonmodul des Smartphones schickt. Auf einem
HTC One XL wurde unmittelbar nach dem Aufruf der Testseite die SIM-Karte gesperrt. Zur Entsperrung sollten wir die PUK eingeben. Theoretisch hätten wir es auch noch weiter treiben und die Seite so präparieren können, dass sie die PUK zehn Mal falsch eingibt, was zur endgültigen Sperrung der Karte geführt hätte.
Wer auf eine solche Seite gelockt wird, ist über die eingelegte Karte also nicht mehr mobil erreichbar. Abhilfe schafft nur eine neue SIM-Karte, die man – in der Regel kostenpflichtig – beim Mobilfunkprovider bestellen muss.
Bislang scheinen ausschließlich Android-Smartphones für dieses Problem anfällig zu sein. Bei iPhones werden die Steuercodes offenbar nicht einmal dann an das System weitergereicht, wenn der Anwender in dem auftauchenden Dialog auf "Anrufen" tippt.
Ob das eigene Gerät betroffen ist, erfährt man gefahrlos über unseren USSD-Check, den Sie auch komfortabel über
USSD-Check | heise Security und
USSD-Check | heise Security erreichen. Zeigt das Handy beim Öffnen der Seite automatisch seine 15-stellige IMEI-Nummer an, ist es sehr wahrscheinlich verwundbar.
Reply With Quote
Bookmarks