Eigentlich sind sie dafür gedacht, dass Kunden bei ihren Netzbetreibern schnell und einfach Einstellungen vornehmen sowie Status abfragen können: USSD-Codes.
Das wohl bekannteste Beispiel ist der Code *100#, mit der der aktuelle Kontostand eines Prepaid-Handys abgefragt werden kann.
Hierzu muss man gewissermaßen "den Code anrufen".
Für das Samsung Galaxy S2 wurde nun ein USSD-Code, nämlich *2767*3855#, entdeckt, der jedoch problematisch ist: Mit ihm kann das Gerät in den Werkszustand zurückgesetzt werden.
Scheinbar funktioniert das auch bei weiteren Smartphones mit der Benutzeroberfläche TouchWiz.
Doch, wo liegt das Problem?
Ganz einfach: Man stelle sich bspw. einmal vor, jemand verlinkt mit ganz einfachem HTML diesen USSD-Code auf einer Website.
Beginnt der Link mit tel:, so genügt im internen (!) Browser des Gerätes ein Klick, und die Nummer wird gewählt - und der Reset beginnt.
Ähnliches ist mit Frames denkbar - hier würde es sogar genügen, eine präparierte Website zu besuchen, und es wäre zu spät.
Ersthilfe gegen Angriffe dieser Art ist bspw. die Verwendung eines anderen Browsers als des internen, da diese i.A. Nummer nicht selbst wählen dürfen.
Wer mehr darüber erfahren will, kann in die Quelle schauen oder die aktuellen Tweets von @stroughtonsmith verfolgen.
Quelle: theverge.com
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Nachtrag:
mobiflip.de geht ebenfalls auf den problematischen USSD-Code ein und gibt's ein paar Tipps, wie Nutzer sich "schützen" können.
Außerdem betont der Autor dort, dass Samsung-Geräte mit Android 4.1 sowie Nexus-Geräte nicht betroffen seien.
Nachtrag (2):
Ebenfalls problematisch: Via WAP-Push-SMS kann das Zurücksetzen eines fremden Samsung-Gerätes aus der Ferne gestartet werden.
Abhilfe: Nachrichten-App -> Menütaste -> runterscrollen -> WAP-Push ausschalten.
Nachtrag (3):
Laut Update auf der Quellen-Seite funktioniert der USSD-Code auch auf dem Samsung Galaxy S3 ...