Das ultimative Horrorszenario für Samsung Android User ist wahrgeworden. Per Webseite oder WAP-Push ist die Fernlöschung des gesamten Telefons möglich – ohne Bestätigung des Users. Sowas geht NUR bei Samsung Smartphones (auch Samsung Galaxy S3 und Galaxy S2 !!!) und nur bei Android Versionen VOR Android 4.1 (Google Nexus also nicht betroffen). Per USSD Code kann ein Gerät komplett gelöscht werden – alle Daten auf dem Handy gehen verloren. Was noch viel schlimmer ist: durch den Aufruf einer einfachen Webseite kann dieser Vorgang gestartet werden – OHNE Nutzerinteraktion!!!
Samsung MUSS hier die Schuld für diesen Mega-Fail komplett alleine übernehmen, denn durch die Modifikation des original Stock Androids durch Samsung wurde dieses Sicherheitsfiasko erst Wirklichkeit.
Wer auf einem Samsung Android Telefon – z.B. Samsung Galaxy S3 – die Zeichenfolge *2767*3855# wählt, wird zur Bestätigung der Komplett-Löschung aufgefordert. Diese Frage erfolgt jedoch nicht, wenn eine Webseite mittels „iframe“ und „tel-Link“ bzw. „tel://“-URI direkt aus dem Browser die Telefonapp aufruft und selbigen USSD Code übergibt. (Wer ein Samsung Galaxy S3 in der Nähe hat, darf oben genannten Code gerne mal ausprobieren)
Die Kollegen von mobiflip haben das genaue Vorgehen in Ihrem Beitrag zum Samsung Sicherheits-Mega-Fail hier ausführlich erläutert. Auch der Workaround findet sich an dieser Stelle – WAP Push ausschalten, anderen Dialer installieren und alternativen Browser verwenden.
Wir fügen noch eine Option als Problemlösung hinzu: kauft doch einfach ein iPhone 5!
Im folgenden noch das Video, das die Sicherheitslücke bei Samsung demonstriert:
Was Denkst Du?