Info thread zu USSD Sicherheits Lücke

  • Antworten:79
Alain 53
Alain
  • Forum-Beiträge: 11.646

25.09.2012, 21:55:00 via App

Hab grad beim lesen des blogs das Thema entdeckt! Schön und gut das man zumindest gucken kann ob das eigene phone auch betroffen ist. Meine Frage was kann man dagegen tun????

— geändert am 08.10.2012, 09:04:09

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
49
Gelöschter Account
  • Forum-Beiträge: 11.065

25.09.2012, 21:56:46 via App

waren das nicht nur Samsung Geräte ?

HTC ONE XL,schneller als die Polizei erlaubt :))

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

25.09.2012, 21:57:55 via App

ne laut blog update auch andere das XE meiner Freundin zb

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
49
Gelöschter Account
  • Forum-Beiträge: 11.065

25.09.2012, 21:59:51 via App

das EVO auch ?

HTC ONE XL,schneller als die Polizei erlaubt :))

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

25.09.2012, 22:01:31 via App

les den blog mal bis unten da steht ein link da kannst das testen


http://www.isk.kth.se/~rbbo/testussd.html

— geändert am 25.09.2012, 22:04:25

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
49
Gelöschter Account
  • Forum-Beiträge: 11.065

25.09.2012, 22:05:13 via App

ist auch dabei

HTC ONE XL,schneller als die Polizei erlaubt :))

Antworten
Andreas V. 53
Andreas V.
  • Admin
  • Forum-Beiträge: 7.352

25.09.2012, 22:06:19 via App

Der Link ist www.voetz.net/sandbox/USSD_TEST.html

Hier wird lediglich der USSD Code zum Aufruf der Telefoninfo ausgeführt, also keine Gefahr, geschweige denn Datenübertragung.

Jörg Voss hat eine kleine App geschrieben, die vorerst Abhilfe schafft: http://fotovossblog.peggy-forum.com/2012/09/samsung-ussd-sicherheitsluecke-mit-notelurl-schliesen/

Viele Grüße von Andreas
Unsere Regeln * Aussagekräftige Titel * Community Guide

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

25.09.2012, 22:11:27 via App

Gut funktioniert wohl

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

25.09.2012, 23:10:03 via Website

Danke für Dein Posting Andreas.

Die App befindet sich im Moment noch im Play Store Prüfprozess und sollte bald auch im Play Store verfügbar sein. Schon lustig, wenn es mal schnell gehen soll dauert es immer länger als üblich .. B)

Freut mich wenn es nützt @Alain

lg Voss

Antworten
3po3 43
3po3
  • Forum-Beiträge: 7.233

25.09.2012, 23:27:35 via App

Jörg, was würden wir bloß ohne dich machen!
Danke :)

...man vergisst nicht..., man lebt nur weiter...

Antworten
Carsten M. 80
Carsten M.
  • Forum-Beiträge: 33.204

25.09.2012, 23:28:37 via App

3po3
Jörg, was würden wir bloß ohne dich machen!
Danke :)
Dito.

I second that.

Herzliche Grüße

Carsten

Ich komm' mir langsam vor wie jemand, der ich bin // #cäthe

Antworten
49
Gelöschter Account
  • Forum-Beiträge: 11.065

25.09.2012, 23:50:23 via App

vielen dank :):):)

HTC ONE XL,schneller als die Polizei erlaubt :))

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

26.09.2012, 14:38:34 via App

da jetzt Schutz geboten ist bitte ich einen mod/Admin hier zu schliessen

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
©h®is 68
©h®is
  • Forum-Beiträge: 24.262

26.09.2012, 14:49:26 via Website

Carsten Müller
3po3
Jörg, was würden wir bloß ohne dich machen!
Danke :)
Dito.

I second that.

Herzliche Grüße

Carsten
DITO

StayDirty ツ


Pixel 3a XL [10]

Samsung Tab A 10.5 2018 [9]

⇨Dirty⇦nexus5x [8.1.0]

⇨Dirty⇦ nexus4 [5.0.2] RIP

⇨Dirty⇦ nexus7 (Flo) [6.0.1] RIP

⇨CodefireX⇦desire hd [4.2.2] RIP

Antworten
Pure★Aqua ツ 45
Pure★Aqua ツ
  • Forum-Beiträge: 3.448

26.09.2012, 15:29:24 via App

Tja mein Xplay auch ,sofort App von Jörg geladen ,Danke. :)

HardBasses'n'SmilingFaces :D

Sony Xperia Play
Sony Z1 RiP
Sony Z5 RiP
Samsung Galaxy S10

Antworten
2
ojb
  • Forum-Beiträge: 3

26.09.2012, 16:23:49 via Website

Hallo Leute,

also mein Note mit Android 2.3.6 ist auch betroffen.

@Jörg:
Vielen Dank für das Tool. Echt Klasse.

Gruß
Oli

Antworten
Danny H. 13
Danny H.
  • Forum-Beiträge: 320

26.09.2012, 18:43:17 via Website

DANKE JÖRG

Galaxy-ACE / Galaxy Note II - Asus Transformer TF101 / TF300T (kein Root) - Arnova Childpad (Archos-gerootet)

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

26.09.2012, 19:20:10 via App

Von mir ebenfalls

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
45
Gelöschter Account
  • Forum-Beiträge: 8.035

26.09.2012, 19:24:49 via Website

dito :)

Gruß Andi AM Photography: FB | ACE TV: YouTube Website FB

Antworten
20
Gelöschter Account
  • Forum-Beiträge: 490

26.09.2012, 20:12:10 via Website

super app, vielen dank! :)

Gegen übermässige Smiley-Benutzung.

Antworten
Pure★Aqua ツ 45
Pure★Aqua ツ
  • Forum-Beiträge: 3.448

26.09.2012, 20:14:24 via App

Von meiner Frau auch zweifach Danke. :)

HardBasses'n'SmilingFaces :D

Sony Xperia Play
Sony Z1 RiP
Sony Z5 RiP
Samsung Galaxy S10

Antworten
Marc 52
Marc
  • Forum-Beiträge: 12.913

26.09.2012, 20:27:02 via App

Das Smartphone und der User bedanken sich bei Herrn Voss für die hilfreiche App.

Powered by Android

Antworten
14
Gelöschter Account
  • Forum-Beiträge: 322

26.09.2012, 20:49:37 via App

Auch von mir: Danke! :-)

██████████░░░░░ 66% done.

Antworten
Oldviking 61
Oldviking
  • Forum-Beiträge: 18.575

26.09.2012, 23:45:55 via Website

Auch die Wikinger wissen jetzt was eine Attacke auf die mobile Nachrichtenzentrale anrichten könnte.
Danke für die hilfreiche Waffe App ! <3

** Android in seinem Lauf hält weder Ochs noch Esel auf **

Gelöschter Account

Antworten
49
Gelöschter Account
  • Forum-Beiträge: 11.065

26.09.2012, 23:47:36 via App

Oldviking
Auch die Wikinger wissen jetzt was eine Attacke auf die mobile Nachrichtenzentrale anrichten könnte.
Danke für die hilfreiche Waffe App ! <3
darauf ein Met

HTC ONE XL,schneller als die Polizei erlaubt :))

OldvikingGelöschter Account

Antworten
Erwin W. 78
Erwin W.
  • Forum-Beiträge: 35.443

26.09.2012, 23:56:40 via App

Jörg

L.G. Erwin
..................
Wissen ist Macht. Nichts wissen macht nichts.
Wer einen Rechtschreibfehler findet darf ihn behalten.
Am Ende wird alles gut. Und wenn es nicht gut ist, ist es nicht das Ende.
Hat dir mein Beitrag gefallen? Dann würde ich mich über ein Danke freuen. (cool)

Antworten
5
Sven G.
  • Forum-Beiträge: 41

27.09.2012, 06:49:07 via App

Hallo Jörg Voss, super App vielen Dank auch von mir.

Antworten
2
ojb
  • Forum-Beiträge: 3

27.09.2012, 09:55:13 via Website

Hallo,

noch eine Frage: Ich hab gelesen, daß man zusätzlich zu NoTelURL auch WAP-Push deaktivieren soll.

Ist das notwendig oder reicht NoTelURL aus?

Gruß
Oli

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

27.09.2012, 10:32:23 via App

Ich werde heute Abend hier noch etwas mehr dazu schreiben, zunächst einfach mal ein großes Dankeschön für euer aller Feedback :-)

lg Voss

Gelöschter AccountGelöschter Account

Antworten
Alex.M 7
Alex.M
  • Forum-Beiträge: 112

27.09.2012, 11:27:22 via Website

Hallo Jörg,
vielen danke für die app ....ein fettes RESPEKT von mir.

Antworten
Skyman 30
Skyman
  • Forum-Beiträge: 186

27.09.2012, 11:36:39 via Website

Ja der Skyman bedankt sich auch mal für die schnelle Hilfe durch deine App Jörg ..... Merci! :-)

AndroidPIT-Regeln Geräte: HTC Flyer gesponsort by AndroidPIT & Cubot X6 (Android 4.4.2) // Danke für deine tollen Bücher und die geleistet Arbeit Izzy!!! //

Wenn ik alt bin, dann werde ik nur nörgeln. Das wird ein Spaß!

Antworten
16
Gelöschter Account
  • Forum-Beiträge: 369

27.09.2012, 11:47:11 via Website

Ich danke mal anstelle meiner Eltern ^^

— geändert am 27.09.2012, 11:47:47

Antworten
19
Gelöschter Account
  • Forum-Beiträge: 589

27.09.2012, 15:01:45 via Website

Vielen Dank Jörg für die hervorragende App !

Lg Helga

Antworten
Oldviking 61
Oldviking
  • Forum-Beiträge: 18.575

27.09.2012, 15:30:07 via Website

Die Downloadzahlen und Bewertungen im Playstore sprechen für sich !

** Android in seinem Lauf hält weder Ochs noch Esel auf **

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

27.09.2012, 20:46:18 via Website

So ihr lieben,

wie schon weiter oben geschrieben, möchte ich mich herzlich bei Euch bedanken für Euer zahlreiches Feedback sowohl hier, als auch bei Google + und in meinem Blog. Vor kurzem wurden dann auch im Play Store die vollständigen Zahlen vom gestrigen Tag veröffentlicht. Die allerdings sind gigantisch wie ich finde.

Dienstag Tag 1. (23:00 Uhr - 00:00 Uhr.) 635 Installationen
Mittwoch Tag 2. (24 Stunden ) 25.767 Installationen

Insgesamt gab es mittlerweile 1014 Bewertungen von denen 988 mit 5 Sternen ausgefallen sind.

Die Verteilung der Geräte Installationen ist wie folgt:
Samsung Galaxy S2 (GT-I9100) 9.250 37,19 %

Samsung Galaxy S3 (m0) 4.695 18,88 %

Samsung Galaxy S (GT-I9000) 1.558 6,26 %

Samsung Galaxy S Plus (GT-I9001) 1.204 4,84 %

Samsung Galaxy Note (GT-N7000) 952 3,83 %

Samsung Galaxy S2 (GT-I9100G) 627 2,52 %

Samsung Galaxy Ace (GT-S5830) 575 2,31 %

Samsung Galaxy Nexus (maguro) 449 1,81 %

HTC One X (endeavoru) 433 1,74 %

Weitere 5.129 20,62 %

Nach Ländern gegliedert:
Deutschland 18.978 76,30 %

Schweiz 3.664 14,73 %

Österreich 1.025 4,12 %

Vereinigte Staaten 219 0,88 %

Niederlande 101 0,41 %

Vereinigtes Königreich 84 0,34 %

Italien 82 0,33 %

Spanien 79 0,32 %

Ungarn 78 0,31 %

Weitere 562 2,26 %

Alles in allem sind das innerhalb eines Tages einfach gigantische Werte. Erklärbar sind diese durch die überregionale Verbreitung der URLs meines Blogbeitrages sowie der dankenswerter Weise von Euch so häufig geteilten Google+ Beiträge zu meiner kleinen App.

Also nochmals vielen Dank für Eure Unterstützung!!!

lg Voss

Antworten
Alain 53
Alain
  • Forum-Beiträge: 11.646

27.09.2012, 21:03:59 via App

Auf die tolle APP ne runde Bier

Die Warheit schmeckt gut wenn man den Bauch voller Lügen hat! ~Muhammad Ali~

Antworten
27
Gelöschter Account
  • Forum-Beiträge: 1.514

27.09.2012, 21:23:51 via App

HTC Desire mit CM 7.2.0.1 ist auch betroffen, besser gesagt war es. Danke Jörg für die App

Antworten
2
ojb
  • Forum-Beiträge: 3

27.09.2012, 22:38:34 via Website

Hi Jörg,

ich weiß nicht ob das so einfach geht, aber cool wäre wenn die App beim Aufruf die gewählte URL in die Zwischenablage kopieren würde. Dann könnte man in die Telefon-App wechseln und pasten und sehen was ausgeführt würde.

Gruß
Oli

Antworten
N. T. 57
N. T.
  • Forum-Beiträge: 17.069

27.09.2012, 22:57:55 via Website

Wir haben zu danken, dass du so schnell etwas anbietest. Samsung schafft das nicht!

"Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren." (B.Franklin)

Antworten
Pure★Aqua ツ 45
Pure★Aqua ツ
  • Forum-Beiträge: 3.448

27.09.2012, 23:02:12 via App

Wirklich gigantische Zahlen ,Glückwunsch dazu. :)
So und ich muss noch bewerten ,hab es leider vergessen gehabt. :D

HardBasses'n'SmilingFaces :D

Sony Xperia Play
Sony Z1 RiP
Sony Z5 RiP
Samsung Galaxy S10

Antworten
52
Gelöschter Account
  • Forum-Beiträge: 8.246

27.09.2012, 23:11:13 via Website

Jep, wieder mal eine herausragende Leistung vom guten Jörg und deutlich schneller als jeder Hersteller.

@Fischli: war mal so frei und habe dein Doppelposting gelöscht. Da hatte wohl irgendwas wieder einen Schluckauf.

— geändert am 28.09.2012, 00:43:13

Antworten
Pure★Aqua ツ 45
Pure★Aqua ツ
  • Forum-Beiträge: 3.448

27.09.2012, 23:13:19 via App

Bewertet. :)
Danke Peter :D

HardBasses'n'SmilingFaces :D

Sony Xperia Play
Sony Z1 RiP
Sony Z5 RiP
Samsung Galaxy S10

Antworten
28
Steffen G.
  • Forum-Beiträge: 864

27.09.2012, 23:26:21 via App

Selbst "Spiegel Online" berichtet über die App! Großartig! Vielen Dank!

Dieser Kommentar wird ständig aktualisiert. Nachfolgende Kommentare können daher zusammenhanglos wirken.

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

27.09.2012, 23:53:51 via Website

ojb
Hi Jörg,

ich weiß nicht ob das so einfach geht, aber cool wäre wenn die App beim Aufruf die gewählte URL in die Zwischenablage kopieren würde. Dann könnte man in die Telefon-App wechseln und pasten und sehen was ausgeführt würde.

Gruß
Oli
Ich kann mir nicht vorstellen, dass Du das wirklich willst .. damit würde ich theoretisch wieder die Tür öffnen und der unbedarfte User könnte sich wieder selber Schaden zufügen...

lg Voss

Antworten
28
Steffen G.
  • Forum-Beiträge: 864

28.09.2012, 00:34:27 via App

Vielleicht ist es aber möglich, dem Nutzer die Wahl zu überlassen, ob er die Aktion wirklich durchführen will. Wenn ich es richtig verstanden habe, dann blockiert die App zur Zeit sämtliche Codes, die von Webseiten stammen. Wenn dahinter nun wirklich eine normale Telefonnummer steckt, sollte dem Nutzer der zu wählende Code angezeigt werden und ihm die Entscheidung überlassen werden, ob er dann tatsächlich wählen oder blockieren möchte. (Evtl. mit einer Sicherheitsüberprüfung: diese Nummer enthält Sonderzeichen wie zB # und scheint ein USSD-Code zu sein - sind Sie sicher?)

— geändert am 28.09.2012, 00:36:04

Dieser Kommentar wird ständig aktualisiert. Nachfolgende Kommentare können daher zusammenhanglos wirken.

Antworten
47
Gelöschter Account
  • Forum-Beiträge: 5.136

28.09.2012, 08:00:40 via Website

Hallo Steffen,

theoretisch bin ich ganz bei Dir.

Praktisch war es so, dass ich möglichst rasch einen Schutz anbieten wollte. Der User hat die Wahl, solange er nicht die Aktion als Standard definiert, er wird immer gefragt vorher. Darüber hinaus, wird bei jeder unterschiedlichen sogenannten Tel. URL immer wieder gefragt, ob das mit dem Telefon oder meiner App ausgeführt werden soll. Klick der User also bewusst auf eine zuvor noch nicht gewählte Nummer im Browser, so wird er jedenfalls gefragt ob er diese wählen möchte oder mein Tool dieses behandeln soll.

Das wichtige ist, dass der Benutzer bei schadhaften Webseiten bzw. Wap-PUSH Anwendungen die derartige "Lösch-Codes" inkludiert haben jedenfalls gefragt wird und diese Anforderung galt es rasch zu erfüllen.

Ich arbeite bereits an einem Update, welches dann auch erweiterte Möglichkeiten bieten soll. Ist nur leider nicht ganz so einfach wie es zunächst erscheinen mag :)

lg Voss

Gelöschter Account

Antworten
14
Gelöschter Account
  • Forum-Beiträge: 321

28.09.2012, 08:28:14 via App

Hallo,
ich möchte auch danke sagen, hast du super gemacht Jörg.

Ich habe aber auch Bedenken, ob es richtig ist gerade bei dieserApp dem Nutzer zuviel Auswahl und Freiheit in die Hand zu geben.
Dann gibt es einige, die die Anwendung falsch verstehen, Fehler machen und schon heißt es die App wäre schuld und fehlerhaft.

Nee, nee, mein Vorschlag wäre diese App so lassen wie sie ist (und wenn schon, dann eine extra, getrennte, neue zu bauen für all die Freaks).

Viele Grüße

Gelöschter Account

Antworten