Android: Reset-Lücke nicht nur bei Samsung

[skyzem]

Der Fehler erscheint nur wenn der Stock Dialer benutzt wird. Und dies mit einer Version < 4.1.1

Quelle (http://pastebin.com/cGgs7T4h):

[...]

The stock dialpad or dailers based on stock dialpad application in
Android versions prior to Android 4.1.1 release 1.1 (Jul 2012) allow
initiating handling by Intents through special chars or sequences
without propper validation and rejection. This allows the non
intended execution of actions without any input or confirmation by
the user.

Possible and already used in the wild attack vectors are tricking
users to scan QR codes with "tel:

" or including iframes with
"tel:[code]" as source on websites. Both will pass an Intent to the
phone dialer and through the non exsistent input validation this
could initiate actions bind to that code.

Although the dialpad should accept and handle "tel:[phone_number]"
inputs, it should not accept arbitrary code which is not a telephone
number as defined in the IETF RFC 3966.

[...]

To avoid this exploit it is recommended to use a Android firmware >=
version 4.1.1 release 1.1 or an equivalent custom ROM. It is also
possible to use an alternative phone dialer or tools which prevent
passing "tel:" URIs

 

[Hannes Weber]

Der Fehler erscheint nur wenn der Stock Dialer benutzt wird. Und dies mit einer Version < 4.1.1

Mit anderen Worten, auf einem Grossteil aller Android-Smartphones.

 

[Nebuk]

Mein Nexus S weist diese Lücke nicht auf :)

 

[schrepfer]

Auf dem HTC One X und HTC Desire HD tritt diese Sicherheitslücke auf. Und dies im Stock-Browser, Firefox Beta & Opera Mobile. Test funktioniert auch mit Aufruf dieses URL's: tel:*%2306%23

 

[CableGuy]

Seit Gestern ist für das Samsung Galaxy SII ein Update auf Android 4.0.4 verfügbar.
Dieser behebt die "Reset-Lücke", da diese in Android 4.0.4 behoben wurde.
Daher ist das Update sehr zu empfehlen und kann manuell über Einstellungen – Telefoninfo – Software Aktualisierung die Aktualisierung starten installiert werden.

 

[schrepfer]

Seit Gestern ist für das Samsung Galaxy SII ein Update auf Android 4.0.4 verfügbar.
Dieser behebt die "Reset-Lücke", da diese in Android 4.0.4 behoben wurde.
Daher ist das Update sehr zu empfehlen und kann manuell über Einstellungen – Telefoninfo – Software Aktualisierung die Aktualisierung starten installiert werden.

Diese Android-Version weist diese Sicherheitslücke noch immer auf. Abhilfe schafft das App NoTelUrl aus dem Play Store!

 

[cedricsuetterlin]

Auf dem Galaxy S3 war die Lücke nach einem Tag geschlossen.
Der Dialer öffnet sich zwar noch, aber es wird nichts mehr automatisch eingegeben und schon gar nicht gewählt.

 

[Mooris]

Bei meine S3 passiert gar nichts..

keine Zahlen werden gewählt aus dem Browser...


bei mir ist jedoch noch 4.0.4 installiert und es gibt anscheinend keine updates..

 

[dbaechli]

Auf dem HTC One X und HTC Desire HD tritt diese Sicherheitslücke auf. Und dies im Stock-Browser, Firefox Beta & Opera Mobile. Test funktioniert auch mit Aufruf dieses URL's: tel:*%2306%23

Stimmt, ONE X würde den Code ausführen, update scheint noch keiner vorhanden zu sein. Ich denke, dass auch andere Modelle von HTC (und anderer Hersteller) betroffen sind.

Ich habe schon seit längerem Lookout Mobile installiert und die App führt den Code nicht aus, sondern lässt mich wählen, ob ich anrufe oder die Telefon-App starte. Wähle ich App starten, startet sie und die Nummer/der Code erscheint in einem Pop-Up, bevor er ausgeführt wird. Wenn man natürlich auf das App-Symbol zum direkt ausführen klickt, ist man auch gelinkt.. ,-(