Samsung Galaxy S3: schwere Sicherheitslücke kann Hard-Reset verursachen

Samsung Galaxy S3 ProduktbildAlso ich selbst bin ja oftmals dagegen aus jeder Mücke einen Elefanten zu machen, nur weil es eine gute Schlagzeile abgibt. Deshalb berichtete ich über die WhatsApp-Sicherheitslücke auch erst, als klar war, wie einfach diese ausgenutzt werden und jeder auch den Selbstversuch wagen kann. Das ist nun auch beim Galaxy S3 von Samsung der Fall, das sich mittels weniger Zeichen einem Hard-Reset unterziehen lässt, ohne dass dafür der Nutzer des Gerätes zustimmen muss. Es reicht aus, wenn man den USSD-Code (*2767*3855#) für den Werkszustand in ein richtiges Frame packt. Soll heißen, ein Betreiber könnte das Frame inklusive des Codes so in den eigenen Webseiten-Quellcode packen, dass ein Besucher mit einem Samsung Galaxy S3 nach dem Besuch der Webseite sein Smartphone neu einrichten darf.

Doch damit noch nicht genug, auch möglich ist das offenbar mit einer WAP Push SMS, so kann jeder eurer Freunde euer Galaxy S3 quasi zurücksetzen, wenn er euch nur die richtige Nachricht dafür schickt. Auch demonstriert wird es im folgenden Video, einfach bis Minute 10:30 ungefähr vorspulen. Ihr seht dabei auch, dass dieser Vorgang nicht beendet oder gestoppt werden kann. Ich kann aktuell mangels Galaxy S3 das Ganze nicht versuchen, auch nicht, ob es bei anderen Samsung-Geräten ebenso möglich ist. (via, via)

UPDATE: Gibt inzwischen eine kleine App, mit welcher die Ausführung solcher URLs verhindert werden kann!

UPDATE 2: Es gibt bereits ein Statement von Samsung sowie ein Update.