Samsungs Galaxy S3 lässt sich beim Webseiten-Aufruf fernlöschen – WhatsApp im Browser übernehmen
Ein Blick auf den Twitter-Stream des Entwicklers und Security-Experten Pau Oliva dürfte den hier mitlesenden Samsung-Fans das Herz in die Hose rutschen lassen. Die Android-Geräte der Koreaner können über die Eingabe des USSD-Codes „*2767*3855#“ komplett und ohne Nutzer-Interaktion gelöscht werden. Doch damit noch nicht genug. Der in diesem Video demonstrierte Angriff lässt sich per iFrame in eine Webseite einbetten und löscht anschließend die Geräte aller Galaxy-Besucher.
<frame src="tel:*2767*3855%23" />
Der oben hinterlegte Code-Schnipsel soll für den Angriff, den wir leider nicht prüfen konnten, bereits ausreichen.
(Direkt-Link)
Pau Oliva schreibt auf seinem Twitter-Account:
[…] you can remotely wipe any friend’s Galaxy S3 now, just by sending him a wap push sms. Just visit the url with the tel: url-handler, either from QR, NFC or WAP Push SMS […] this will hard reset the phone, no user confirmation needed…
Das Thema WhatsApp haben wir am 15. September für uns abgeschlossen, erlauben uns jedoch den Verweis auf die Webseite http://whatsapp.filshmedia.net/. Hier lässt sich ein beliebiger WhatsApp-Account übernehmen und vom Browser aus befeuern. Einzig die Telefonnummer des Opfers und seine MAC-Adresse werden zum Login vorausgesetzt.
To demonstrate how insecure and simple the WhatsApp protocol really is, I sat down and created this quite simple web-based client for WhatsApp. You can simply authenticate with your phone number and your WiFi Mac-Address […]