Schadsoftware per SMS

[kmak]

ANZEIGE

Aktuell gehen Warnungen vor (Android) Schadsoftware per SMS durch die Medien, z.B.

https://www.ndr.de/nachrichten/nied...inalamt-warnt-vor-Schad-SMS,smsbetrug124.html

Bei mir ist zum Glück noch nichts angekommen. Allerdings ist es doch meines Wissens standardmäßig ohnehin nicht möglich Software außerhalb des Playstores zu installieren. (Ja, man kann das ändern. Aber die wenigsten werden das getan haben.) Zudem kommen doch -egal woher die App kommt- Warnungen hinsichtlich der benötigten Rechte. Das bloße Anklicken eines Links reicht daher nicht. Oder ist das bei App-Links in SMS irgendwie anders?

Besteht hier eine echte Gefahr oder ist das eher eine Medien-Sau die durchs Dorf getrieben wird?

 

[jodost]

es würde mich zumindest nicht wundern, wenn eine echte Gefahr besteht.

Zum einen ist SMS allgemein sehr mächtig und kann mehr als nur ein bisschen Text anzeigen:

Dein Netzbetreiber kann per SMS Konfigurationseinstellungen auf Dein Gerät senden (wird z.B. genutzt, wenn Du erstmals Deine SIM-Karte in ein neues Gerät steckst und das entsprechend noch gar keine Ahnung hat, mit welchen APN- etc.-Einstellungen es ins Internet kommt).

Wir hatten früher ein spare-Roaming-und-Auslandskosten-Produkt, bei dem ich im Ausland meine normale deutsche SIM-Karte gegen eine örtliche günstige austausche und dann über eine Software umgeroutet werde, so dass ich vor Ort nur ein billiges Inlandsgespräch habe und wir haben den Anruf dann nach z.B. Deutschland transportiert und die gewünschte gewohnte Handynummer als Absender drangeklebt. Die Software gab's als App, aber eben für ältere Geräte auch als SIM-Toolkit, einen per Folie auf die SIM-Karte aufgeklebten Chip. Dessen Konfiguration bis hin zu "Download neuer Firmware" konnten wir per SMS auf's Handy schicken, das hat die Kommandos irgendwie verstanden und an den Chip gesendet.

Und wahrscheinlich gibt's noch dutzend andere Beispiele für Dinge, die man per SMS verschicken kann die etwas "tun". Würde mich also nicht wundern, wenn man auch andere Kommandos transportieren kann, die mit einem bloßen Klick ausgeführt werden können (ohne dass die ganze z.B. Android-Sicherheitslogik davon viel mitbekommt, rein aufgrund der Techniken die es in alten 90er Jahre-Nokias schon gab).


Und zum anderen wird ein aus einer SMS heraus angeklickter Link möglicherweise in einem anderen Sicherheitskontext ausgeführt als ein z.B. aus einer E-Mail heraus geklickter Link, und möglicherweise gibt es da ausnutzbare Sicherheitslücken (immerhin sind ja teilweise noch Android-Versionen gefühlt älter als Windows 95 im Umlauf). Also mal als bewusst nicht so technisch formuliertes Beispiel: Ich schicke Dir per E-Mail einen Link zu einer Seite, die per Script versucht SMS zu verschicken. Du rufst den Link auf und Dein Android o.ä. denkt sich "hey Moment, wir waren doch eben noch im E-Mail-Programm, jetzt geht's plötzlich um SMS-Zugriff, da frage ich lieber nach". Ich schicke Dir den gleichen Link per SMS. Du klickst ihn an, hinter dem Link ist ein Script das SMS versenden will, und Android denkt sich "SMS-App ist gestartet, will auf SMS zugreifen, da brauch ich nicht nachfragen".

 

[rainer1]

heute per email mit link zur "sendungsverfolgung", obwohl ich definitiv nichts bestellt habe.


AUSSTEHENDE LIEFERUNG
Hallo ,

Vergessen Sie nicht Ihr Paket, das gerade auf den Versand wartet:

Paketnummer: SAM-22QX
Inhalt: Smartphone
Absender: Amazon

Zahlen Sie die Versandkosten und geben Sie die Lieferinformationen ein. Ihre Bestellung wird innerhalb von 1-3 Tagen geliefert.

Vervollständigen Sie Ihre Paketzustellung
Grüße
Lina Fischer, Deutsche Post

 

[wizzard]

Grüße Lina Fischer, Deutsche Post muuaaaaaaaaaaaaahhh

 

[berndl]

.

 

[wsvfan55]

heute per email mit link zur "sendungsverfolgung", obwohl ich definitiv nichts bestellt habe.


AUSSTEHENDE LIEFERUNG
Hallo ,

Vergessen Sie nicht Ihr Paket, das gerade auf den Versand wartet:

Paketnummer: SAM-22QX
Inhalt: Smartphone
Absender: Amazon

Zahlen Sie die Versandkosten und geben Sie die Lieferinformationen ein. Ihre Bestellung wird innerhalb von 1-3 Tagen geliefert.

Vervollständigen Sie Ihre Paketzustellung
Grüße
Lina Fischer, Deutsche Post

Kommt in regelmäßigen Abständen über mehrere Tage, wandert ebenso relmäßig direkt in den Papierkorb, ohne gelesen zu werden.

wsvfan55

 

[red_travels]

Gute Spamfilter sollten das eigentlich abwehren.

BTT: und im Familienkreis sind nicht viele Androiden, aber genau die haben die sms schon bekommen und zum Glück nicht geklickt.

 

[Uwe66]

Ich habe die SMS ca. 10 mal letzte Woche bekommen. Meistens erkannte diese mein Android automatisch als Spam. In den letzten Tagen ist nichts mehr angekommen.

Edit:
Habe doch wieder ein paar davon erhalten (alle automatisch als Spam erkannt).
Oh, eine davon sogar mit falsch geschriebenem Nachnamen von mir.