Bundesamt für Sicherheit in der Informationstechnik

G 5.194 Einschleusen von GSM-Codes in Endgeräte mit Telefonfunktion

GSM -Codes (oder auch USSD- oder MMI-Codes) bestehen aus Zahlenkombinationen, die mit Stern, Raute oder beidem beginnen bzw. enden. Sie veranlassen das Endgerät dazu, bestimmte Funktionen auszuführen. Ein bekannter GSM-Code ist *#06#, der bei allen Endgeräten mit Telefonfunktion dazu führt, dass die international eindeutige Geräteidentifikationsnummer ( IMEI -Nummer) im Display angezeigt wird. Im Weiterem können mit GSM-Codes auch die PIN und die PUK geändert werden.

Neben den GSM-Codes gibt es noch herstellerspezifische Codes, die beispielsweise das Gerät in den Werkszustand versetzen oder Servicemenus aufrufen. Eine weitere Klasse von Codes ist abhängig vom Netzbetreiber- bzw. Mobilfunkanbieter z. B. um das Guthabenkonto abzufragen.

Eine Gefährdung für die Informationssicherheit entsteht dadurch, dass diese GSM-Codes nicht nur durch direkte Eingabe am Gerät, sondern auch über andere Schnittstellen an die Endgeräte übergeben werden können. So können entsprechend konfigurierte Internetseiten GSM-Codes über den Browser an das Endgerät übermitteln. Auch QR-Codes (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes ) können GSM-Codes enthalten und nach dem Einscannen an das Endgerät weitergeben. Zudem ist es möglich, über die "Near-Field-Communication"-Schnittstelle (NFC-Schnittstelle) solche Codes einzuschleusen. Dadurch ist es Angreifern möglich, zum Beispiel Schadsoftware zur Datenspionage auf dem Gerät zu installieren oder die SIM-Karte zu sperren.

Beispiele:

  • Auf einer von Angreifern präparierten Internetseite ist der GSM-Code für dreimaliges Ändern der PIN und anschließendes zehnmaliges Ändern der PUK enthalten. Ein Mitarbeiter besucht mit seinem Smartphone die Internetseite und der GSM-Code wird an sein Gerät übermittelt. Danach ist die SIM-Karte so gesperrt, dass es für den Benutzer nicht mehr möglich ist, diese ohne Hilfe der IT-Abteilung zu entsperren.
  • Angreifer haben den QR-Code auf einem Werbeplakat mit einem anderen QR-Code überklebt. Dieser enthält nun, statt eines Links zu einer Internetseite mit weiteren Informationen, den GSM-Code für einen Firmware-Reset. . Ein solcher Vorfall gefährdet nicht nur die Informationssicherheit, sondern schädigt auch die öffentliche Reputation der jeweiligen Institution, von der das Poster stammt.

Stand: 14. EL Stand 2014