Viele Handys erkennen spezielle URLs mit der Kennung tel: als Telefonnummer, die beim Öffnen angerufen werden kann. Manche akzeptieren dabei auch URLs mit Steuercodes, über die man etwa eine neue PIN setzen oder einen Hardware-Reset einleiten kann. Im schlimmsten Fall wird diese Aktion dann sogar automatisch beim Öffnen einer bösartigen Web-Seite oder sogar schon beim Lesen einer WAP-Push-Nachricht ausgelöst. Dies ist bei einer ganzen Reihe von Android-Smartphones der Fall. Nur Geräte mit Android-Version 4.1.1 Jelly Bean sollten Imun sein, da Google das Problem dort beseitigt hat.

Diese Demo-Seite Hier enthält die harmlose Zeichenfolge *%2306#, die lediglich eine Seriennummer des Geräts anzeigt (die IMEI, eine eindeutige ID jedes Handys). Konkret ist die URL tel:*%2306%23 als IFrame eingebettet.

Zeigt Ihr Gerät auf dieser Demo-Seite ohne Nachfrage die IMEI an, haben Sie unter Umständen ein Problem.
Im schlimmsten Fall kann etwa eine bösartige Web-Seite oder auch eine gezielt an Sie geschickte Nachricht ihr Handy manipulieren. Konkret gefährdet sind derzeit bestimmte Samsung-Modelle, für die ein Lösch-Code bekannt ist. Bei Smartphones von HTC und Motorola gelang es heise.de, beim Aufruf einer speziellen Web-Seite die SIM-Karte zu sperren.

Passiert auf dieser Demo-Seite gar nichts oder erscheint zwar die Telefon-App, aber Sie können entscheiden, was Sie mit der angezeigten Nummer machen, brauchen Sie sich keine Sorgen zu machen. Schützen kann man sich derzeit nur durch die Installation eines speziellen Progrämmchens wie TelStop, das alle tel:-URLs abfängt und im Zweifelsfall dem Anwender die Wahl überlässt, was er damit machen möchte.

Quelle: www.heise.de