G 5.194 Einschleusen von GSM-Codes in Endgeräte mit Telefonfunktion

GSM-Codes (oder auch USSD- oder MMI-Codes) bestehen aus Zahlenkombinationen, die mit Stern, Raute oder beidem beginnen bzw. enden. Sie veranlassen das Endgerät dazu, bestimmte Funktionen auszuführen. Ein bekannter GSM-Code ist *#06#, der bei allen Endgeräten mit Telefonfunktion dazu führt, dass die international eindeutige Geräteidentifikationsnummer (IMEI-Nummer) im Display angezeigt wird. Im Weiterem können mit GSM-Codes auch die PIN und die PUK geändert werden.

Neben den GSM-Codes gibt es noch herstellerspezifische Codes, die beispielsweise das Gerät in den Werkszustand versetzen oder Servicemenus aufrufen. Eine weitere Klasse von Codes ist abhängig vom Netzbetreiber- bzw. Mobilfunkanbieter z. B. um das Guthabenkonto abzufragen.

Eine Gefährdung für die Informationssicherheit entsteht dadurch, dass diese GSM-Codes nicht nur durch direkte Eingabe am Gerät, sondern auch über andere Schnittstellen an die Endgeräte übergeben werden können. So können entsprechend konfigurierte Internetseiten GSM-Codes über den Browser an das Endgerät übermitteln. Auch QR-Codes (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes) können GSM-Codes enthalten und nach dem Einscannen an das Endgerät weitergeben. Zudem ist es möglich, über die "Near-Field-Communication"-Schnittstelle (NFC-Schnittstelle) solche Codes einzuschleusen. Dadurch ist es Angreifern möglich, zum Beispiel Schadsoftware zur Datenspionage auf dem Gerät zu installieren oder die SIM-Karte zu sperren.

Beispiele: