Het probleem
Alle gsm’s en smartphones reageren op Unstructured Supplementary Service Data (USSD) codes. Dit zijn codes voorafgegaan door een sterretje en eventueel een hekje en gevolgd door een hekje waarmee je bijvoorbeeld het unieke identificatienummer van het toestel kunt oproepen. Probeer het zelf maar eens uit. Open de beller van je gsm of smartphone en type de volgende code (wees gerust, ze is veilig):
*#06#
De gsm zal dan zijn unieke International Mobile Equipment Identity of IMEI op het scherm tonen tonen.
Helaas zijn er ook USSD-codes waarmee je bijvoorbeeld je toestel kunt resetten of wissen.
Heel wat Android-smartphones blijken nu dergelijke USSD-codes uit te voeren zonder de gebruiker eerst om toestemming te vragen. Kwaadwilligen kunnen gevaarlijke USSD-codes verbergen in een url die begint met “tel:”. Dit is een url die door de meeste mobiele browsers direct doorgegeven wordt aan het belprogramma van de telefoon.
Klik je in je Android-browser op een dergelijke url en wordt die automatisch uitgevoerd door de dialer van je telefoon, dan kan er vanalles misgaan. Sommige USSD-codes resetten het apparaat en wissen alle inhoud. Er zijn zelfs USSD-codes die in theorie je SIM-kaart kunnen blokkeren (door bijvoorbeeld meerdere keren een foutieve pin-wijzigingscode uit te voeren met een foutive puk of personal unblocking key).
Is jouw smartphone bedreigd?
Als je nooit op een “tel:” url klikt, kan er je niks gebeuren. Het probleem is dat je dit niet weet: aan een weblink kun je niet zien wat erin steekt, tenzij je steeds de broncode ervan opvraagt, iets wat niet bij alle mobiele browsers mogelijk is en bovendien erg omslachtig werkt. Beter is het van te controleren of jouw toestel gevoelig is voor het lek.
USSD lek op Motorola Atrix MB860 (© ; licentie: )
Maar hoe weet je of jouw smartphone gevoelig is voor het USSD-beveiligingslek? PC World Australië publiceerde een stappenplan. We hebben dat zelf uitgeprobeerd en kunnen bevestigen dat je het veilig kunt volgen. We geven de stappen hierna in het Nederlands, voor de lezers die het Engels niet machtig zijn.
- Bezoek deze testlink in de webbrowser van je smartphone.
- Als de dialer van je telefoon opent met de code “*#06#” is hij niet gevoelig voor het lek en hoef je geen zorgen te maken (je moet natuurlijk een onbekende code nooit “bellen” want dan voer je ze uit en kun je alsnog in de problemen komen).
- Als je telefoon het nummer onmiddelijk belt, dan is hij wel gevoelig voor het lek. Bovenstaande link voert gewoon de veilige code voor het opvragen van het IMEI-nummer uit. Als je dus een pop-upvenster met je IMEI-nummer ziet na het aanklikken van de testlink weet je dat jouw smartphone gevoelig is voor het beveiligingslek. Op onze Motorola Atrix MB660 was het inderdaad prijs, zoals je in de schermafdruk hiernaast kunt zien.
Hoe bescherm je je smarthone?
Als jouw toestel gevoelig is voor het lek en er nog geen patch is van de fabrikant, kun je in Google Play Store meerdere apps vinden om hem te beschermen. 
Wij gebruikten persoonlijk de TelStop app die in het PC World artikel wordt aangeraden. Je kunt ook G Data’s USSD-filter installeren. (Het heeft geen nut beide apps te installeren: kies een van de twee.) Beide apps werken op dezelfde manier: ze vangen url’s die beginnen met “tel:” op en controleren ze op een kwaadaardige USSD.
Bezoek de testlink opnieuw in de webbrowser van je smartphone. Er verschijnt een pop-up die je vraag hoe je de opdracht wil uitvoeren. Kies “TelStop” of “G Data USSD-filer” als standaardactie (“default action”). Daarna krijg je een waarschuwing dat de link verborgen code bevat die mogelijk kwaadaardig is. Gewone telefoonnummers zonder USSD-code worden nog altijd naar de dialer van je telefoon gestuurd.
Je kunt ook de qr code hiernaast scannen; dit zal de testlink eveneens openen.