lässt sich ein Android System hacken wenn der Täter nur die Handynummer hat?

Ich denke, der "Kollege" hat sich ein wenig undeutlich ausgedrückt. Im Grunde reicht es wirklich, wenn man die Handynummer alleine kennt. Dadurch alleine kann man das System aber noch nicht infiltrieren. Dazu müsste man ein wenig anders vorgehen.

Der erste Schritt wäre es, eine Website aufzusetzen, in der Schadcode/ein Backdoor-Programm oder ähnliches verborgen ist, das sich über einen Drive-By-Download installieren ließe.

Der zweite Schritt wäre, eine SMS/MMS oder eine Nachricht per WhatsApp (Hier werden die Kontakte ja auch über die Handynummer zugeordnet) zu senden.

Nun müßte der Besitzer des Handys natürlich den Link aufrufen um so auf die Seite zu kommen. Und da haben wir den ersten Knackpunkt. Wenn die Dame dem Link nicht folgt passiert nix. Zudem, wenn die Installation aus fremden Quellen deaktiviert ist, sondern nur Apps aus dem Play Store installiert werden können, ist der ganze Aufwand so oder so umsonst.

In Bilder kann man in Android KEINE APPS einbauen und selbst wenn: Einfach die Installation von Apps außerhalb des Stores nicht aktivieren, dann passiert auch nichts. In dem Fall kann auch ein App-Entwickler tausendmal behaupten er könne das Handy nur durch die Handynummer "hacken".

Wenn du das Handy komplett zurücksetzt (Werkszustand) sollte die App auch weg sein. Ein Handy rooten ist ja nicht so schwer, das Problem ist allerdings, das Spionageapps doch schon meist Rootrechte benötigen, das sie Sinn machen. Also würde das "entrooten" die App so oder so wieder außer Gefecht setzen.

Natürlich kann er die App auch einfacher einschleusen, in dem er versucht diese App per Mail etc. zu senden, aber wie gesagt: Wenn am Handy die Installation aus Fremdquellen deaktiv ist, passiert nix.

Es gab auch mal einen Hack, der das Handy per USSD-Code löschen konnte, das war es aber auch schon.

Ja auf Werkseinstellungen zurücksetzen (data wipe) und dazu noch zur Sicherheit eine stock Rom flashen (falls er mit mit root Rechten seine Tools im System versteckt hat).
Die Ordner, Bilder und co auf der SD sind unproblematisch, das wird von Android nicht ausgeführt, nur die installierten Apps können gefährlich werden.

Jedenfalls kann man Android nicht einfach so "hacken", das Opfer muss unbekannte Quellen manuell aktiviert haben, eine App (apk) absichtlich von einer Website oder Mail öffen und noch die Installation bestätigen und die installierte App danach auch öffnen, davor passiert gar nichts.
Der Typ wollte sie nur Einschüchtern...

Hallo,
um mal etwas „herumzutheoretisieren“.
Es gibt die theoretische Möglichkeit Daten wie z.B. ein Bild so zu manipulieren, dass eine spezielle (fehlerhafte) Routine zum lesen bzw. interpretieren dieses Bildes automatisch einen Virus erzeugt der mit Rechten des Bildanzeigeprogrammes läuft und sich so in das System eingraben kann. Wenn es die Routine eines einzelnen Bildanzeigeprogrammes ist, dann kann der Angreifer auch nur dieses Bildanzeigeprogramm für seinen Angriff nutzen. Wenn es eine Betriebssystemroutine ist, dann kann jedes Programm welches diese Routine nutzt bei einem solchen Angriff genutzt werden.

Letztlich handelt es sich meist um Stack oder Array Overflow Fehler. Je mehr ein Betriebssystem (bzw. die Programmierer) auf eine MMU setzt um so eine strickte Trennung von Daten- und Code- sowie System- und User-Space zu erreichen, um so unwahrscheinlicher wird ein solcher zufälliger Fehler. Ich unterstelle mal, dass Android und die Hardware auf der es i.a. läuft diesbezüglich sehr gewissenhaft entwickelt wurden.

So etwas ist theoretisch natürlich auch bei anderen Daten wie SMS möglich. Wenn also eine bestimmte Software jede einkommende SMS liest um diese anzuzeigen, dann könnte theoretisch ein Fehler in dieser Software genutzt werden um einen Virus mit den Rechten dieser Routine zu installieren. Dazu muss die vorhandene Software aber schon (vermutlich absichtlich durch NSA oder so) so beschaffen sein, dass eine in der Länge doch sehr beschränkte „Short Message Service “ Schaden anrichten kann. Ich kann mir nicht vorstellen, dass so ein Software-Fehler im Falle einer SMS unabsichtlich passieren kann. Stille SMS kann man evtl. als so eine absichtliche fehlerhafte Soft-(oder Hard?) ware betrachten. Hier wird eine SMS versendet die durch den Empfänger nicht bemerkt werden kann und anhand derer Staatliche Stellen ein Handy orten können.

Siehe www dot sueddeutsche dot de/digital/handy-ortung-ueberwachung-mittels-stiller-sms-nimmt-zu-1.1764125

Ich halte das einschleusen von Viren durch SMS für eine nur theoretische Möglichkeit. Aber eine Möglichkeit bei der ein Virus, wenn er über einen Systemdienst geladen wird, volle Root-Rechte erhalten kann.

Größere Daten wie MMS könnten natürlich besser für solche Viren benutzt werden. Ebenso E-Mail (Header und/oder eingebundenes Bild oder....) oder Webseiten die Fehler in Browsern ausnutzen.... . Dass so etwas in speziellen Fällen wirklich funktioniert glaube ich erst wenn es für diesen speziellen Fall nachgewiesen ist. Aber allgemein ist das ein Grund mehr weshalb ich allen Rechnern oder sonstigen Geräten mit denen ich Online gehe misstraue. Ich denke aber mindestens 99% aller Infektionen gehen auf menschliche Dummheit/Unachtsamkeit des Users und nicht auf so seltsame Angriffe zurück.

Wenn jemand so einen genialen Hack kennt, dann nutzt er den nicht für so etwas bescheuertes.

Daher schließe ich mich Hippo an „Der Typ wollte sie nur Einschüchtern... “.

Bye
Alexander
Get än bestuet, da get än veruet; sterft än, da get än gelueft.