Eine Sicherheitslücke im vorinstallierten Swift-Keyboard von Samsung-Smartphones ab dem Galaxy S4 bis hin zum aktuellen Flaggschiff Galaxy S6 erlaubt es Angreifern, die komplette Kontrolle über das Gerät zu erlangen. [...]
Die Sicherheitsforscher von NowSecure warnen vor einer Sicherheitslücke in Samsung-Smartphones bis hin zum aktuellen Flaggschiff Samsung Galaxy S6, die es erlaubt, auf dem Gerät Code als priviligierter System-User auszuführen. Der Angreifer muss sich dafür allerdings die Kontrolle über den Netzwerk-Traffic des Users verschaffen, beispielsweise über einen präparierten WLAN-Hotspot, über das lokale Netzwerk oder einen infizierten Router. Dann kann er sich die Lücke in der Software des integrierten SwiftKey-Keyboards auf Samsung-Smartphones zunutze machen. Die App SwiftKey, die sich Nutzer aus dem Apple App Store oder Google Play Store herunterladen können, ist von dem Bug nicht betroffen, wie das Unternehmen gegenüber der Website Android Police mitgeteilt hat. Jedoch reicht es deshalb auch nicht, einfach die App zu installieren oder upzudaten, um die Lücke im integrierten Samsung-Keyboard zu schließen.
Selbst wenn das vorinstallierte und nicht entfernbare Swift-Keyboard nicht als Standard-Keyboardoberfläche des Handys genutzt wird, bleibt es angreifbar, schreibt der Security-Forscher Ryan Welton im NowSecure-Blog. Die Attacke greift, wenn das Keyboard nach Updates sucht – was beim Neustart des Gerätes sowie auch immer wieder zwischendurch passiert. Da die Anfrage an den Update-Server unverschlüsselt im Klartext erfolgt, können Angreifer mit Kontrolle über den Netzwerk-Traffic sich dazwischenschalten, und ein verändertes Update-Paket einschleusen. Durch die priviligierten Rechte als System User ist es ihnen dann möglich, beispielsweise auf Kamera, Mikrofon und GPS des Gerätes zuzugreifen, schädliche Apps ohne Einwilligung des Users zu installieren oder Zugriff auf persönliche Daten wie SMS oder Bilder zu erhalten. Zwar versucht der Update-Mechanismus, über Hash-Werte die Legitimität des Updates zu überprüfen, doch auch diese Sicherheitsvorkehrung lässt sich Welton zufolge aushebeln.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
In diesem Video zeigt Ryan Welton den Angriffsvorgang.
Der von NowSecure geschilderte Weg, Samsung-Smartphones anzugreifen, ist zwar komplex und erfordert einiges an Vorbereitung, scheint aber für einen zielgerichteten Angriff durchaus praktikabel. NowSecure hat Samsung eigenen Angaben zufolge bereits im Dezember 2014 informiert, ebenso wie das US-CERT sowie das Android Security Team. Samsung habe Anfang 2015 damit begonnen, Patches an Netzbetreiber auszuliefern, die die Lücke schließen. Allerdings sei es für den einzelnen Nutzer nur schwer herauszufinden, ob sein Gerät vom Netzbetreiber bereits einen Patch erhalten hat, der die Lücke schließt, so NowSecure. Daher empfiehlt das Unternehmen Nutzern von Samsung-Geräten ab dem S4/S4 Mini bis hin zum Samsung Galaxy S6, unsichere WLAN-Netzwerke zu meiden, ihren Netzbetreiber wegen des Patches zu kontaktieren sowie im Zweifelsfall auf ein anderes Smartphone umzusteigen.
Eine Anfrage von Computerwelt.at bei Samsung Österreich, inwieweit österreichische Netzbetreiber und deren Kunden (noch) von der Lücke betroffen sind, läuft derzeit. Samsungs Stellungnahme wird nach ihrem Eintreffen hier als Update veröffentlicht. (rnf)
UPDATE: Hier nun das offizielle Statement von Samsung Österreich zu der Sicherheitslücke: „Das Thema Sicherheit hat bei Samsung höchste Priorität. Der aktuelle Fall ist uns bekannt, und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der S4-Serie mit der Samsung KNOX Plattform geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung KNOX erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air upzudaten, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird in ein paar Tagen gestartet. Zusätzlich arbeiten wir auch eng mit SwiftKey zusammen, um zukünftige Risiken zu minimieren.“
Be the first to comment