Lücke in Samsungs Ortungsdienst Find my Mobile aufgedeckt

MobileSicherheitSicherheitsmanagement
samsung-galaxy-note-edge (Bild: News.com

Entdecker ist der Sicherheitsforscher Mohamed A. Baset. Ihm zufolge lässt sich ein Galaxy-Smartphone oder -Tablet unter Ausnutzung der Lücke beispielsweise aus der Ferne mit einem beliebigen Code sperren. Ein Angreifer muss dazu eine sogenannte Cross-Site-Request-Forgery-Attacke fahren. Das US-CERT stuft die Schwachstelle mit 7,8 von 10 Punkten ein.

Eine bislang unbekannte Schwachstelle in Samsungs Ortungsdienst Find My Mobile macht Smartphones und Tablets, die damit verknüpft sind, aus der Ferne angreifbar. Der Sicherheitsforscher Mohamed A. Baset führt in zwei Youtube-Videos vor, dass darübr ein Angreifer beispielsweise ein Galaxy-Gerät mit einem nur ihm unbekannten Code sperren oder es klingeln lassen kann.

Angreifer können über Lücke in Samsungs Ortungsdienst Gerätezugriff bekommen.

Laut Baset ist die Ursache dafür der unzureichende Schutz vor Cross Site Request Forgery (CSRF), also Website-übergreifenden Anfragenfälschungen. Was kompliziert klingt, ist in der Praxis einfach durchzuführen: Ein Angreifer muss den Nutzer lediglich dazu bringen, eine von ihm manipulierte Website aufzurufen. Dann erhält er dieselben Rechte wie der autorisierte Nutzer und kann in dessen Namen aber ohne dessen Wissen die von “Find My Mobile” angbotenen Funktionen verwenden.

Das US-CERT bezeichnet die Schwachstelle als CVE-2014-8346. Das davon ausgehende Risiko stuft es als “Hoch” ein (7,8 Punkte auf der 10-Punkte-Skala), die Ausnutzbarkeit mit dem Höchstwert 10,0. “Die Fernsteuerungsfunktion auf Samsungs Mobilgeräten prüft die Quelle des über das Netzwerk empfangenen Sperrcodes nicht, was es Angreifern aus der Ferne erleichtert, einen Denial of Service (Bildschirmsperre mit einem beliebigen Code) zu verursachen, indem sie unerwarteten Find-My-Mobile-Netzwerkverkehr auslösen”, heißt es in einer Sicherheitsmeldung des National Institute of Standards and Technology (NIST).

Samsung hat sich bisher nicht zu der Lücke in seinem Dienst geäußert. Update 29. Oktober 2014, 12 Uhr 18: Samsung hat jetzt zu den Entdeckungen von Mohamed A. Baset Stellung genommen. Wie der Konzern mitteilt, trat das Problem nur in der Web-Nutzeroberfläche der “Find my Mobile”-Funktion auf und wurde durch ein Patch-Update am 13. Oktober bereits behoben. Update Ende Apple hatte in den vergangenen Monaten ebenfalls mit einer Lücke in seinem Ortungsdienst “Mein iPhone suchen” zu kämpfen. Sie gewährte Angreifern Zugriff auf private Fotos von iCloud-Nutzern. Auf diese Weise gelangten etwa Nackfotos von Prominenten an die Öffentlichkeit. Seit Anfang September ist die Lücke geschlossen.



[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen