600 Millionen Samsung-Smartphones durch Lücke in Drittanbieter-Software angreifbar

SicherheitSicherheitsmanagement
Samsung Galaxy A3 und Galaxy A5 (Bild: Samsung)

Die Schwachstelle findet sich in der vorinstallierten Drittanbieter-Tastatursoftware SwiftKey. Für Updates nutzt diese eine unverschlüsselte Verbindung. Darüber kann dann Schadcode eingeschleust und ausgeführt werden. Auch das Abhören von Telefongesprächen ist möglich.

Das auf Mobilgeräte spezialisierte Sicherheitsunternehmen NowSecure hat vor einer Sicherheitslücke in Samsung-Smartphones gewarnt. Sie befindet sich in der Software der SwiftKey-Tastatur, die Schätzungen von NowSecure zufolge auf über 600 Millionen Mobiltelefonen installiert ist. Ein Angreifer könnte aus der Ferne gegebenenfalls die vollständige Kontrolle über ein betroffenes Gerät übernehmen.

Die Lücke in der SwiftKey-Tastatur bedroht auch die Modelle Samsung Galaxy A3 und Galaxy A5 (Bild: Samsung)

Entdeckt wurde die Anfälligkeit durch den NowSecure-Mitarbeiter Ryan Welton. Die Update-Funktion der SwiftKey-Tastatur verwendet bei der Suche nach neuen Sprachpaketen ihm zufolge eine unverschlüsselte Verbindung, über die sie Daten im Klartext empfängt. Über einen manipulierten Proxy-Server ist es ihm gelungen, beliebige Dateien einzuschleusen, die dann mit Systemrechten ausgeführt werden konnten.

Das ermöglichte es ihm nicht nur, Malware einzuspielen, sondern auch auf dem System installierte Apps zu verändern, ein- und ausgehende Nachrichten sowie Sprachanrufe abzugreifen und persönliche Informationen wie Bilder und Textnachrichten auszulesen. Überdies erhielt er Zugriff auf Hardware-Komponenten wie GPS, Kamera und Mikrofon.

Offenbar ist Samsung das Problem bereits seit Dezember 2014 bekannt. Darüber hinaus hat NowSecure das US-Computer Emergency Response Team (US-CERT) und ebenso Googles Android Security Team informiert. Anfang 2015 habe Samsung mit der Verteilung eines Patches an Mobilfunkbetreiber begonnen, heißt es seitens NowSecure. Es sei jedoch nicht bekannt, welche Anbieter das Update auch an ihre Kunden weitergegeben haben und wie viele Geräte immer noch ungepatcht sind.

Als Beispiele für anfällige Geräte nennt NowSecure das aktuelle Topmodell Galaxy S6 sowie dessen Vorgänger Galaxy S5, Galaxy S4 und Galaxy S4 Mini. Das Unternehmen verweist zudem darauf, dass die vorinstallierte SwiftKey-Tastatur nicht deinstalliert werden kann und auch dann ein Sicherheitsrisiko darstellt, wenn sie nicht eingesetzt wird. Anwendern empfiehlt das Unternehmen, bei ihrem Mobilfunkprovider Informationen über den Patch einzuholen. Zudem sollten sie unsichere WLAN-Netzwerke meiden oder gar ein anderes Mobiltelefon benutzen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen