Mi. 17. Juni 2015 um 17:43

Samsung Tastatur mit Sicherheitslücke auf 600 Millionen Geräten

von Marc Hoffmann0 Kommentare

Samsung setzt auf seinen Smartphones ab Werk eine lizensierte Version der Swift Key Tastatur ein. Insgesamt ist diese schätzungsweise auf 600 Millionen Smartphones des Herstellers installiert. Nun wurde aber eine Sicherheitslücke entdeckt, welche es erlaubt, über die Tastatur schädlichen Code auf Smartphones einzuschleusen. Dieser Code ermöglicht es Dritten, die volle Kontrolle über das Smartphone und dessen Daten zu erlangen. Diese betrifft das Update System der Tastatur, über welches aktualisierte Wörterbücher geladen werden.

 

Viele Tastaturen auf Smartphones laden in regelmässigen Abständen neue Wörterbücher herunter, um immer auf dem neuesten Stand zu sein und bessere Vorschläge und Korrekturen anbieten zu können. Im Falle der Samsung Tastatur, welche auf dem System von Swift Key basiert, geschieht dieses Update allerdings unverschlüsselt, was es ermöglicht, in diesen Prozess einzugreifen. Ein arglistige Person, welche sich im gleichen Netzwerk befindet wie das Smartphone, könnte die Serveranfrage der Tastatursoftware abfangen und anstelle eines neuen Wörterbuches fremden Code einschleusen. Damit kann auch ausführbarer Code auf das Smartphone gebracht werden, welcher dann mit den Systemberechtigungen der Tastatur ausgeführt wird. Dadurch hätte jemand Fremdes vollen Zugriff auf das Smartphone, Anwendungsdaten und auch persönliche Informationen.

 

Samsung Geräte seit dem Galaxy S4 gefährdet

Samsung ist bereits seit Dezember 2014 über dieses Sicherheitsleck informiert und hat auch bereits ein Update an Mobilfunkbetreiber ausgegeben. Allerdings ist noch nicht klar, an welche Geräte dieses bereits ausgeliefert wurde. Aktuell sind noch immer eine ganze Menge Samsung Modelle unterwegs, bei denen dieses Leck noch nicht gestopft wurde. Betroffen sind dabei unter anderem die Modelle der Galaxy S4 und S4 Mini Reihe, sowie die Modelle Galaxy S5 und Galaxy S6 sowie dessen Schwestermodell Galaxy S6 Edge.

 

Das grösste Problem stellt vor allem dar, dass die Samsung Tastatur nicht deinstalliert werden kann, da diese Bestandteil des Systems ist. Auch die Installation einer alternativen Tastatur bringt nur bedingt Abhilfe, da das Update System der original Tastatur weiterhin im Hintergrund arbeitet. Die original Swift Key Tastatur ist dagegen nicht betroffen, da die Updates hier verschlüsselt übertragen werden. Auch andere Hersteller, welche das SwiftKey System einsetzen, wie beispielsweise Sony, sind hier auf der sicheren Seite. Es bleibt also zu hoffen, dass bald ein Update für die Tastatur auf alle betroffenen Geräte ausgerollt wird.

 

Update: Wir haben ein Statement des Pressesprechers von Samsung Schweiz, Gordon Müller, zu dem Thema erhalten:

Der vorliegende Fall ist uns bekannt und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der Galaxy S4-Serie mit der Plattform Samsung Knox geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung Knox erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air zu aktualisieren, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird so schnell wie möglich gestartet. Zudem arbeiten wir eng mit SwiftKey zusammen, um allfällige zukünftige Risiken zu minimieren.

 

Quelle: ZDNet, Samsung Schweiz

Das könnte Sie auch interessieren

Schreibe einen Kommentar

Teilen