Artikel empfehlen

Samsung: Neue Sicherheitslücken in Galaxy-Geräten, langsame Reaktion des Herstellers


22.03.2013, 10:43 Uhr

samsung-galaxy-s3-mini-rueckseite-samsung-schriftzug

Ein aktueller Report besagt, dass in diversen Samsung Galaxy-Geräten älterer und neuerer Generation eklatante Sicherheitslücken existieren, die einem Angreifer theoretisch volle Kontrolle über das System ermöglichen. Obwohl Samsung die Probleme bereits mehr als zwei Monate bekannt sind, hat der Konzern bislang nur unzureichend reagiert.

Immer wieder werden Sicherheitslücken in Samsungs Implementation von Android bekannt, zuletzt etwa die direkte Ausführung von USSD-Codes ohne Nachfrage, dank der man durch Scannen eines QR-Codes ein Gerät auf Werkszustand zurücksetzen konnte oder der bekannte Exynos-Bug. Das muss nicht heißen, dass es bei den Koreanern mehr Lücken gibt als bei anderen Herstellern; aufgrund der Marktdominanz des Konzerns geben Galaxy S3 und Co. aber natürlich ein lohnenswertes Ziel für Angreifer ab.

Da TouchWiz und Nature UX erheblich mehr sind als ein bloßes Skin für Android, und Android im Kern an so vielen Ecken und Enden modifizieren, dass man sie als Fork begreifen kann, sollte man Samsung auch als Softwareentwickler verstehen. Und ein solcher trägt eine besondere Verantwortung gegenüber seinen Produkten. Ein aktueller Bericht zeigt, dass Samsung dieser Verantwortung nur unzureichend nachkommt, wenngleich teilweise auch durch Fremdeinflüsse, namentlich der Firmware-Politik einiger Netzbetreiber, verschuldet.

Der italienischer Hacker Roberto Paleari hatte sich vor einigen Wochen mit seinem Samsung Galaxy Tab und dem Galaxy S3 näher befasst. Soll heißen: Die Geräte auf potentielle Schwachstellen überprüft. Dabei stieß er auf diverse schwere Sicherheitslücken, die von Angreifern genutzt werden könnten, um über eine App ohne spezielle Berechtigungen

  • andere Apps mit mehr Berechtigungen „silent“, also ohne Nutzernachfrage, zu installieren.
  • SMS senden ohne die entsprechende Berechtigung zu besitzen
  • so gut wie jede denkbaren Aktion am Gerät auszuführen – vom Senden von SMS über E-Mails bis hin zu Anrufen und
  • Einstellungen zu ändern, etwa Netzwerk- oder Internetkonfigurationen.

Dieses Video zeigt den Proof of Concept eines der Probleme, der Silent-Installation einer weiteren App:

Dass solche Lücken genutzt werden könnten, um erheblichen Schaden anzurichten – auch jenseits der naheliegenden SMS-Premiumdienste –, liegt auf der Hand. Zum Hacker-Ethos gehört glücklicherweise, vor der Veröffentlichung von Sicherheitslücken zunächst das Unternehmen zu kontaktieren und ihm hinreichend Zeit zur Behebung der Schwachstellen zu gewähren, allerdings mit der impliziten Drohung, die Lücken nach Ablauf der Frist zu veröffentlichen – das Konzept nennt sich Responsible disclosure. Ohne diesen Druck würden viele Unternehmen die Lücken ignorieren oder gar den Hacker juristisch belangen, dafür gibt es in der Geschichte der Sicherheitsforschung diverse Beispiele. So hat der Konzern die Möglichkeit, mit geringeren Image-Folgen die Probleme anzugehen; wenn sie gelöst sind, kann der Forscher die Lücken veröffentlichen.

Nach dem Responsible disclosure-Prinzip kontaktierte Paleari Samsung, Anfang und Mitte Januar erhielten die Koreaner jeweils Mails mit Beschreibungen der Sicherheitslücken. Samsung meldete sich jedoch nie mit einer definitiven Zusage zurück, diese Lücken zu beheben. Erst am 20. Februar dieses Jahres erhielt er die Bitte, die Veröffentlichung der Informationen noch zurückzuhalten, da es dauere, bis alle Netzbetreiber Samsungs aktualisierte Firmware genehmigt hätten. Einen Monat später war immer noch nichts von Seiten Samsungs geschehen, sodass sich Paleari am Dienstag dieser Woche entschloss, zumindest die möglichen Effekte der Lücken zu veröffentlichen.

Natürlich ist es eine Mammutaufgabe, Sicherheitslücken zu identifizieren, zu beheben und millionenfach OTA-Updates zu verteilen, insbesondere, wenn man als Hersteller von Android-Hardware eine große Vielfalt von Geräten im Portfolio hat. Dass die Netzbetreiber eine große Rolle spiele, insbesondere, weil diese jede Firmware auf gebrandeten Geräten umfassend testen müssen, bevor sie eine Freigabe erhalten, ist ein immanentes Problem des Android-Ökosystems; in den USA dank der Marktmacht von Verizon und Co. allerdings eklatanter als in Europa.

Trotzdem wäre wünschenswert, wenn Samsung adäquat reagieren würde und eine „standardisierte“ Vorgehensweise für solche Fälle hätte, in denen Hacker proaktiv Fehler melden. Dazu gehört, in einen Dialog mit dem Forscher zu treten, Lücken zumindest in einem vertretbaren Ausmaß öffentlich zu kommunizieren, sie selbstverständlich schnell zu beheben und Anweisungen an Nutzer herauszugeben, wie diese Lücken zumindest bis zum Rollout des Patches gemieden werden können.

Quelle: Random Thoughts [via Codeworkx @ G+]

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 4.67 von 5 - 6 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

Verwandte Artikel