Abo
  • Services:
Anzeige
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Security: Unverschlüsselte App-Updates gefährden Samsungs Smartphones

Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Wenn Apps ihre Aktualisierungen unverschlüsselt abholen, sind sie leicht zu manipulieren. Vor allem bei systemnahen Anwendungen ist das ein gravierendes Problem, wie ein aktueller Fall belegt, der vor allem die Galaxy-Reihe von Samsung betrifft.

Anzeige

Es ist eine gefährliche Kombination: Updates für systemnahe Apps, die unverschlüsselt übermittelt werden, und Patches, die nur schleppend an Kunden weitergegeben werden. Ein aktueller Fall betrifft die Tastatur-App, die Samsung unter anderem auf Smartphones seiner S-Reihe mitliefert. IT-Sicherheitsexperten bei Nowsecure haben einen Weg gefunden, regelmäßig angeforderte Updates für die App zu manipulieren und sich so weitgehenden Zugriff auf betroffene Mobiltelefone zu verschaffen. Samsung hat längst ein Patch dafür bereitgestellt. Der wird aber offensichtlich nur langsam verteilt.

Für seine Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4 - hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachtet haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer ein ebenfalls manipuliertes Update einschleusen.

Die App lässt sich nicht stoppen

Voraussetzung für einen solchen Angriff ist natürlich, dass das angegriffene Smartphone eine Verbindung in einem unverschlüsselten WLAN aufbaut, in dem der Angreifer mit entsprechenden Werkzeugen bereits wartet. Angesichts der Zugriffsmöglichkeiten, die eine manipulierte, systemnahe App wie die Tastatur bietet, dürfte das ein lukratives Unterfangen für Kriminelle sein.

Ein weiteres Problem ist in diesem speziellen Fall, dass Anwender nichts dagegen unternehmen können. Zwar kann auf die Standardtastatur von Android umgestellt oder sogar eine alternative Tastatur-App installiert werden. Allerdings hält dies die betroffene App nicht davon ab, weiterhin regelmäßig Kontakt zum Swiftkey-Server aufzubauen. Und sie lässt sich auch nicht deinstallieren. Die offizielle Tastatur-App von Swiftkey selbst ist übrigens von der Schwachstelle nicht betroffen, wie der Hersteller versichert und auch die Experten bei Nowsecure bestätigen. Deren Updates werden über Googles Play Store verteilt.

Problem erkannt, aber nicht gebannt

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig ein Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Hier ist Samsung aber auch auf die Provider angewiesen, die den Patch an ihre Kunden weitergeben müssen.

Das habe offensichtlich nur unzureichend geklappt, berichtete Ryan Welton von Nowsecure vor wenigen Tagen auf der IT-Sicherheitskonferenz Black Hat Europe in London. Dort demonstrierte er den Angriff auf einem Galaxy S5 von Verizon. Auf Galaxy-S6-Geräten der Provider Verizon und Sprint soll der Angriff ebenfalls noch möglich sein. Welton geht davon aus, dass mehrere Millionen Geräte weiterhin gefährdet sind und hat diese beim CERT gemeldet. Auf der Webseite des IT-Sicherheitsunternehmens gibt es eine noch unvollständige Liste der verwundbaren Geräte der Provider Sprint, T-Mobile und Verizon. Inwieweit Geräte deutscher Provider betroffen sind, ist noch nicht bekannt.

Nachtrag vom 17. Juni 2015, 18:30 Uhr

Samsung teilte uns Folgendes mit: "Der aktuelle Fall ist uns bekannt, und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der S4-Serie mit der Samsung-KNOX-Plattform geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung KNOX erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air upzudaten, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird in ein paar Tagen gestartet. Zusätzlich arbeiten wir auch eng mit Swiftkey zusammen, um zukünftige Risiken zu minimieren."


eye home zur Startseite
Anonymer Nutzer 18. Jun 2015

Nein,leider besteht die offizielle Aussage von Google aus zwei sehr speziellen Sätzen...

Anonymer Nutzer 17. Jun 2015

Er hat den Text aber maximal nur überflogen und unter solchen Vorraussetzungen kann man...

waswiewo 17. Jun 2015

Ähm ... weil du den Artikel nicht gelesen hast?



Anzeige

Stellenmarkt
  1. Neoperl GmbH, Müllheim
  2. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm
  3. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg, Wolfsburg
  4. Worldline GmbH, Aachen


Anzeige
Blu-ray-Angebote
  1. 23,94€ (Vorbesteller-Preisgarantie)
  2. 149,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Jetzt ist sie raus. Ich habe mehr erwartet.

    Pjörn | 06:32

  2. Re: Was ist eine Distribution...

    Pjörn | 06:17

  3. Re: Was? Kann doch gar nicht sein.

    Ovaron | 05:11

  4. Re: 30 Stunden auf Abruf ?!?

    Gromran | 04:18

  5. Re: Desktop-Android - Clickbait at it's best!

    ve2000 | 03:08


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel