Anzeige
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Security: Unverschlüsselte App-Updates gefährden Samsungs Smartphones

Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Wenn Apps ihre Aktualisierungen unverschlüsselt abholen, sind sie leicht zu manipulieren. Vor allem bei systemnahen Anwendungen ist das ein gravierendes Problem, wie ein aktueller Fall belegt, der vor allem die Galaxy-Reihe von Samsung betrifft.

Anzeige

Es ist eine gefährliche Kombination: Updates für systemnahe Apps, die unverschlüsselt übermittelt werden, und Patches, die nur schleppend an Kunden weitergegeben werden. Ein aktueller Fall betrifft die Tastatur-App, die Samsung unter anderem auf Smartphones seiner S-Reihe mitliefert. IT-Sicherheitsexperten bei Nowsecure haben einen Weg gefunden, regelmäßig angeforderte Updates für die App zu manipulieren und sich so weitgehenden Zugriff auf betroffene Mobiltelefone zu verschaffen. Samsung hat längst ein Patch dafür bereitgestellt. Der wird aber offensichtlich nur langsam verteilt.

Für seine Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4 - hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachtet haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer ein ebenfalls manipuliertes Update einschleusen.

Die App lässt sich nicht stoppen

Voraussetzung für einen solchen Angriff ist natürlich, dass das angegriffene Smartphone eine Verbindung in einem unverschlüsselten WLAN aufbaut, in dem der Angreifer mit entsprechenden Werkzeugen bereits wartet. Angesichts der Zugriffsmöglichkeiten, die eine manipulierte, systemnahe App wie die Tastatur bietet, dürfte das ein lukratives Unterfangen für Kriminelle sein.

Ein weiteres Problem ist in diesem speziellen Fall, dass Anwender nichts dagegen unternehmen können. Zwar kann auf die Standardtastatur von Android umgestellt oder sogar eine alternative Tastatur-App installiert werden. Allerdings hält dies die betroffene App nicht davon ab, weiterhin regelmäßig Kontakt zum Swiftkey-Server aufzubauen. Und sie lässt sich auch nicht deinstallieren. Die offizielle Tastatur-App von Swiftkey selbst ist übrigens von der Schwachstelle nicht betroffen, wie der Hersteller versichert und auch die Experten bei Nowsecure bestätigen. Deren Updates werden über Googles Play Store verteilt.

Problem erkannt, aber nicht gebannt

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig ein Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Hier ist Samsung aber auch auf die Provider angewiesen, die den Patch an ihre Kunden weitergeben müssen.

Das habe offensichtlich nur unzureichend geklappt, berichtete Ryan Welton von Nowsecure vor wenigen Tagen auf der IT-Sicherheitskonferenz Black Hat Europe in London. Dort demonstrierte er den Angriff auf einem Galaxy S5 von Verizon. Auf Galaxy-S6-Geräten der Provider Verizon und Sprint soll der Angriff ebenfalls noch möglich sein. Welton geht davon aus, dass mehrere Millionen Geräte weiterhin gefährdet sind und hat diese beim CERT gemeldet. Auf der Webseite des IT-Sicherheitsunternehmens gibt es eine noch unvollständige Liste der verwundbaren Geräte der Provider Sprint, T-Mobile und Verizon. Inwieweit Geräte deutscher Provider betroffen sind, ist noch nicht bekannt.

Nachtrag vom 17. Juni 2015, 18:30 Uhr

Samsung teilte uns Folgendes mit: "Der aktuelle Fall ist uns bekannt, und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der S4-Serie mit der Samsung-KNOX-Plattform geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung KNOX erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air upzudaten, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird in ein paar Tagen gestartet. Zusätzlich arbeiten wir auch eng mit Swiftkey zusammen, um zukünftige Risiken zu minimieren."


eye home zur Startseite
Anonymer Nutzer 18. Jun 2015

Nein,leider besteht die offizielle Aussage von Google aus zwei sehr speziellen Sätzen...

Anonymer Nutzer 17. Jun 2015

Er hat den Text aber maximal nur überflogen und unter solchen Vorraussetzungen kann man...

waswiewo 17. Jun 2015

Ähm ... weil du den Artikel nicht gelesen hast?

Kommentieren



Anzeige

Stellenmarkt
  1. MaibornWolff GmbH, München, Frankfurt am Main, Berlin
  2. Daimler AG, Stuttgart
  3. Ludwig-Maximilians-Universität (LMU) München, München
  4. GENTHERM GmbH, Odelzhausen


Anzeige
Top-Angebote
  1. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  2. NUR FÜR KURZE ZEIT: Adobe Photoshop Elements & Premiere Elements 14 (PC/Mac)
    69,90€ inkl. Versand
  3. NEU: Blu-rays zum Sonderpreis

Weitere Angebote


Folgen Sie uns
       


  1. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  2. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  3. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  4. Schalke 04

    Erst League of Legends und nun Fifa

  5. Patentverletzungen

    Qualcomm verklagt Meizu

  6. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  7. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  8. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  9. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  10. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Re: Frauen in der EDV ...

    Cane | 00:01

  2. Re: Warum nicht gleich nen vollautomatisiertes...

    neocron | 27.06. 23:48

  3. Tor ist unsicher geworden

    Thomas Kraal | 27.06. 23:45

  4. Re: es gibt KEINE Entgeldlücke in Deutschland

    casaper | 27.06. 23:38

  5. Re: Wieder nach Hause geschickt zu werden

    Snoozel | 27.06. 23:31


  1. 18:37

  2. 17:43

  3. 17:29

  4. 16:56

  5. 16:40

  6. 16:18

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel