Android: Forscher entdeckt Lücken in vorinstallierten Samsung-Apps

Drei der insgesamt 17 Sicherheitslücken in den vorinstallierten Apps wurden noch nicht behoben.

Artikel veröffentlicht am ,
Samsung Smartphone S20
Samsung Smartphone S20 (Bild: Daniel Romero/Unsplash)

Der Sicherheitsforscher Sergey Toshin hat die vorinstallierten Apps auf Smartphones von Samsung untersucht und etliche Sicherheitslücken entdeckt. Drei davon seien jedoch so schwerwiegend, dass der Sicherheitsforscher keine detaillierten Informationen dazu veröffentlichen möchte, bis sie gepatcht sind.

Stellenmarkt
  1. Tech Lead - Engineering Operations (m/f/x)
    finn GmbH, München
  2. Business Analystin / Business Analyst Reporting (m/w/d)
    GKV-Spitzenverband, Berlin
Detailsuche

Demnach können mit zwei Sicherheitslücken beliebige Dateien mit erhöhten Rechten gelesen und/oder geschrieben werden - ohne Benutzerinteraktion, wie er dem Onlinemagazin Bleepingcomputer berichtet. Mit der dritten Lücke sei es möglich, SMS-Nachrichten zu stehlen, dazu müsse jedoch das Opfer ausgetrickst werden.

Toshin hat alle Sicherheitslücken über das Bug-Bounty-Programm von Samsung gemeldet. Bis Patches für die drei Lücken zur Verfügung stehen, könnten jedoch noch Wochen vergehen. Insgesamt hat der Sicherheitsforscher 17 Schwachstellen gemeldet, von denen alle bis auf die drei genannten bereits gepatcht wurden.

14 Lücken wurden bereits behoben

Für diese 14 Lücken hat er bereits ein Bounty von insgesamt 30.000 US-Dollar von Samsung erhalten. Mit einem Exploit demonstrierte er beispielsweise, wie eine App Administrator-Rechte erlangen konnte. Allerdings hatte der Exploit auch einen entscheidenden Nachteil: Beim Erlangen der Administrator-Rechte wurden alle anderen Apps auf den betroffenen Geräten gelöscht. Die Sicherheitslücke (CVE-2021-25356) wurde im April gepatcht, nachdem er sie im Februar gemeldet hatte. In einem Blogeintrag beschreibt er einen Teil der gemeldeten Sicherheitslücken ausführlich.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Es ist nicht das erste Mal, dass Samsung Ärger mit vorinstallierten Apps hat. So wurde im vergangen Jahr die vorinstallierte App Device Care kritisiert, die sich nicht deinstallieren lässt und Daten an die chinesische Sicherheitsfirma Qihoo360 übermittelt. Laut Samsung handelt es sich dabei nur um generische Informationen, die zur Optimierung des Speichers benötigt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Fall Anne-Elisabeth Hagen
Lösegeldforderung per Bitcoin-Transaktion

Der Fall der verschwundenen norwegischen Millionärsgattin Anne-Elisabeth Hagen ist auch ein Krimi um Kryptowährungen und Anonymisierungsdienste.
Von Elke Wittich und Boris Mayer

Der Fall Anne-Elisabeth Hagen: Lösegeldforderung per Bitcoin-Transaktion
Artikel
  1. Gaming: Razers skurrile Maske erhält einen Erscheinungszeitraum
    Gaming
    Razers skurrile Maske erhält einen Erscheinungszeitraum

    Die erste Charge von Razers Project Hazel kommt erst in einigen Monaten. Derweil will Razer Verbesserungen an der Maske vornehmen.

  2. Microsoft: Windows-10-Nutzer von neuer Wetter-App genervt
    Microsoft
    Windows-10-Nutzer von neuer Wetter-App genervt

    Ungenaue Vorhersagen und matschige Schrift: Die Wetter-App in Windows 10 stört einige. Gleiches gilt beim News-Feed. Beides ist versteckbar.

  3. Smartwatch: Apple Watch Series 8 soll Fieberthermometer erhalten
    Smartwatch
    Apple Watch Series 8 soll Fieberthermometer erhalten

    Fiebermessen mit der Apple Watch soll ab 2022 möglich werden. Auch eine Extremsport-Version soll kommen.

KringeWorld 11. Jun 2021 / Themenstart

warum habe ich beim ersten start, und nach jedem zurücksetzen nicht die wahl ob ohne oder...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Xbox Series X aktuell bestellbar 499,99€ • Amazon-Geräte günstiger • Far Cry 6 + Steelbook PS5 69,99€ • Elden Ring vorbestellbar ab 59,99€ • Crucial MX500 500GB 48,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • Sony Pulse 3D-Headset PS5 99,99€ [Werbung]
    •  /