Android: Forscher entdeckt Lücken in vorinstallierten Samsung-Apps

Drei der insgesamt 17 Sicherheitslücken in den vorinstallierten Apps wurden noch nicht behoben.

Artikel veröffentlicht am ,
Samsung Smartphone S20
Samsung Smartphone S20 (Bild: Daniel Romero/Unsplash)

Der Sicherheitsforscher Sergey Toshin hat die vorinstallierten Apps auf Smartphones von Samsung untersucht und etliche Sicherheitslücken entdeckt. Drei davon seien jedoch so schwerwiegend, dass der Sicherheitsforscher keine detaillierten Informationen dazu veröffentlichen möchte, bis sie gepatcht sind.

Stellenmarkt
  1. Statistiker / Mathematiker / Biometriker (m/w/d)
    MDK Baden-Württemberg Medizinischer Dienst der Krankenversicherung, Stuttgart
  2. Informatiker / Elektroingenieur (m/w/d) (FH/B.Sc.)
    Bayerisches Landeskriminalamt, München
Detailsuche

Demnach können mit zwei Sicherheitslücken beliebige Dateien mit erhöhten Rechten gelesen und/oder geschrieben werden - ohne Benutzerinteraktion, wie er dem Onlinemagazin Bleepingcomputer berichtet. Mit der dritten Lücke sei es möglich, SMS-Nachrichten zu stehlen, dazu müsse jedoch das Opfer ausgetrickst werden.

Toshin hat alle Sicherheitslücken über das Bug-Bounty-Programm von Samsung gemeldet. Bis Patches für die drei Lücken zur Verfügung stehen, könnten jedoch noch Wochen vergehen. Insgesamt hat der Sicherheitsforscher 17 Schwachstellen gemeldet, von denen alle bis auf die drei genannten bereits gepatcht wurden.

14 Lücken wurden bereits behoben

Für diese 14 Lücken hat er bereits ein Bounty von insgesamt 30.000 US-Dollar von Samsung erhalten. Mit einem Exploit demonstrierte er beispielsweise, wie eine App Administrator-Rechte erlangen konnte. Allerdings hatte der Exploit auch einen entscheidenden Nachteil: Beim Erlangen der Administrator-Rechte wurden alle anderen Apps auf den betroffenen Geräten gelöscht. Die Sicherheitslücke (CVE-2021-25356) wurde im April gepatcht, nachdem er sie im Februar gemeldet hatte. In einem Blogeintrag beschreibt er einen Teil der gemeldeten Sicherheitslücken ausführlich.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Es ist nicht das erste Mal, dass Samsung Ärger mit vorinstallierten Apps hat. So wurde im vergangen Jahr die vorinstallierte App Device Care kritisiert, die sich nicht deinstallieren lässt und Daten an die chinesische Sicherheitsfirma Qihoo360 übermittelt. Laut Samsung handelt es sich dabei nur um generische Informationen, die zur Optimierung des Speichers benötigt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Adventures
Kreuzfahrt in den Tod und andere Abenteuer

Gattenmord auf dem Traumschiff in Overboard und Bären als Mafiosi in Backbone: Golem.de stellt die besten neuen Adventures vor.
Von Rainer Sigl

Adventures: Kreuzfahrt in den Tod und andere Abenteuer
Artikel
  1. Verschwendung: Amazon beim Aussortieren von Neuwaren zur Zerstörung gefilmt
    Verschwendung
    Amazon beim Aussortieren von Neuwaren zur Zerstörung gefilmt

    ITV News hat ein Video veröffentlich, das Amazon beim Aussortieren neuer Produkte zeigen soll. Dabei geht es um große Stückzahlen.

  2. Royole Rokit: Alle Teile für das Selbstbau-Foldable mit biegsamem Display
    Royole Rokit
    Alle Teile für das Selbstbau-Foldable mit biegsamem Display

    Das Rokit enthält ein Qualcomm-SoC, entsperrtes Android und ein biegsames Amoled-Display für Bastelideen. Das alles wird im Koffer verstaut.

  3. Hubble: Uralttechnik ohne Ersatz versagt im Orbit
    Hubble
    Uralttechnik ohne Ersatz versagt im Orbit

    Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
    Von Frank Wunderlich-Pfeiffer

KringeWorld 11. Jun 2021 / Themenstart

warum habe ich beim ersten start, und nach jedem zurücksetzen nicht die wahl ob ohne oder...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • Gaming-Laptops von Razer, MSI & Asus • Bosch-Werkzeug • MS Surface Pro 7 664,05€ • Gönn dir Dienstag bei MM • RAM von Crucial • Monitore (u. a. Acer 27" WQHD 144Hz 259€) • SSDs (u. a. Sandisk Ultra 3D 1TB 70,29€) • Gaming-Chairs von Razer uvm. [Werbung]
    •  /