Android: Forscher entdeckt Lücken in vorinstallierten Samsung-Apps

Drei der insgesamt 17 Sicherheitslücken in den vorinstallierten Apps wurden noch nicht behoben.

Artikel veröffentlicht am ,
Samsung Smartphone S20
Samsung Smartphone S20 (Bild: Daniel Romero/Unsplash)

Der Sicherheitsforscher Sergey Toshin hat die vorinstallierten Apps auf Smartphones von Samsung untersucht und etliche Sicherheitslücken entdeckt. Drei davon seien jedoch so schwerwiegend, dass der Sicherheitsforscher keine detaillierten Informationen dazu veröffentlichen möchte, bis sie gepatcht sind.

Stellenmarkt
  1. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
  2. Frontend Developer (m/w/d) E-Commerce-Suite
    ecovium GmbH, Neustadt am Rübenberge, Pforzheim, Düsseldorf
Detailsuche

Demnach können mit zwei Sicherheitslücken beliebige Dateien mit erhöhten Rechten gelesen und/oder geschrieben werden - ohne Benutzerinteraktion, wie er dem Onlinemagazin Bleepingcomputer berichtet. Mit der dritten Lücke sei es möglich, SMS-Nachrichten zu stehlen, dazu müsse jedoch das Opfer ausgetrickst werden.

Toshin hat alle Sicherheitslücken über das Bug-Bounty-Programm von Samsung gemeldet. Bis Patches für die drei Lücken zur Verfügung stehen, könnten jedoch noch Wochen vergehen. Insgesamt hat der Sicherheitsforscher 17 Schwachstellen gemeldet, von denen alle bis auf die drei genannten bereits gepatcht wurden.

14 Lücken wurden bereits behoben

Für diese 14 Lücken hat er bereits ein Bounty von insgesamt 30.000 US-Dollar von Samsung erhalten. Mit einem Exploit demonstrierte er beispielsweise, wie eine App Administrator-Rechte erlangen konnte. Allerdings hatte der Exploit auch einen entscheidenden Nachteil: Beim Erlangen der Administrator-Rechte wurden alle anderen Apps auf den betroffenen Geräten gelöscht. Die Sicherheitslücke (CVE-2021-25356) wurde im April gepatcht, nachdem er sie im Februar gemeldet hatte. In einem Blogeintrag beschreibt er einen Teil der gemeldeten Sicherheitslücken ausführlich.

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

Es ist nicht das erste Mal, dass Samsung Ärger mit vorinstallierten Apps hat. So wurde im vergangen Jahr die vorinstallierte App Device Care kritisiert, die sich nicht deinstallieren lässt und Daten an die chinesische Sicherheitsfirma Qihoo360 übermittelt. Laut Samsung handelt es sich dabei nur um generische Informationen, die zur Optimierung des Speichers benötigt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


KringeWorld 11. Jun 2021

warum habe ich beim ersten start, und nach jedem zurücksetzen nicht die wahl ob ohne oder...



Aktuell auf der Startseite von Golem.de
Superbooth
Technikparadies für Musiknerds

Von klassischen E-Pianos bis zu Musikstudios in DIN-A5: Bei der Synthesizer-Messe Superbooth haben Hersteller zum Ausprobieren eingeladen.
Ein Bericht von Daniel Ziegener

Superbooth: Technikparadies für Musiknerds
Artikel
  1. Forschung: Blaualge versorgt Computer sechs Monate mit Strom
    Forschung
    Blaualge versorgt Computer sechs Monate mit Strom

    Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

  2. Altris: Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden
    Altris
    Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden

    Eine europäische Firma will vom Lithium wegkommen. Bis 2023 soll eine Pilotfabrik für Akku-Kathoden mit einer Kapazität von bis zu 1 GWh pro Jahr entstehen.
    Von Frank Wunderlich-Pfeiffer

  3. Renault: Moskwitsch könnte elektrisch wiederkommen
    Renault
    Moskwitsch könnte elektrisch wiederkommen

    Renault verkauft seine Anteile am Russlandgeschäft an die Stadt Moskau. Die hat schon genaue Pläne, welche Fahrzeuge vom Band rollen sollen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /