Android: Forscher entdeckt Lücken in vorinstallierten Samsung-Apps

Drei der insgesamt 17 Sicherheitslücken in den vorinstallierten Apps wurden noch nicht behoben.

Artikel veröffentlicht am ,
Samsung Smartphone S20
Samsung Smartphone S20 (Bild: Daniel Romero/Unsplash)

Der Sicherheitsforscher Sergey Toshin hat die vorinstallierten Apps auf Smartphones von Samsung untersucht und etliche Sicherheitslücken entdeckt. Drei davon seien jedoch so schwerwiegend, dass der Sicherheitsforscher keine detaillierten Informationen dazu veröffentlichen möchte, bis sie gepatcht sind.

Stellenmarkt
  1. SAP MM Senior Prozess-Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg
  2. Digital Officer (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Hamburg
Detailsuche

Demnach können mit zwei Sicherheitslücken beliebige Dateien mit erhöhten Rechten gelesen und/oder geschrieben werden - ohne Benutzerinteraktion, wie er dem Onlinemagazin Bleepingcomputer berichtet. Mit der dritten Lücke sei es möglich, SMS-Nachrichten zu stehlen, dazu müsse jedoch das Opfer ausgetrickst werden.

Toshin hat alle Sicherheitslücken über das Bug-Bounty-Programm von Samsung gemeldet. Bis Patches für die drei Lücken zur Verfügung stehen, könnten jedoch noch Wochen vergehen. Insgesamt hat der Sicherheitsforscher 17 Schwachstellen gemeldet, von denen alle bis auf die drei genannten bereits gepatcht wurden.

14 Lücken wurden bereits behoben

Für diese 14 Lücken hat er bereits ein Bounty von insgesamt 30.000 US-Dollar von Samsung erhalten. Mit einem Exploit demonstrierte er beispielsweise, wie eine App Administrator-Rechte erlangen konnte. Allerdings hatte der Exploit auch einen entscheidenden Nachteil: Beim Erlangen der Administrator-Rechte wurden alle anderen Apps auf den betroffenen Geräten gelöscht. Die Sicherheitslücke (CVE-2021-25356) wurde im April gepatcht, nachdem er sie im Februar gemeldet hatte. In einem Blogeintrag beschreibt er einen Teil der gemeldeten Sicherheitslücken ausführlich.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Es ist nicht das erste Mal, dass Samsung Ärger mit vorinstallierten Apps hat. So wurde im vergangen Jahr die vorinstallierte App Device Care kritisiert, die sich nicht deinstallieren lässt und Daten an die chinesische Sicherheitsfirma Qihoo360 übermittelt. Laut Samsung handelt es sich dabei nur um generische Informationen, die zur Optimierung des Speichers benötigt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

KringeWorld 11. Jun 2021 / Themenstart

warum habe ich beim ersten start, und nach jedem zurücksetzen nicht die wahl ob ohne oder...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /