Abo
  • IT-Karriere:

Samsungs Galaxy S3: Kritische Sicherheitslücke in Android-Smartphones mit Exynos

In Android-Smartphones mit Samsungs ARM-Prozessor Exynos 4210 und 4412 steckt eine Sicherheitslücke, die es ermöglicht, Daten auszulesen und eigenen Code auszuführen. Diverse Geräte sind betroffen, nicht nur von Samsung.

Artikel veröffentlicht am ,
Angeblich kritische Sicherheitslücke im Samsung Galaxy S3
Angeblich kritische Sicherheitslücke im Samsung Galaxy S3 (Bild: Samsung)

Es ist recht einfach, Root-Rechte auf einem Samsung Galaxy S3 zu erhalten, stellt der Nutzer "Alephzain" im Forum XDA-Developers fest. Das Problem: Das gilt nicht nur für Besitzer der Geräte, sondern auch für Angreifer. Laut Alephzain steckt das Problem im Kernel, genau genommen im Device "/dev/exynos-mem". Darauf haben alle Nutzer Schreib- und Leserechte.

Stellenmarkt
  1. KaiTech IT-Systems GmbH, Paderborn
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Dieser Code kommt nicht nur auf dem Galaxy S3 von Samsung zum Einsatz, zahlreiche Geräte dürften betroffen sein. Alephzain vermutet, das Problem besteht auf allen Geräten, die Samsungs Exynos-Prozessoren 4210 und 4412 mit Samsungs Kernel-Code verwenden. Dazu zählen unter anderem das Galaxy S2 und das Galaxy Note von Samsung sowie das Meizu MX.

Genutzt wird /dev/exynos-mem von mindestens drei Bibliotheken: /system/lib/hw/camera.smdk4x12.so, /system/lib/hw/gralloc.smdk4x12.so und /system/lib/libhdmi.so.

Da jeder Nutzer den Speicher auslesen und in ihn schreiben kann, soll es einfach sein, einen RAM-Dump anzulegen und Code in den Kernel einzuschleusen. Die Smartphones sind dadurch anfällig für Schadcode.

Werden die Schreib- und Leserechte für /dev/exynos-mem entfernt, funktioniere die Kamera-App nicht mehr, wird in dem zugehörigen Thread auf XDA-Developers berichtet. Mit ExynosAbuse APK v1.10 ist auch eine erste App erschienen, die die Sicherheitslücke ausnutzt, um SuperSU 0.99 zu installieren. Sie ermöglicht es zudem, den Exploit durch das Setzen eingeschränkter Rechte für /dev/exynos-mem zu blockieren oder wieder freizugeben.

Darüber hinaus hat der Nutzer AndreiLux einen ersten Patch veröffentlicht, um den Fehler zu korrigieren. Er enthält eine Ausnahme für die Kamera-App, so dass diese nicht blockiert wird.

Zu den Kommentaren springen
Meistgelesen
  1. Lenovo Thinkbook 13s im Test
    Ein schickes Ultrabook muss nicht teuer sein
  2. Recruiting
    Alle Einstellungsprozesse sind fehlerhaft
  3. IT-Arbeit
    Was fürs Auge
  4. Kinofilm
    Matrix-Trilogie bekommt einen vierten Teil
  5. Elektromobilität
    Die Rohstoffe reichen, aber ...
Anzeige
Top-Angebote
  1. 88,00€
  2. (u. a. 5-Port-Gigabit-Switch für 15,99€, 8-Port-LAN-Switch für 27,12€, 16-Port Pro Safe...
  3. (u. a. Akku Schlagbohrschrauber für 182,99€, Akku Bohrhammer für 114,99€, Linienlaser für...
  4. GRATIS im Ubisoft-Sale
Kommentarübersicht
Iat doch logisch..
Andt2018 22. Jun 2019

Steigt die Komplexität eines Gerätes, steigen auch die Zahlen der Sicherheitslücken...

Re: Sicherheitslücke bei einem SmartPhone? Guter...
Ben Dover 20. Dez 2012

Die Alukappe nicht vergessen ;-) Es ist immer ne sache von nutzen/risiko. Ich vermute mal...

Re: Nicht nur Samsung Geräte?
zweckform 19. Dez 2012

Steht doch im Artikel "sowie das Meizu MX".

Re: Hört sich ja für mich fast schon nach einer...
Otto d.O. 18. Dez 2012

Mit irgend einer anderen Methode root verschaffen, dann ls /dev

Re: iPhone Bashing, oder...
xbeo 17. Dez 2012

Fuer viele "Entwickler" ist dieses "Gadget" die Plattform fuers Geschaeft. Fuer die...

Folgen Sie uns
       
Samsungs Monitor The Space - Test

Der Space-Monitor von Samsung ist ungewöhnlich: Er wird mit einer Schraubzwinge an die Tischkante geklemmt. Das spart tatsächlich viel Platz. Mit 32 Zoll Diagonale und 4K-Auflösung ist auch genug Platz für die tägliche Arbeit vorhanden.

Samsungs Monitor The Space - Test Video aufrufen
Arbeit
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende
Spiele-Entwicklung
Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler
Arbeit
Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /