Abo
  • Services:

Security: Unverschlüsselte App-Updates gefährden Samsungs Smartphones

Wenn Apps ihre Aktualisierungen unverschlüsselt abholen, sind sie leicht zu manipulieren. Vor allem bei systemnahen Anwendungen ist das ein gravierendes Problem, wie ein aktueller Fall belegt, der vor allem die Galaxy-Reihe von Samsung betrifft.

Artikel veröffentlicht am ,
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Es ist eine gefährliche Kombination: Updates für systemnahe Apps, die unverschlüsselt übermittelt werden, und Patches, die nur schleppend an Kunden weitergegeben werden. Ein aktueller Fall betrifft die Tastatur-App, die Samsung unter anderem auf Smartphones seiner S-Reihe mitliefert. IT-Sicherheitsexperten bei Nowsecure haben einen Weg gefunden, regelmäßig angeforderte Updates für die App zu manipulieren und sich so weitgehenden Zugriff auf betroffene Mobiltelefone zu verschaffen. Samsung hat längst ein Patch dafür bereitgestellt. Der wird aber offensichtlich nur langsam verteilt.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Für seine Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4 - hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachtet haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer ein ebenfalls manipuliertes Update einschleusen.

Die App lässt sich nicht stoppen

Voraussetzung für einen solchen Angriff ist natürlich, dass das angegriffene Smartphone eine Verbindung in einem unverschlüsselten WLAN aufbaut, in dem der Angreifer mit entsprechenden Werkzeugen bereits wartet. Angesichts der Zugriffsmöglichkeiten, die eine manipulierte, systemnahe App wie die Tastatur bietet, dürfte das ein lukratives Unterfangen für Kriminelle sein.

Ein weiteres Problem ist in diesem speziellen Fall, dass Anwender nichts dagegen unternehmen können. Zwar kann auf die Standardtastatur von Android umgestellt oder sogar eine alternative Tastatur-App installiert werden. Allerdings hält dies die betroffene App nicht davon ab, weiterhin regelmäßig Kontakt zum Swiftkey-Server aufzubauen. Und sie lässt sich auch nicht deinstallieren. Die offizielle Tastatur-App von Swiftkey selbst ist übrigens von der Schwachstelle nicht betroffen, wie der Hersteller versichert und auch die Experten bei Nowsecure bestätigen. Deren Updates werden über Googles Play Store verteilt.

Problem erkannt, aber nicht gebannt

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig ein Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Hier ist Samsung aber auch auf die Provider angewiesen, die den Patch an ihre Kunden weitergeben müssen.

Das habe offensichtlich nur unzureichend geklappt, berichtete Ryan Welton von Nowsecure vor wenigen Tagen auf der IT-Sicherheitskonferenz Black Hat Europe in London. Dort demonstrierte er den Angriff auf einem Galaxy S5 von Verizon. Auf Galaxy-S6-Geräten der Provider Verizon und Sprint soll der Angriff ebenfalls noch möglich sein. Welton geht davon aus, dass mehrere Millionen Geräte weiterhin gefährdet sind und hat diese beim CERT gemeldet. Auf der Webseite des IT-Sicherheitsunternehmens gibt es eine noch unvollständige Liste der verwundbaren Geräte der Provider Sprint, T-Mobile und Verizon. Inwieweit Geräte deutscher Provider betroffen sind, ist noch nicht bekannt.

Nachtrag vom 17. Juni 2015, 18:30 Uhr

Samsung teilte uns Folgendes mit: "Der aktuelle Fall ist uns bekannt, und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der S4-Serie mit der Samsung-KNOX-Plattform geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung KNOX erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air upzudaten, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird in ein paar Tagen gestartet. Zusätzlich arbeiten wir auch eng mit Swiftkey zusammen, um zukünftige Risiken zu minimieren."



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

Anonymer Nutzer 18. Jun 2015

Nein,leider besteht die offizielle Aussage von Google aus zwei sehr speziellen Sätzen...

Anonymer Nutzer 17. Jun 2015

Er hat den Text aber maximal nur überflogen und unter solchen Vorraussetzungen kann man...

waswiewo 17. Jun 2015

Ähm ... weil du den Artikel nicht gelesen hast?


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /