Abo
  • Services:
Anzeige
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Security: Unverschlüsselte App-Updates gefährden Samsungs Smartphones

Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren.
Updates für Samsungs Tastatur-App werden unverschlüsselt übertragen und lassen sich deshalb leicht manipulieren. (Bild: Nowsecure)

Wenn Apps ihre Aktualisierungen unverschlüsselt abholen, sind sie leicht zu manipulieren. Vor allem bei systemnahen Anwendungen ist das ein gravierendes Problem, wie ein aktueller Fall belegt, der vor allem die Galaxy-Reihe von Samsung betrifft.

Anzeige

Es ist eine gefährliche Kombination: Updates für systemnahe Apps, die unverschlüsselt übermittelt werden, und Patches, die nur schleppend an Kunden weitergegeben werden. Ein aktueller Fall betrifft die Tastatur-App, die Samsung unter anderem auf Smartphones seiner S-Reihe mitliefert. IT-Sicherheitsexperten bei Nowsecure haben einen Weg gefunden, regelmäßig angeforderte Updates für die App zu manipulieren und sich so weitgehenden Zugriff auf betroffene Mobiltelefone zu verschaffen. Samsung hat längst ein Patch dafür bereitgestellt. Der wird aber offensichtlich nur langsam verteilt.

Für seine Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4 - hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachtet haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer ein ebenfalls manipuliertes Update einschleusen.

Die App lässt sich nicht stoppen

Voraussetzung für einen solchen Angriff ist natürlich, dass das angegriffene Smartphone eine Verbindung in einem unverschlüsselten WLAN aufbaut, in dem der Angreifer mit entsprechenden Werkzeugen bereits wartet. Angesichts der Zugriffsmöglichkeiten, die eine manipulierte, systemnahe App wie die Tastatur bietet, dürfte das ein lukratives Unterfangen für Kriminelle sein.

Ein weiteres Problem ist in diesem speziellen Fall, dass Anwender nichts dagegen unternehmen können. Zwar kann auf die Standardtastatur von Android umgestellt oder sogar eine alternative Tastatur-App installiert werden. Allerdings hält dies die betroffene App nicht davon ab, weiterhin regelmäßig Kontakt zum Swiftkey-Server aufzubauen. Und sie lässt sich auch nicht deinstallieren. Die offizielle Tastatur-App von Swiftkey selbst ist übrigens von der Schwachstelle nicht betroffen, wie der Hersteller versichert und auch die Experten bei Nowsecure bestätigen. Deren Updates werden über Googles Play Store verteilt.

Problem erkannt, aber nicht gebannt

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig ein Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Hier ist Samsung aber auch auf die Provider angewiesen, die den Patch an ihre Kunden weitergeben müssen.

Das habe offensichtlich nur unzureichend geklappt, berichtete Ryan Welton von Nowsecure vor wenigen Tagen auf der IT-Sicherheitskonferenz Black Hat Europe in London. Dort demonstrierte er den Angriff auf einem Galaxy S5 von Verizon. Auf Galaxy-S6-Geräten der Provider Verizon und Sprint soll der Angriff ebenfalls noch möglich sein. Welton geht davon aus, dass mehrere Millionen Geräte weiterhin gefährdet sind und hat diese beim CERT gemeldet. Auf der Webseite des IT-Sicherheitsunternehmens gibt es eine noch unvollständige Liste der verwundbaren Geräte der Provider Sprint, T-Mobile und Verizon. Inwieweit Geräte deutscher Provider betroffen sind, ist noch nicht bekannt.

Nachtrag vom 17. Juni 2015, 18:30 Uhr

Samsung teilte uns Folgendes mit: "Der aktuelle Fall ist uns bekannt, und wir arbeiten kontinuierlich daran, unsere mobilen Geräte mit aktuellen Sicherheitsfeatures auszustatten. Dadurch, dass alle Modelle ab der S4-Serie mit der Samsung-KNOX-Plattform geschützt sind, ist der Kernel der Smartphones vom aktuellen Fall nicht betroffen. Samsung KNOX erlaubt es zudem, die Sicherheitseinstellungen der Smartphones over-the-air upzudaten, um jeglichen, noch potenziell vorhandenen Gefahren entgegenzuwirken. Mit den Updates dieser Security Policies wird in ein paar Tagen gestartet. Zusätzlich arbeiten wir auch eng mit Swiftkey zusammen, um zukünftige Risiken zu minimieren."


eye home zur Startseite
Anonymer Nutzer 18. Jun 2015

Nein,leider besteht die offizielle Aussage von Google aus zwei sehr speziellen Sätzen...

Anonymer Nutzer 17. Jun 2015

Er hat den Text aber maximal nur überflogen und unter solchen Vorraussetzungen kann man...

waswiewo 17. Jun 2015

Ähm ... weil du den Artikel nicht gelesen hast?



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Fresenius Netcare GmbH, Bad Homburg
  3. BODYCOTE Deutschland GmbH, Düsseldorf
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck


Anzeige
Spiele-Angebote
  1. 24,99€
  2. 4,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

  1. Re: Ich vermisse die Meckerer...

    motzerator | 06:24

  2. Re: sehr clever ... MS

    quasides | 05:41

  3. Re: Wenn das Gerät wenigstens BlackberryOS hätte...

    mxrd | 05:22

  4. Re: Wie soll man das verstehen?

    GenXRoad | 04:23

  5. Re: Und? Dafür sind sie da.

    bombinho | 02:06


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel