Abo
  • Services:

Tastatur-Schwachstelle: Samsung liefert Patch aus

Für die Schwachstelle in seiner Tastatur-App hat Samsung jetzt einen Patch veröffentlicht, der bereits als Over-The-Air-Update ausgeliefert wird.

Artikel veröffentlicht am ,
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt.
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt. (Bild: Screenshot Golem.de)

Nachdem Details über die Schwachstelle in Samsungs Tastatur-App veröffentlicht wurden, hat der Hersteller jetzt schnell reagiert: Inzwischen wird ein Patch als OTA-Update ausgeliefert. Die Schwachstelle erlaubte das Einschleusen von Code, weil die Samsung-eigene App eine unverschlüsselte Verbindung zum Server des Herstellers aufbaut, um nach Aktualisierungen zu suchen.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Die Schwachstelle betrifft Samsungs Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4. Für diese Modelle hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachteten, die die Schwachstelle entdeckt haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zugriff mit erweiterten Systemrechten

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer beliebigen Code einschleusen. Da die Tastatur-App mit erweiterten Systemrechten läuft, lässt sich manipulierter Code auch persistent im System einschleusen.

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig einen Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Allerdings hat Samsung erst jetzt damit begonnen, den Patch auszuliefern.

Wie Samsung uns mitteilte, war der Android-Kernel nicht gefährdet, auch wenn Samsung IME mit erweiterten Systemrechten läuft. Angreifer hätten also keine Möglichkeit, Root-Rechte auf den betroffenen Smartphones zu erlangen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

chiefmasterbrid... 01. Jul 2015

Wie kann ich denn überprüfen, ob mein Samsung Smartphone den Patch erhalten hat?


Folgen Sie uns
       


Mit dem C64 ins Internet - Tutorial

Wir zeigen, wie man den C64 ins Netz bringt.

Mit dem C64 ins Internet - Tutorial Video aufrufen
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Slighter im Hands on: Wenn das Feuerzeug smarter als der Raucher ist
Slighter im Hands on
Wenn das Feuerzeug smarter als der Raucher ist

CES 2019 Mit Slighter könnte ausgerechnet ein Feuerzeug Rauchern beim Aufhören helfen: Ausgehend von den Rauchgewohnheiten erstellt es einen Plan - und gibt nur zu ganz bestimmten Zeiten eine Flamme.
Ein Hands on von Tobias Költzsch

  1. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show
  2. Royole Flexpai im Hands on Display top, Software flop
  3. Alienware Area 51m angesehen Aufrüstbares Gaming-Notebook mit frischem Design

Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  2. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor
  3. Turing-Grafikkarte Nvidia plant Geforce RTX 2060

    •  /