Abo
  • Services:
Anzeige
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt.
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt. (Bild: Screenshot Golem.de)

Tastatur-Schwachstelle: Samsung liefert Patch aus

Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt.
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt. (Bild: Screenshot Golem.de)

Für die Schwachstelle in seiner Tastatur-App hat Samsung jetzt einen Patch veröffentlicht, der bereits als Over-The-Air-Update ausgeliefert wird.

Anzeige

Nachdem Details über die Schwachstelle in Samsungs Tastatur-App veröffentlicht wurden, hat der Hersteller jetzt schnell reagiert: Inzwischen wird ein Patch als OTA-Update ausgeliefert. Die Schwachstelle erlaubte das Einschleusen von Code, weil die Samsung-eigene App eine unverschlüsselte Verbindung zum Server des Herstellers aufbaut, um nach Aktualisierungen zu suchen.

Die Schwachstelle betrifft Samsungs Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4. Für diese Modelle hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachteten, die die Schwachstelle entdeckt haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zugriff mit erweiterten Systemrechten

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer beliebigen Code einschleusen. Da die Tastatur-App mit erweiterten Systemrechten läuft, lässt sich manipulierter Code auch persistent im System einschleusen.

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig einen Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Allerdings hat Samsung erst jetzt damit begonnen, den Patch auszuliefern.

Wie Samsung uns mitteilte, war der Android-Kernel nicht gefährdet, auch wenn Samsung IME mit erweiterten Systemrechten läuft. Angreifer hätten also keine Möglichkeit, Root-Rechte auf den betroffenen Smartphones zu erlangen.


eye home zur Startseite
chiefmasterbrid... 01. Jul 2015

Wie kann ich denn überprüfen, ob mein Samsung Smartphone den Patch erhalten hat?



Anzeige

Stellenmarkt
  1. WEGMANN automotive GmbH & Co. KG, Veitshöchheim
  2. Continental AG, Ingolstadt
  3. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  4. neam IT-Services GmbH, Paderborn


Anzeige
Hardware-Angebote
  1. täglich neue Deals

Folgen Sie uns
       


  1. Turi Create 4.0

    Apple macht KI-Framework zur Bilderkennung quelloffen

  2. LG 32UD99-W im Test

    Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR

  3. Jailbreak

    Googles Sicherheitsteam hackt mal wieder das iPhone

  4. Asus Rog Strix

    Notebooks mit 120-Hz-Display für LoL und Pubg vorgestellt

  5. Raumfahrt

    SpaceX schickt gebrauchtes Gespann zur ISS

  6. Android-Verbreitung

    Oreo gibt die rote Laterne ab

  7. Q# und QDK

    Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  8. Corning

    3M verkauft seine Glasfaserproduktion

  9. In eigener Sache

    Golem pur verschenken

  10. Home Max

    Googles smarter Toplautsprecher kommt pünktlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Minecraft Education Edition: Wenn Schüler richtig ranklotzen
Minecraft Education Edition
Wenn Schüler richtig ranklotzen

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Firmenstreit Google blockiert Youtube auf Amazons Fire TV
  2. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  3. Streaming Update für Fire TV bringt Lupenfunktion

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Mobilfunk Netzqualität in der Bahn weiter nicht ausreichend
  2. Leserfragen beantwortet Fährt der E-Golf auch bei Gewitter?
  3. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler

  1. Re: Bankrotterklärung

    gadthrawn | 13:16

  2. Re: Die USA sind das fortschrittlichste Land der...

    Niaxa | 13:15

  3. Re: Diese Trump-Rhetorik verursacht Kopfschmerzen

    FreierLukas | 13:15

  4. Nokia

    countzero | 13:14

  5. Re: Wo kein Jail, da kein Jailbreak.

    1nformatik | 13:11


  1. 13:07

  2. 12:05

  3. 11:38

  4. 11:19

  5. 10:48

  6. 10:34

  7. 10:18

  8. 10:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel