• IT-Karriere:
  • Services:

Tastatur-Schwachstelle: Samsung liefert Patch aus

Für die Schwachstelle in seiner Tastatur-App hat Samsung jetzt einen Patch veröffentlicht, der bereits als Over-The-Air-Update ausgeliefert wird.

Artikel veröffentlicht am ,
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt.
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt. (Bild: Screenshot Golem.de)

Nachdem Details über die Schwachstelle in Samsungs Tastatur-App veröffentlicht wurden, hat der Hersteller jetzt schnell reagiert: Inzwischen wird ein Patch als OTA-Update ausgeliefert. Die Schwachstelle erlaubte das Einschleusen von Code, weil die Samsung-eigene App eine unverschlüsselte Verbindung zum Server des Herstellers aufbaut, um nach Aktualisierungen zu suchen.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. INFODAS, Nordrhein-Westfalen

Die Schwachstelle betrifft Samsungs Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4. Für diese Modelle hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachteten, die die Schwachstelle entdeckt haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zugriff mit erweiterten Systemrechten

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer beliebigen Code einschleusen. Da die Tastatur-App mit erweiterten Systemrechten läuft, lässt sich manipulierter Code auch persistent im System einschleusen.

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig einen Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Allerdings hat Samsung erst jetzt damit begonnen, den Patch auszuliefern.

Wie Samsung uns mitteilte, war der Android-Kernel nicht gefährdet, auch wenn Samsung IME mit erweiterten Systemrechten läuft. Angreifer hätten also keine Möglichkeit, Root-Rechte auf den betroffenen Smartphones zu erlangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-82%) 11,00€
  2. 44,49€

chiefmasterbrid... 01. Jul 2015

Wie kann ich denn überprüfen, ob mein Samsung Smartphone den Patch erhalten hat?


Folgen Sie uns
       


Huawei Mate Xs im Test

Das Mate Xs von Huawei ist ein Smartphone mit faltbarem Display - und für uns das erste, das vom Design her alltagstauglich ist. Das dürfte allerdings zu Lasten der Widerstandsfähigkeit gehen.

Huawei Mate Xs im Test Video aufrufen
Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  2. Ryzen 3000XT im Test Schneller dank Xtra Transistoren
  3. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"

Campus Networks: Wenn das 5G-Netz nicht jeden reinlässt
Campus Networks
Wenn das 5G-Netz nicht jeden reinlässt

Über private 4G- und 5G-Netze gibt es meist nur Buzzwords. Wir wollten von einer Telekom-Expertin wissen, was die Campusnetze wirklich können und was noch nicht.
Von Achim Sawall

  1. Funkstrahlung Bürgermeister in Oberbayern greifen 5G der Telekom an
  2. IRT Öffentlich-rechtlicher Rundfunk schließt Forschungszentrum
  3. Deutsche Telekom 5G im UMTS-Spektrum für die Hälfte der Bevölkerung

Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
  2. Golem on Edge Homeoffice im Horrorland
  3. Anzeige Die voll digitalisierte Kaserne der Zukunft

    •  /