Abo
  • Services:

Tastatur-Schwachstelle: Samsung liefert Patch aus

Für die Schwachstelle in seiner Tastatur-App hat Samsung jetzt einen Patch veröffentlicht, der bereits als Over-The-Air-Update ausgeliefert wird.

Artikel veröffentlicht am ,
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt.
Samsung hat jetzt ein Update für seine Tastatur-App veröffentlicht, das eine Schwachstelle behebt. (Bild: Screenshot Golem.de)

Nachdem Details über die Schwachstelle in Samsungs Tastatur-App veröffentlicht wurden, hat der Hersteller jetzt schnell reagiert: Inzwischen wird ein Patch als OTA-Update ausgeliefert. Die Schwachstelle erlaubte das Einschleusen von Code, weil die Samsung-eigene App eine unverschlüsselte Verbindung zum Server des Herstellers aufbaut, um nach Aktualisierungen zu suchen.

Stellenmarkt
  1. Bundesanstalt für Straßenwesen, Bergisch Gladbach
  2. OC Oerlikon, München, Remscheid

Die Schwachstelle betrifft Samsungs Smartphones der S-Reihe - genauer Samsungs Galaxy S3, S4, S5 und S6 sowie Galaxy Note 3 und Note 4. Für diese Modelle hat Samsung die Tastatur-App von Swiftkey lizenziert. Die angepasste App namens Samsung IME erkundigt sich regelmäßig bei den Swiftkey-Servern nach Updates, und zwar alle paar Stunden sowie nach jedem Neustart, wie die Experten bei Nowsecure beobachteten, die die Schwachstelle entdeckt haben. Die Anfragen und auch die Updates selbst erfolgen über das unverschlüsselte HTTP. Darüber werden auch neue Sprachmodule installiert, wenn ein Anwender sie anfordert.

Zugriff mit erweiterten Systemrechten

Zwar enthalten die Updates und Sprachmodule eine Checksumme in Form eines SHA1-Hashwerts. Dieser Schlüssel wird aber zuvor in einer ebenfalls ungesicherten Manifest-Datei übermittelt. Die Datei lässt sich leicht manipulieren, etwa um sie mit einem eigenen SHA1-Hash zu versehen und anschließend dem Anwender unterzujubeln. Anschließend könnte ein Angreifer beliebigen Code einschleusen. Da die Tastatur-App mit erweiterten Systemrechten läuft, lässt sich manipulierter Code auch persistent im System einschleusen.

Bereits im November 2014 informierte Nowsecure Samsung über die Schwachstelle, und der Smartphone-Hersteller stellte zügig einen Patch dafür bereit. Updates für mindestens Android 4.2 auf den betroffenen Geräten sollen das Problem nach Angaben des Herstellers beheben. Allerdings hat Samsung erst jetzt damit begonnen, den Patch auszuliefern.

Wie Samsung uns mitteilte, war der Android-Kernel nicht gefährdet, auch wenn Samsung IME mit erweiterten Systemrechten läuft. Angreifer hätten also keine Möglichkeit, Root-Rechte auf den betroffenen Smartphones zu erlangen.



Anzeige
Spiele-Angebote
  1. 32,95€
  2. 49,86€
  3. 32,99€
  4. 29,95€

chiefmasterbrid... 01. Jul 2015

Wie kann ich denn überprüfen, ob mein Samsung Smartphone den Patch erhalten hat?


Folgen Sie uns
       


Kingdom Hearts 3 - Test

Das Actionspiel Kingdom Hearts 3 von Square Enix bietet schöne und stimmige Abenteuer in vielen unterschiedlichen Welten von Disney.

Kingdom Hearts 3 - Test Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    •  /