Der Entwickler und Sicherheits Forscher von NoSecure Ryan Welton entdeckte eine gravierende Sicherheitslücke, welche einem Hacker Vollzugriff auf Samsung Mobile ermöglicht.
Der Angreifer bekommt Zugriff auf Kamera, Mikrofon, GPS sowie eingehende und gesendete Nachrichten, Kontaktdaten wie Bank logins und kann Spy Apps oder Schadsoftware installieren.
Dieser Hack funktioniert über das Standard Samsung IME Keyboard, das periodisch überprüft, ob ein Update nötig ist – und hier kann sich ein Mittelsmann dazwischen schalten, Mann-In-the-Middle Attacks . Dabei spielt es keine Rolle, ob das Keyboard aktiv ist oder nicht. Üblicherweise gibt es bei Android einen Schutz, um diese sogenannten Mittelsmänner zu verhindern, doch die Samsung-eigene Version der Software umgeht durch zusätzliche Rechte diese Sicherheitsschranke und ermöglicht vollen Systemzugriff. Im Blog von NoSecure sind die technischen Details erklärt.
Der Angreifer kann sich über das SwiftKey-Keyboard Zugang zum Mobile verschaffen. Aktuell sind ca. 600 Millionen Samsung Galaxy Mobile Weltweit aktiv, in Österreich gehört es zu den meistverkauften Mobiles, über 1 Million Samsung S5 sind alleine in Deutschland im Umlauf.
Sicherheitsforscher haben bestätigt, dass die massive Sicherheitslücke bei Samsung Galaxy S6, S6 edge, S5 and Galaxy S4 Mini, Note 3 und S3 besteht, jedoch möglichweise auch bei älteren Modellen. Die Sicherheitslücke wurde bereits im November 2014 gemeldet – vorgestern am Blackhat Security Summit in London führte Welton an einem S6 von Verizone vor, dass die Sicherheitslücke noch immer besteht.
Samsung hat bestätigt, dass ein Patch Update an die Mobilfunkanbieter ausgeliefert wurde. Ob und wann diese es an Ihre Kunden weitergeben wird, ist fraglich, da diese Systemupdates von Mobilfunkanbietern meist sehr spät durchgeführt werden. Bis Samsung das Problem behoben hat, kann der User wenig tun, ausser sich nicht in unsichere öffentliche Wifi Netzwerke einzuloggen.
Üblicherweise muss sich der Angreifer im gleichen Netzwerk befinden, jedoch mit Domain Name System DNS Spoofing – Umleitung von URLs ermöglicht es auch grossflächige remote Angriffe auf ganze Mobil Netzwerke , erklärt Welton.
Stellungnahme von Swift: “We’ve seen reports of a security issue related to the Samsung keyboard. We can confirm that the SwiftKey Keyboard apps available via Google GOOGL Play or the Apple App Store are not affected by this vulnerability. We take reports of this manner very seriously and are currently investigating further.”
Das Keybord kann man nicht deinstalieren und ein Update über den Store behebt nicht das Problem, da er auf Systemebene behoben werden muss.