Samsung plant angeblich eine Active-Variante des Galaxy S6 mit Ruggedized-Gehäuse und größerem Akku (Bild: CNET.de).
Das auf mobile Geräte spezialisierte Sicherheitsunternehmen NowSecure hat vor einer Schwachstelle in Samsung-Smartphones gewarnt. Sie steckt in der Software der SwiftKey-Tastatur, die nach Schätzungen von NowSecure auf mehr als 600 Millionen Mobiltelefonen installiert ist. Ein Angreifer könnte unter Umständen aus der Ferne die vollständige Kontrolle über ein betroffenes Gerät übernehmen.
Den Fehler hat der NowSecure-Mitarbeiter Ryan Welton entdeckt. Ihm zufolge nutzt die Update-Funktion der SwiftKey-Tastatur bei der Suche nach neuen Sprachpaketen eine unverschlüsselte Verbindung, über die sie Daten im Klartext empfängt. Mithilfe eines gefälschten Proxy-Servers ist es ihm gelungen, beliebige Dateien einzuschleusen, die dann mit Systemrechten ausgeführt werden.
Das erlaubte es ihm nicht nur, Schadsoftware zu installieren, sondern auch vorhandene Apps zu verändern, eingehende und ausgehende Nachrichten sowie Sprachanrufe abzuhören und persönliche Daten wie Bilder und Textnachrichten auszulesen. Zudem erhielt er Zugriff auf Hardware-Komponenten wie GPS, Kamera und Mikrofon.
Samsung ist das Problem offenbar schon seit Dezember 2014 bekannt. Zudem hat NowSecure das US-Computer Emergency Response Team (US-CERT) und auch Googles Android Security Team informiert. Samsung habe Anfang 2015 mit der Verteilung eines Patches an Mobilfunkbetreiber begonnen, heißt es von NowSecure. Es sei aber nicht bekannt, welche Provider das Update auch an ihre Kunden weitergegeben haben und wie viele Geräte immer noch anfällig seien.
Als Beispiele für betroffene Geräte nennt NowSecure das aktuelle Flaggschiff Galaxy S6 sowie dessen Vorgänger Galaxy S5, Galaxy S4 und Galaxy S4 Mini. Das Unternehmen weist zudem darauf hin, dass die vorinstallierte SwiftKey-Tastatur nicht deinstalliert werden kann und auch dann ein Sicherheitsrisiko darstellt, wenn sie nicht benutzt wird.
Nutzern empfiehlt das Unternehmen, bei ihrem Mobilfunkanbieter Informationen über den Patch einzuholen. Zudem sollten sie unsichere WLAN-Netzwerke meiden oder gar ein anderes Mobiltelefon benutzen.
[mit Material von Kevin Tofel, ZDNet.com]
Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
