Im Anschluss an Googles jüngstes Android-Update für Nexus-Geräte hat auch Samsung Aktualisierungen für ausgewählte Galaxy-Smartphones veröffentlicht. Sie beheben 31 der 40 von Google in seinem Security Bulletin für Juni beschriebenen Schwachstellen und schließen zusätzlich fünf Lücken, die nur Samsung-Geräte betreffen.
Doch auf Galaxy-Geräten mit Android 5.0 und 5.1 kann die Schutzfunktion ausgehebelt werden, indem das Smartphone über den OTG-USB-Anschluss an ein externes Speichermedium angeschlossen wird. „Die Schwachstelle erlaubt es [Kriminellen], MeineDateien aufzurufen und via USB OTG schädliche Anwendungen im Setup-Wizard-Status zu installieren“, erklärt Samsung. „Dadurch ist es letztlich möglich, FRP zu umgehen.“
Ein anderer kritischer Fehler (SVE-2016-5923) betrifft Galaxy-Geräte mit Android 5.0, 5.1 und 6.0, die über einen Fingerabdrucksensor verfügen. Das Problem geht auf eine fehlerhafte Prüfung von Anwendungssignaturen zurück. Auch hier können Angreifer Schadsoftware einschleusen, indem sie „die Signaturprüfung [während der] Installation bestimmter Applikationen umgehen“. Der Fix sorge für eine korrekte Ausnahmebehandlung der Signaturprüfung, so Samsung.
Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.
Von den drei übrigen geschlossenen Lücken geht dem Hersteller zufolge nur ein niedriges bis mittleres Risiko aus. Eine (SVE-2015-5301) erlaubte mittels AT-Befehlen via USB trotz gesperrtem Bildschirm die Kontrolle des Geräts. Eine andere (SVE-2016-5871) resultierte aus falsch konfigurierten Verschlüsselungsarten beim Versand von E-Mails. Außerdem gab es Unterschiede zwischen der SIM-Lock-Anleitung und der tatsächlichen Funktionsweise (SVE-2016-5381), weshalb Samsung die Beschreibung angepasst hat.
Besitzer der Galaxy-Modelle S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5, S5 Active sowie Note 5, Note 4, Note Edge und A5x sollten die Sicherheitsupdates in Kürze Over the Air erhalten. Mit ihnen wird das Android Security Patch Level auf den Stand „1. Juni 2016“ aktualisiert.
[mit Material von Liam Tung, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
