Kritische Sicherheitslücken bei vorinstallierten Samsung-Apps entdeckt

14.06.2021 13:53 Uhr Lurker

Kritische SicherheitslÃ¼cken in vorinstallierten Apps von Samsung

In einem Blogpost hat Sergey Toshin der Gründer von Oversecured, kritische Sicherheitslücken in vorinstallierten Android-Apps von Samsung aufgedeckt. Diese Lücken ermöglichten es Apps mit Geräteadministratorrechten zu installieren das Adressbuch, Anrufe und SMS zu lesen und ebenfalls beliebige Dateien als Systembenutzer zu verändern. Insgesamt handelte es sich um sieben Schwachstellen die Sergey Toshin bereits im Februar 2021 an Samsung gemeldet hatte. Für jede gemeldete Lücke erhielt er eine Bug Bounty. Samsung hat die Lücken mit den letzten Patches im April und Mai behoben.

Warnung vor schwerer Sicherheitslücke bereits im Vorjahr

Bereits im Vorjahr hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer schweren Sicherheitslücke bei Samsung-Geräten gewarnt und zur Installation von Updates geraten. Daher empfiehlt es sich die Patches schnellstmöglich zu installieren, da im Blogpost konkrete Beispiele zur Ausnutzung der Schwachstellen zu finden sind.

GDPR-Relevanz der Sicherheitslücken

Die Sicherheitslücken hätten es einem Angreifer ermöglichen können, auf Kontakte, Anrufe und SMS des Opfers zuzugreifen und diese zu manipulieren, beliebige Apps mit Geräteadministratorrechten zu installieren oder beliebige Dateien im Namen eines Systembenutzers zu lesen und zu schreiben, mittels welchem die Einstellungen des Geräts hätten geändert werden können. Folglich hätten die Schwachstellen zu einer Verletzung der Datenschutz-Grundverordnung (GDPR) führen können. Allerdings konnte Sergey Toshin Samsung dabei helfen diese Schwachstellen rechtzeitig zu identifizieren und zu beheben.

Übersicht über die Schwachstellen

Die folgende Tabelle gibt einen Überblick über die sieben Schwachstellen inklusive Verweis auf die CVEs (Abkürzung für Common Vulnerabilities and Exposures, eindeutige IDs für Sicherheitslücken).

Bug Bounty Programm von Samsung

Da Samsung ein Bug Bounty Programm anbietet, konnte Sergey Toshin als Dankeschön über 20․000$ erhalten. Es lohnt sich deshalb immer, bei entdeckten Sicherheitslücken zu überprüfen, ob das "Opfer" ein solches Programm anbietet, ebenso wie es viele große Firmen wie Facebook, Microsoft oder Sony auch tun.

Zuletzt aktualisiert am 14.11.2022 17:28 Uhr

Kommentare

Ähnliche News

Sicherheitslücken: Für SHAREit steht "Deinstall it" als Rat an

Die App SHAREit wurde für Android bereits über eine Milliarden Mal heruntergeladen und ermöglicht einen simplen Datenaustausch zwischen Smartphones.

Sicherheitslücken im Samsung Galaxy Store: Angreifer können Apps installieren und bösartige Webseiten öffnen

Samsung Galaxy Store lässt Angreifer Dein Smartphone infiltrieren

Die Sicherheitsforscher der NCC Group haben Ende letzten Jahres zwei neue Schwachstellen im Samsung Galaxy Store entdeckt. Mit der ersten Lücke können Angreifer beliebige Apps auf fremden Geräten installieren, ohne dass der Besitzer davon etwas mitbekommt.

Mozilla behebt kritische Sicherheitslücke in Firefox nach erfolgreichem Hacking-Wettbewerb

Um die Sicherheit der Webbrowser Firefox, Firefox ESR und Tor zu gewährleisten, wurden kürzlich Sicherheitsupdates veröffentlicht die ebenfalls kritische Lücken schließen.

Hacking Team Leak: Mobile Trojaner gefährden Android und iOS

Sicherheitsexperten warnen vor Spionage-Apps für Android und iOS die offenbar aus der Hand des italienischen Hacking Team stammen. Nach Spyware für die iOS-Geräte iPhone, iPad und iPod Touch haben Sicherheitsforscher jetzt im Google Play Store eine gefälschte Nachrichten-App für Android entdeckt.

Sicherheitslücke in Bildschirmsperre bei Android 4.1.2 entdeckt

Nicht nur das iPhone, allerdings ebenfalls Smartphones mit Android-Betriebssystem haben Sicherheitslücken. Eine davon wurde jetzt in Android 4․1․2 entdeckt und ermöglicht es selbst Laien, den Passwortschutz des Telefons auszuhebeln und auf einzelne Funktionen des Gerätes zuzugreifen.