Sicherheitsforscher geben Alarm. Eine Sicherheitslücke in der Tastatursoftware vieler Android-Smartphones von Samsung kann es geübten Angreifern ermöglichen, Nutzer umfassend auszuspionieren.

Betroffen ist die Samsung IME, eine eigene Adaption des Programms Swiftkey. Bis zu 600 Millionen Handys des koreanischen Hersteller könnten verwundbar sein, da das alternative Keyboard auf ihnen installiert ist.

Updateanfragen im Klartext

Entdeckt hat das Problem Ryan Welton. Er hat den Angriff auf der Blackhat-Konferenz in London auch gleich vorgeführt. Während es bei der regulären Version von Swiftkey, die jeder über Googles Play-Store beziehen kann, diese Lücke nicht gibt, lassen sich die regelmäßig an die eigenen Server geschickten Updateanfragen bei der Samsung-Edition für eine Man-in-the-Middle-Attacken nutzen. Denn die Queries werden unverschlüsselt, also im Klartext, verschick, wie "Forbes" schreibt.

Welton konnte den einzigen Sicherheitsmechanismus, eine Manifest-Datei, mit der offenbar nur der Hash des Updatepakets vorab geprüft wird, umgehen und das Vorführgerät – ein Galaxy S4 – dazu bringen, eine manipulierte Aktualisierung mit gefährlicher Fracht von einem fremden Server anzunehmen und zu behalten. Die Schwachstelle konnte Welton auch für die US-Varianten des Galaxy S4 Mini und des Galaxy S6 bestätigen. Und dürfte die meisten im Umlauf befindlichen Samsung-Phones betreffen – inklusive Galaxy S3 bis S6 sowie Galaxy Note 3 und 4.

Da Samsung den Updatepaketen umfassende Systemrechte einräumt, werden auf diesem Weg auch jene Sicherheitsmechanismen umgangen, die Android normalerweise vor der Manipulation durch die Apps von Drittherstellern schützen. Der Ursprungsfehler liegt allerdings im Software Development Kit von Swiftkey.

Gefährliche Folgen

Für den Angriff muss ein Hacker allerdings Zeit mitbringen, denn er kann nur erfolgen, wenn ein betroffenes Telefon eine Updateanfrage macht. Dies geschieht unmittelbar nach einem Neustart sowie in regelmäßigen Intervallen.

Gelingt die Attacke, können die Folgen allerdings weitreichend sein. Je nach eingeschleuster Schadsoftware könnten Telefonkontakte eingesehen, Textnachrichten oder E-Banking-Log-ins ausgelesen und diverse andere private Informationen eingesehen werden. Über den Zugriff auf Mikrofon und Kamera könnten Telefonbenutzer auch videoüberwacht werden.

Offene WLANs meiden

Zum eigenen Schutz können die Nutzer betroffener Geräte im Moment nur eingeschränkt beitragen. Empfohlen wird etwa, keine ungesicherten WLAN-Hotspots zu verwenden, wenngleich laut "Ars Technica" auch die Verwendung eines verschlüsselten Drahtlosnetzwerk keinen hundertprozentigen Schutz bietet. Auch die Nutzung einer anderen Tastatur-App schafft keine Abhilfe, da die Samsung-IME auch dann noch regelmäßig nach Updates sucht. Die Keyboard-Software lässt sich auch nicht ohne Weiteres deinstallieren.

Welton hat seinen Fund schon im November an Samsung, Google und das US-Cert gemeldet. Samsung hat nach eigenen Angaben bereits Ende März einen Patch für alle Android-Versionen ab 4.2 an die Provider ausgeliefert. Es ist aber unklar, ob die Aktualisierung bei den Nutzern angekommen ist. Auf dem Galaxy S6 für die US-Netzwerke Verizon und Sprint soll der Fehler nach wie vor bestehen. (gpi, 17.6.2015)