Samsung will Sicherheitslücke in Tastatur beheben

19. Juni 2015, 10:11
1 Posting

Hatte offenbar Entdecker über Fix falsch informiert – Knox-Update soll Ausnutzung verhindern

Recht ordentlich hat Samsung bei der Entwicklung der Tastatursoftware für die eigenen Smartphones gepatzt. Nicht nur, dass diese regelmäßig unverschlüsselt und ohne Signaturcheck nach Aktualisierungen für die Sprachbibliotheken sucht – und so "Man in the Middle"-Attacken ermöglicht – läuft sie auch noch mit erhöhten Berechtigungen, wodurch der erzielbare Schaden deutlich größer wird.

Reaktion

Nun meldet sich das Unternehmen erstmals zu dem Vorfall zu Wort und betont – wenig überraschend – dass alles nicht so schlimm sei. Benötige die Ausnutzung der Lücke doch sehr spezifische Bedingungen, allen voran dass der Angreifer und das Opfer im gleichen ungeschützten Netzwerk sind, während ein Sprach-Update heruntergeladen wird.

Knox

Zudem würde das eigene Sicherheitssystem Knox die Ausnutzung solcher Lücken verhindern. Entsprechend gebe es bisher auch keine Berichte über erfolgreiche Angriffe jenseits der Untersuchungen der Forscher. Und für all jene Geräte, bei denen Knox nicht von Haus aus installiert ist, arbeite man gerade an einem Firmware-Update.

Ungereimtheiten

Allerdings gibt es in dem Blog-Eintrag auch gewisse Ungereimtheiten. Da wäre einmal die Behauptung, dass Knox schon jetzt schützen würde, obwohl auch ein unverändertes Galaxy S6 für den Angriff anfällig ist. Dazu passt dann auch, dass Samsung ein paar Absätze weiter ein Update für die Knox Security Policys ankündigt, das gegen die Attacke schützen soll.

(K)ein Update

Ein zweiter Punkt betrifft die Frage der Update-Auslieferung. Hatte Samsung doch gegenüber den Sicherheitsforschern schon vor Monaten angekündigt, dass man bereits einen entsprechend Fix an die Netzbetreiber geliefert hat. Insofern erscheint es doch etwas verblüffend, dass man jetzt nach eigenen Angaben gerade erst an der Fehlerbehebung arbeitet. Ganz überraschend kommt dies allerdings nicht, hatten sich die Forscher doch erst nachdem sie bemerkt haben, dass entgegen den Ankündigungen von Samsung auch das S6 verwundbar ist, zur Veröffentlichung entschlossen. (red, 19.6.2015)

  • Auch Samsungs Galaxy S6 ist von dem Problem betroffen.
    foto: eric risberg / ap

    Auch Samsungs Galaxy S6 ist von dem Problem betroffen.

Share if you care.