BSI-Warnung

Ernste Sicherheitslücke in allen Samsung-Smartphones seit Ende 2014

11.05.2020
Von 
Seine erste Berührung mit Informatik erfolgte an einem C64 samt Floppy VC 1541. Von Anfang an nutzte er diesen faszinierenden Heimcomputer nicht nur zum Daddeln, sondern auch für die Basic-Programmierung. Unter anderem half er seinen damals etwas müden Kopfrechnen-Fähigkeiten auf die Sprünge, indem er ein Programm schrieb, das immer zwei zufällig ausgewählte Zahlen zur Multiplikation stellte. Im Hintergrund lief ein Timer. Nur wenn er das Ergebnis innerhalb des vorgegebenen Zeitraums, der leider manchmal zu knapp bemessen war, richtig eintippte, bekam er einen Punkt gutgeschrieben. Seine Highscore-Ergebnisse waren durchwachsen, seine Programmierkenntnisse dafür umso besser. Der Lehrstuhl, an dem er als studentische Hilfskraft angestellt war, gehörte seinerzeit zu den Vorreitern in Sachen IT. Man übersetzte damals die griechischen Inschriften der antiken Stadt Hierapolis – heute ist dieses türkische Pamukkale bekannt durch seine Kalksinter-Terrassen. Die wissenschaftlich korrekt erfassten und kommentierten Inschriften bearbeiteten Dirscherl und Kollegen zunächst in Wordperfect. Anschließend landeten die Texte in einer Datenbank, die auf CD gepresst und für sündhaft viel Geld weltweit verkauft wurde. Über dieses epigraphische Datenbankprojekt, diverse C-Programmierereien auf Unix-Systemen und seine ersten Experimente mit Linux landete er schließlich professionell bei der IT. Seit den späten 1990-ern nutzt er Linux als Produktivsystem, seit Anfang der 2000-er Jahre ist Linux sein hauptsächliches OS. Nach vielen Jahren mit Suse Linux und Open Suse und zwischendurch Ausflügen zu Red Hat und Debian landete er bei Ubuntu und erledigt damit alle Arbeiten. Linux und C ist er bis heute treu geblieben – nach einem Ausflug zu PHP und MySQL. Mittlerweile bastelt er auch mit Arduino. Bei pcwelt.de betreut er vor allem Business-IT-Themen und hat den Auto & Technik-Bereich von Null beginnend aufgebaut. Seine Tests der Infotainmentsysteme in modernen Fahrzeugen gehören zu den ausführlichsten Tests, die man dazu überhaupt finden kann. Daneben schreibt er zudem fast täglich aktuelle Meldungen aus der IT-Welt.
In allen Android-Smartphones von Samsung, die seit zirka Ende 2014 verkauft wurden, steckt eine ernste Sicherheitslücke. Samsung hat aber bereits ein Sicherheits-Update veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt vor einer Schwachstelle in Samsung-Smartphones mit Android. Die Sicherheitslücke können Angreifer ausnutzen, um beliebigen Programmcode aus der Ferne auf dem Smartphone auszuführen. Betroffen sind Samsung-Smartphones mit Android, die seit zirka Ende 2014 verkauft wurden.

Der Angreifer muss hierzu speziell präparierte MMS (Multimedia Messaging Service) an das Smartphone schicken und einen Buffer Overflow verursachen. Der Besitzer des Samsung-Android-Smartphones muss auf die MMS nicht reagieren, es ist also keine Nutzeraktion erforderlich, um die Schwachstelle ausnutzen zu können.

Besitzer von Galaxy-Smartphones, die keine Sicherheits-Updates mehr erhalten, sollten die MMS-Funktion besser abschalten.
Besitzer von Galaxy-Smartphones, die keine Sicherheits-Updates mehr erhalten, sollten die MMS-Funktion besser abschalten.

Hierzu muss ein Angreifer allerdings eine sehr große Anzahl von speziell präparierten MMS an das Samsung-Smartphone schicken. Von bis zu 300 derartigen MMS ist die Rede; im Durchschnitt sind wohl 100 MMS erforderlich. Der Besitzer des Samsung-Smartphones bekommt von der MMS-Lawine aber unter Umständen nichts mit, weil der Angreifer den Benachrichtigungston für die MMS offensichtlich abschalten kann. Sie finden hier eine ausführliche Beschreibung der als kritisch eingestuften und als CVE-2020-8899 bezeichneten Sicherheitslücke .

Samsung stellt aber bereits ein Sicherheitsupdate bereit, das diese Lücke beseitigt. Dieses Sicherheitsupdate, datiert vom Mai 2020, sollte umgehend installiert werden; Samsung hat hier eine Beschreibung des Updates veröffentlicht. Darin wird die Lücke als SVE-2020-16747 bezeichnet. Sie können in den Einstellungen des Androiden nachschauen, ob das Sicherheitsupdate vom Mai 2020 bereits installiert ist.

Problematisch bleibt die Lage aber für ältere Samsung-Smartphones, die keine Sicherheits-Updates mehr erhalten. Wer ein derart altes Android-Smartphone besitzt und das Sicherheits-Update nicht mehr oder noch nicht bekommt, sollte den automatischen MMS-Empfang in den Einstellungen des Smartphones abschalten.

Die Lücke entdeckte der Sicherheitsforscher Mateusz Jurczyk. Er arbeitet für Google Project Zero. (PC-Welt)