Android

Fiese Sicherheitslücke in Kamera-Apps von Google und Samsung

21.11.2019
Von 
Panagiotis Kolokythas arbeitet seit Juni 2000 für pcwelt.de. Seine Leidenschaft gilt IT-News, die er möglichst schnell und gründlich recherchiert an die Leser weitergeben möchte. Er hat den Überblick über die Entwicklungen in den wichtigsten Tech-Bereichen, entsprechend vielfältig ist das Themenspektrum seiner Artikel: Windows, Soft- und Freeware, Hardware, Smartphones, soziale Netzwerke, Web-Technologien, Smart Home, Gadgets, Drohnen… Er steht regelmäßig für PCWELT.tv vor der Kamera und hat ein eigenes wöchentliches IT-News-Videoformat: Tech-Up Weekly.
Von einem bösen Bug in den Kamera-Apps von Samsung und Google für Android waren und sind Millionen Nutzer betroffen.

Die Sicherheitsexperten von Checkmarx haben am Dienstag die Details zu einer fiesen Sicherheitslücke in den Kamera-Apps für Android-Smartphone veröffentlicht. Angreifer konnten und können die Lücke missbrauchen, um ohne dem Wissen des Smartphone-Besitzers Fotos und Videos zu knipsen und dessen Standort über GPS zu ermitteln. Diese Daten können dann unbemerkt beispielsweise an einen Server gesendet werden. Schuld ist ein Fehler in den Berechtigungen, durch den sich Angreifer einen Zugriff auf die Kamera-Apps verschaffen konnten, obwohl die Android-Sicherheitsmaßnahmen dies eigentlich verhindern sollen.

In den Kamera-Apps von Samsung und Google für Android steckt(e) eine schwere Lücke
In den Kamera-Apps von Samsung und Google für Android steckt(e) eine schwere Lücke
Foto: Perfect Corp.

Der Fehler war zunächst in der Kamera-App von Google entdeckt worden. Weitere Recherchen ergaben dann aber, dass auch die Kamera-App von Samsung betroffen ist. Konkret ermöglicht die Lücke den Angreifern folgende Angriffsszenarien:

Vorbildlich zeigt sich Checkmarx im Umgang mit der Sicherheitslücke: Aufgrund der Brisanz informierten die Experten zunächst das Google-Sicherheitsteam und stellten dabei auch einen Proof-of-Concept zur Verfügung. Diese Informationen wurden am 4. Juli 2019 an Google gesendet und am gleichen Tag bestätigt. Zunächst bewertete Google die Sicherheitslücke nur als "moderat". Nach einer Rücksprache mit Checkmarx wurde die Bewertung der Lücke schließlich auf "hoch" geändert. Die entsprechende Lücke wurde dann von Google mit den Android-Sicherheitsupdates vom 1. August 2019 und der CVE-2019-2234 in der Kamera-App in Android geschlossen.

Am 18. August kontaktierte Checkmarx dann auch Samsung. Am 29. August 2019 bestätigte Samsung, dass seine Geräte ebenfalls betroffen sind und schloss die Lücke mit Updates. Im November 2019 stimmten sowohl Google als auch Samsung der Veröffentlichung der Details über die Sicherheitslücke zu.

Security: Datenleck "Mitarbeiter"

Bereits geschützt sind alle Android-Nutzer, die die Kamera-App seit Juli bereits aktualisiert haben. Wer allerdings noch eine veraltete Version der Google-Kamera-App nutzt, der könnte Opfer einer Attacke werden. Die Kamera-App von Google sollte also über den Google Play Store aktualisiert werden, wenn dies schon seit Monaten nicht mehr geschehen sein sollte. Samsung-Smartphone-Besitzer sind geschützt, wenn sie regelmäßig alle von Samsung bereitgestellten Updates für ihr Smartphone auch tatsächlich installieren. (PC-Welt)