X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Blogger warnt: Samsung vermurkst Sicherheit seiner Geräte

Klaus Wedekind
39

In jüngster Zeit häufen sich die Meldungen über kleine und große Sicherheitsprobleme bei Samsung-Geräten. Jetzt sorgt der Blogeintrag eines italienischen Sicherheitsexperten für Aufsehen, der Samsung vorwirft, gefährliche Lücken trotz seiner Warnungen nicht zu schließen.

Galaxy S3 Tuer
 © AndroidPIT

Roberto Paleari schreibt, er habe insgesamt vier Schwachstellen auf seinem Galaxy Tab GT-P1000 und seinem Galaxy S3 ausfindig gemacht, die nicht in Android vorkämem, sondern von Samsung hausgemacht seien. Er geht davon aus, dass weitere, wenn nicht sogar alle Galaxy-Geräte davon betroffen sind.

Zwei Lücken erlaubten es Angreifern, vom Nutzer unbemerkt Apps mit umfangreichen Berechtigungen zu installieren. Dies könne "huckepack" über App-Pakete mit weniger Rechten oder direkt aus alternativen Märkten geschehen. Eine weitere Schwachstelle ermögliche es Dritten SMS zu verschicken, ohne die normalerweise erforderliche Android-Berechtigung (android.permission.SEND_SMS) zu haben. Über eine weitere Lücke sollen Angreifer sogar in der Lage sein, nahezu jede beliebige Aktion auf dem Samsung-Gerät ausführen. Unter anderem könnten sie Anrufe tätigen, E-Mails oder SMS versenden. Das vierte Sicherheitsproblem erlaube es, unbemerkt Einstellungen für Netzwerke, Internet etc. verändern, schreibt Paleari.

Wie genau diese Lücken aussehen, erklärt Paleari aus verständlichen Gründen nicht. Um zu beweisen, dass seine Warnungen berechtigt sind, demonstriert er in einem Video, wie man heimlich über eine scheinbar harmlose Anwendung eine App mit hohen Berechtigungen installieren kann.

 


Link zum Video

Der Italiener schreibt, er habe Samsung bereits vor rund zwei Monaten auf die Schwachstellen hingewiesen. Und da die Lücken relativ einfach zu schließen seien, habe er eine schnelle Reaktion des Unternehmens erwartet. Zunächst habe ihn Samsung aber mitgeteilt, dass man seine Angaben überprüfe. Dann bat man ihn, seine Erkenntnisse nicht zu veröffentlichen, bevor man Sicherheitsupdates veröffentlicht habe. Dabei wies Samsung darauf hin, dass alle Patches zunächst von den Mobilfunkanbietern überprüft werden müssten. Offensichtlich hat Paleari jetzt aber die Geduld verloren. Er glaube nicht mehr daran, dass es schon bald Updates geben werde, schreibt er.

Verwandte Themen

Auch interessant

Magazin / Updates
45 vor 1 Woche

Android-Fragmentierung: 19.000 Gründe, warum sie immer bleiben wird

Magazin / Apps
29 vor 2 Wochen

Die besten Apps der Smartphone-Hersteller

Magazin / Apps
32 vor 2 Wochen

Die besten Apps für Android Wear

Kommentare

Neuen Kommentar schreiben:
  • Alain Bouayeniak 22.03.2013 Link

    oh.....ha

    0
    0
  • Michael S. 22.03.2013 Link

    kann mich Alain nur anschliessen

    0
    0
  • PS_Francisco 22.03.2013 Link

    Heftig

    0
    0
  • Benjamin S. 22.03.2013 Link

    Und mein Auto kann fliegen wenn ich mir die Aldi App auf meinem Galaxy Note 2 installiere!
    Sorry aber das ist der blödeste Mist, den ich seit langem gelesen habe!
    Es gibt Freaks, z.B. bei XDA, welche sich seit Release des S3's oder Galaxy Tabs mit den Geräten beschäftigen und ein solches "Problem" noch nicht festgestellt haben!!!???
    Und dann kommt irgendein Blogger und behauptet so etwas ohne irgendwelche Beweise vorlegen zu können/wollen?
    Ja ne, is klar!
    Die Samsung Basher werden immer einfallsreicher, unglaublich!

    0
    0
  • Simon P 22.03.2013 Link

    Was mich bei der "Provider müssen prüfen"-Aussage wundert ist das es keine Updates für Branding-Freie Geräte zur Zeit gibt...

    0
    0
  • Mario P. 22.03.2013 Link

    aha das wurde erklären wieso mein SII anrufe sporadisch tätigt und die angerufene mich zurück rufen. das ist kein scherz meinerseits denn die ausgegangene anrufe sind in die liste nachvollziehbar, sache ist das mein handy sich wärend meine arbeitszeit (9st.) in meine jacke befindet die ich nicht an habe/hatte. Die kundenbetreung meinen anbieters wussten auch nicht weiter, gut das da keine sondernummer angerufen wurden denn es wäre schwierig zu beweisen das mein handy anscheinend ein eigener wille hat.

    0
    0
  • Benjamin S. 22.03.2013 Link

    Das geilste, ist das Video!
    Der angebliche "Sicherheitsexperte" hat das ruckeligste S3, welches ich jemals gesehen habe!
    Und dann auch noch diese überhaupt nicht auffälligen App Namen!

    Ich habe übrigens auch eine Sicherheitslücke im Straßenverkehr enddeckt, man glaube es kaum aber man kann trotz eines Zebrastreifens auf der Straße überfahren werden!

    0
    0
  • Nils Falter 22.03.2013 Link

    Das ist noch der erste dem das auffällt ! Tour h Whiz is halt scheisse

    0
    0
  • PeterShow 22.03.2013 Link

    "Und dann auch noch diese überhaupt nicht auffälligen App Namen!"

    Du bist wohl der Schlaumeier vom Dienst wie?? Die Apps hat er selbst entwickelt um das zu demontrieren und auch den Namen gewählt. Echte Mailware würde sich natürlich nicht so auffällig darstellen..

    0
    0
  • android l. 22.03.2013 Link

    und mal wieder typisch Samsung xD ich könnte wetten das es wieder Monate dauert bis was passiert, wenn überhaupt

    0
    0
  • invetalcom 22.03.2013 Link

    @Benjamin S: Im Video ist das GalaxyTab P1000 zu sehen und nicht das S3.
    Erst denken und dann schreiben, auch nur wenn man etwas sinnvolles beizutragen hat^^
    Wir als Laien können das ja eh nicht beurteilen, wieso sollte er keine Lücken gefunden haben ? Schließlich sind in letzter Zeit ja einige Bugs an die Öffentlichkeit gekommen.
    Und ich bin kein Samsung Basher, habe selber ein S3 und ein P1000. Letzteres ist heute extrem ruckelig.

    0
    0
  • User-Foto
    Patrick 22.03.2013 Link

    benjamin s: +1 und gefällt mir :D

    0
    0
  • User-Foto
    Patrick 22.03.2013 Link

    das ist ruckelig weil er per remote ein video aufzeichnet ;)

    0
    0
  • Martin Urban 22.03.2013 Link

    tja, da ham die Samsung fanboys ja wieder was zu gackern.

    warum sollte er Sachen behaupten die nicht stimmen, wenn's gelogen ist könnte Samsung ihn bis ins Grab mit Schadensersatz verklagen, wegen rufschädigung

    0
    0
  • Timm Stenderhoff 22.03.2013 Link

    Hoffe andere Hersteller halten das anders. Schon lächerlich was Samsung da abzieht. Wenn se schon mit Feature Updates auf sich warten lassen oder nie liefern, ok, irgendwie blöd aber ok. Aber Sicherheitslücken? Macht zu den Mist. Aber über sowas stolpern die dann. Grade als Marktführer ist man Ziel von Lückensuchern. Da sollte man diesen kostenlosen Service auch nutzen, bevor andere die Lücken nutzen. Schon nett von dem Jung das er überhaupt mit der Veröffentlichung gewartet hat, immer noch keinen Code veröffentlicht hat und überhaupt den Code hoffentlich noch nicht verkauft hat. Ließe sich bestimmt was abgezocktes draus basteln.

    Bin mir übrigens sicher, andere Hersteller haben sich so Lücken, aber da suchen nicht so viele .

    0
    0
  • Benjamin S. 22.03.2013 Link

    Das hat nichts mit Fanboy Gegacker zu tun, sondern diese ganze Sache ist einfach Schwachsinn!
    Der Blog des guten Herren ist einfach Bullshit!
    Sicher gibt es jede Menge Bugs bei Samsung, klage selbst über welche beim Note 2!
    Aber das ist normal, damit haben ja andere Hersteller auch zu kämpfen!
    Es ist genauso wie mit dem bekannten Exynos Bug, der auf einigen Geräten der Galaxy Reihe aufgetaucht ist!
    Da wurde groß Wind gemacht und im Endeffekt war es zum größten Zeil nur heiße Luft!

    Das verhält sich mit diesem Blogbericht genauso!
    Das Problem ist, dass das Video absolut nichts aussagt und absolut keine Beweise für die Aussagen in dem Blog liefert!

    Es fehlen einfach genau die Beweise, die den Blog glaubhaft machen könnten!
    Und solange solche angeblichen Sicherheitslücken eben nicht in Massen auftreten, sind solche Blogs als äußert fragwürdig zu betrachten!

    Und ich bin mit Sicherheit auch kein Laie, sondern ein User mit ein bißchen Verstand!

    0
    0
  • J. David S. 22.03.2013 Link

    Okay, und was will er mit der veröffentlichung bezwecken?..
    Find das einfach nur bescheuert.
    Er hat es Samsung gemeldet.. und dabei hätte er beruhen lassen müssen.. Man sollte den eig. geradewegs wegen Fahrlässigkeit ankreiden.

    0
    0
  • Jörg V. 22.03.2013 Link

    @Benjamin,

    wenn sich aber auf deinem Device unbemerkt eine App installiert und diese dann in der Nacht kostenpflichtige SMS verschickt, welche Dich in Summe richtig Geld kosten .. dann wirst Du vermutlich nicht mehr so laut "Schwachsinn" schreien.

    Um derlei Sicherheitslücken kann man gar nicht genug "Publicity" machen ... ansonsten passiert in der Regel nicht allzu viel. Ausser man hat einen entsprechenden Ansprechpartner bei Samsung in Korea. Dies vorrausgesetzt und mit vernünftiger Argumentation ist Samsung relativ flott in der Umsetzung von Sicherheitsupdates.

    0
    0
  • Benjamin S. 22.03.2013 Link

    @ Jörg

    Da sind wir wieder bei der Sache mit dem Verstand!
    Wer bei der Installation bei Apps nicht darauf achtet, was er da überhaupt installiert, darf sich später auch nicht beschweren!

    Es wird sich mittlerweile immer nach absoluter Sicherheit gesehnt und es tut mir leid da viele enttäuschen zu müssen, aber absolute Sicherheit gibt es nicht, gab es nie und wird es auch nie geben!

    0
    0
  • Jörg V. 22.03.2013 Link

    @benjamin .. Verstand hin Verstand her .. bei derartigen Lücken bekomsmt Du eben das auch mit dem besten Verstand nicht mit.

    Ich habe schon mehr als eine Sicherheitslücke auf Samsung Devices und im Android-Code aufgedeckt und zum Fixing beigetragen. Glaub mir bitte, dass dies nichts mit GMV zu tun hat und auch nichts mit absoluter Sicherheit. Da gehts teilweise einfach um schlampige Qualitätssicherung bei der Adaptierung von Android-Klassen auf die Samsung Touchwiz Oberfläche.

    Absolute Sicherheit kann und darf niemand bei Geräten dieser Klasse erwarten. Das wirst Du eher im Mil-Standard finden. Was ich aber erwarten kann, ist Sicherheit die nicht geringer ist als das was Google im Android-Basis Paket ausliefert.

    0
    0
  • Alex 22.03.2013 Link

    Ich warne: Apple vermurkst Sicherheit seiner Geräte. Schon seit 3 Monaten die selben Lücken, die eigentlich sehr einfach zu schließen sind. ;)
    Spaß bei Seite. Lücken haben viele Hersteller.

    0
    0
  • Thomas R. 22.03.2013 Link

    So wie ich das Bashing irgend eines Gerätes dumm finde, so finde ich aber auch das peinliche verteidigen um jeden preis unnötig. Als wenn diverse User Geld von den herstellern bekommen würden.

    Es ist sehr wohl so, auch auf XDA konnte ich so etwas lesen wie ich mich erinnere, dass es auf diversen Devices (nicht nur aber auch) von samsung Bugs gibt

    Ist ja an sich nichts außergewöhnliches. Jeder Hersteller hat das. Aber ich kenne Samsung auch noch von der Notebook-Seite her und da war es ebenfalls so, dass Samsung die Lücken erst nach einer gewissen Zeit geschossen hat.

    Das lustige dabei ist, und man darf nicht vergessen, dass der Hersteller aus Asien kommt, dass nach etwas Zeit Samsung dann in einer Note verlautbart, dass man einen Fehler gefunden und diesen bereits geschlossen hat.

    Das ist dann der selbe Fehler (etwas umschrieben) und man verlautbart dies nach dem Fix für dieses Problem.
    dabei geht es offenbar auch um den Stolz und die Ehre (Gesicht) des Herstellers aus Korea. Acer (kommt ja aus taiwan) macht das auch ganz gerne.

    0
    0
  • Frank K. 22.03.2013 Link

    @Benjamin S.:

    Lass es bitte. Was du hier schreibst, hört sich für mich nach völligem Quatsch an. Dass es immer irgendwo Lücken gibt und keine absolute Sicherheit, ist doch schon so alt wie die Computer selbst.

    Wenn irgendwo Sicherheitslücken auftauchen, muss man nicht gleich den Teufel an die Wand malen. Wenn aber chronisch in Samsungs OS Sicherheitslücken auftauchen, welche es in Android so nicht gibt, sollte man darüber zumindest mal berichten. Und was definitiv fest steht: Sicherheitsupdates und Bugfixes sollten schnell verteilt werden und gerade was Samsung macht, ist nicht ok, wenn es denn so ist, wie geschildert.

    0
    0
  • User-Foto
    Stefan K. 22.03.2013 Link

    Heiße Luft mit den Bugs oder der Qualität kann ich nicht bestätigen. Nach dem 3G, S1, S2 und jetzt Note 2 kann ich sagen, dass die Stabilität der Samsung Geräte nicht die beste ist. Vom Support will ich gar nicht reden. Komplette Baureihen des S3 und Note 2 stellen zum Teil nach dem Kauf das Aufladen der Batterie (Akku) ein und müssen eingeschickt werden. Ruckler Abstürze was soll ich sagen, ein gewisses Windowsfeeling ist bei Samsung immer dabei.

    Samsung eigene Apps sind Datenschutzrechtlich hochkriminell und wollen keine root User. Einmal erkannt funktioniert dann kaum etwas.

    Nicht zu vergessen, dass das rooten des Note2 wegen einer Sicherheitslücke beim Exynos funktioniert. Homescreen umgehen ist dann wohl auch heiße Luft.

    Aber über blogger ausfällig reden die man gar nicht kennt. Es kann weder bewiesen werden ob das stimmt, ebenso wenig wie nicht bewiesen werden kann, dass es nicht stimmt.

    PS das 3G macht weiterhin tapfer seinen Dienst.

    0
    0
  • Benjamin S. 22.03.2013 Link

    @ Stefan K.

    Wenn man mehreren Quellen glauben darf, betraf das sogenannte "Sudden Death" Problem der Galaxy Reihe zwischen 1.5 und 1.7% aller ausgelieferten Geräte!
    Klingt für mich nicht nach massenhaft und ist eine vertretbare Ausfallquote eines technischen Gerätes!
    Zum Exynos Bug, der ist mittlerweile seit geraumer Zeit Geschichte und auch hier halten sich Zahlen über Probleme in Grenzen und im vertretbaren Rahmen!
    Ich verteidige hier nicht Samsung, ich möchte nur darauf hinweisen, das ein gewisses Repertoire an Bugs überall vertreten ist und meist mehr Panik verursacht als eigentlich nötig ist!
    So eben auch das Hier im Blog erwähnte "Problem"!
    Wenn man dem ganzen Glauben schenkt, sieht es einfach nur wie eine Weiterentwicklung der herkömmlichen Malware aus, die wir mittlerweile schon kennen weniger nach einem Hersteller Problem.
    Aber das ganze wird wieder zu überspitzt dargestellt, was auch die typische AndroidPit News Überschrift wieder beweist!

    0
    0
  • Michael S. 22.03.2013 Link

    @benjamin: 1. wie willst du seriöse apps von weniger seriösen apps unterscheiden? 2. die app kann mit deinem Handy machen was es will. es ist völlig egal was in den Berechtigungen steht. 3. zum fliegenden Auto; ist ja völlig hirnrissig. jeder weiss, dass es nur fliegende Klassenzimmer gibt!

    0
    0
  • Christian Voigt 22.03.2013 Link

    @benjamin
    Die Quote mag okay sein, dann sollte aber die Qualitätssicherung anschlagen und die defekten Geräte entfernen bevor sie den Markt erreichen.

    @alle
    Ich denke aber auch das so ein Bug schon vor Ewigkeiten bei xda aufgetaucht wäre.oder die haben es für sich behalten, in Gegensatz zum verantwortungslosen Blogger. Ob er vertrauenswürdig ist wird nur die Zeit zeigen können *g*

    0
    0
  • Benjamin S. 22.03.2013 Link

    @ Michael S.

    Nein, erstens wähle ich Apps, die auf meinem Note 2 landen sehr sorgfältig aus und zweitens ist mein Note 2 gerootet, also bestimme ich, was Apps mit meinem Note 2 machen! ;-)
    Nur so nebenbei!

    0
    0
  • Andreas B. 22.03.2013 Link

    @Benjamin S: Will hier gar nich groß anfangen zu streiten, darum nur eine Sache bezüglich dem "man muss nur aufpassen, was man installiert" Kommentar.
    Es muss nicht immer sein, dass eine schadhafte App sofort anfängt, nach der Installation Schabernack zu treiben. Wenn man weiß, dass Samsung gerne mal länger braucht für so etwas, dann ist das doch kein Problem, darauf zu spekulieren, dass in 1-2 Monaten eine Lücke immer noch offen ist. Dann schreibt man das halt so, dass die App am 13. 05. durch das Hintertürchen etwas installiert, vielleicht auch noch so geplant, dass man zeitnah dazu ein Update rausbringt, welches diesen Codeteil wieder aus der App nimmt und schon wird die Verfolgung deutlich schwerer.
    So ein Zeitraum zwischen Einspielen und Aktivierung des Schadcodes wäre durchaus ausreichend, um gewaltig Geld zu machen.

    Edit: Ach übrigens, an alle die meinen, sowas müsste schon längst bei xda öffentlich auffindbar sein: Die Leute, die fähig sind, solche Fehler zu finden, fallen praktisch alle in eine von zwei Kategorien: Entweder man meldet es an Samsung, damit es geschlossen wird, oder man plant, die Lücke zu nutzen. Beide Seiten möchten nicht, dass sowas an die Öffentlichkeit gerät.

    0
    0
  • Peter Giese 22.03.2013 Link

    Hallo,
    ich lese eigentlich nur noch negatives über S3 und S4? Warum kann ich hier keine neutralen Info's über die beiden Geräte in der letzten Zeit hier kaum noch finden? Das schlägt sich ja schon in manchen Bereichen als Neid nieder. Egal ob es über den Store geht, oder über Leistungsbeschreibungen, Software usw. man kann doch auch im fairen eine super Diskussion fuhren. Oder haben wir das alles verlernt. Es geht nur noch ich habe das, Du hast das und alles ist schlechter oder besser. Man kann doch bevor eine App bei Android in den Store gelangt diese z.B. überprüfen.

    0
    0
  • Gaby S. 22.03.2013 Link

    Der Konsument wird ja sowieso hinten und vorne besch...! Das weiß doch jeder. Und warum sollte nur Samsung so etwas tun? Die anderen Hersteller sind um keinen Deut besser. Egal, um welches Gerät es sich handelt. Ich rede jetzt nicht nur von Smartphones. Geräte die mal eben schnell den Geist aufgeben, wenn die Garantie abgelaufen ist. Bei mir schon mehrfach vorgekommen. Und sowas ärgert massiv. Meistens rentiert sich eine Reparatur nicht, sodass man besser dran ist, gleich ein neues Gerät zu kaufen. Oder man lässt das alte reparieren und es ist nach wenigen Wochen wieder kaputt. Mir auch schon passiert, leider. Das ist reine Abzocke!

    0
    0
  • Qbit 22.03.2013 Link

    Mir ist neulich auch etwas komisches bei meinem SGS2 aufgefallen. Wenn ich mein Handy starte, dann sehe ich noch vor der PINeingabe den Lockscreen. Diesen kann ich auch ohne Probleme schließen und habe vollen Zugriff auf das Handy, bis plötzlich der PIN abgefragt wird. Das kann teilweise recht lange dauern, so dass man eigentlich genug Zeit hat, "böses" zu tun.

    Ich glaube, dass das Problem erst seit dem JB Update aufgetaucht ist und es erinnert mich an den Lockscreenbug.

    0
    0
  • Laurin 22.03.2013 Link

    Das ist schon beängstigend .

    0
    0
  • Syagrius 22.03.2013 Link

    Solche Sicherheitslücken können nie Ernst genug genommen werden.

    0
    0
  • Joe F. 22.03.2013 Link

    Ähnliche Probleme haben leider auch andere Hersteller - nur verursacht Samsung durch ziemlich miese Software (kann man leider nicht anders formulieren), die die bestehende Android-Sicherheit defacto umgehen bzw. aushebeln oder die Regeln von sicherheitsrelevanter System-Programmierung von Linux/Unix-Systemen komplett ignorieren. Des öfteren hatte ich bereits das dringende Gefühl, mich für den Berufsstand der Entwickler zu schämen - jedenfalls wenn es um Produkte von Samsung ging! (und ich meine hier nicht nur Software...)

    0
    0
  • A. Kempe 23.03.2013 Link

    Kaum schreibt jemand negativ über den heiligen Gral Samsung da kommen auch schon die Fanboys aus den Löchern gekrochen. Das ist an Armseligkeit einfach nicht zu übertreffen.

    0
    0
  • User-Foto
    Stefan K. 23.03.2013 Link

    @a.kempe nur ein fanbubbi ist hier zu finden.
    @peter giese das ist doch eine ordentliche Diskussion. Wenn es was positives von meiner Seite zu sagen gebe würde ich es sagen. Aber die Zeichen die von Google und Samsungs ausgehen lassen nichts gutes erwarten. Wollen hoffen dass alternativen wie Ubuntu und vielleicht später auch Mozilla es besser machen.
    Intel phones sind da was cpu bugs angeht auch die bessere Wahl.

    0
    0
  • Nemeziz 23.03.2013 Link

    Samsung verkackt es gerade.
    1. Mit dem S4 was sowieso kaum jemand kauft, wegen billigsten Design.
    2.Weil Samsung wie Apple die Preise hebt.
    Trotz das es ein High End Smartphone ist.
    Wenn man das Nexus 4 anguckst merkt man den Preis Unterschied zwischen S3 und Nexus 4.
    Auch wenn Google nicht so interessiert ist an teuren Smartphone sondern verdient das Geld durch Apps und...
    Aber der Preis ist ein rissen Unterschied.
    Das Nexus 4 ist besser von Hardware aber günstiger und das ist das Erfolgs Rezept.

    Benjamin S.
    Du verteidigst Samsung obwohl sie viele Fehler machen und die Sicherheitslücken haben.
    Samsung baut in letzter Zeit Scheisse.
    Und du laberst einfach Kacke.
    Geh weg von Internet und guck lieber Fernseher.

    0
    0
  • Monti:D 23.03.2013 Link

    @Benjamin Oh oh zwölf jähriger dessen erstes handy von Samsung war...

    0
    0