Verfasst von:

Blogger warnt: Samsung vermurkst Sicherheit seiner Geräte

Verfasst von: Klaus Wedekind — 22.03.2013

In jüngster Zeit häufen sich die Meldungen über kleine und große Sicherheitsprobleme bei Samsung-Geräten. Jetzt sorgt der Blogeintrag eines italienischen Sicherheitsexperten für Aufsehen, der Samsung vorwirft, gefährliche Lücken trotz seiner Warnungen nicht zu schließen.

Galaxy S3 Tuer
 © AndroidPIT

Roberto Paleari schreibt, er habe insgesamt vier Schwachstellen auf seinem Galaxy Tab GT-P1000 und seinem Galaxy S3 ausfindig gemacht, die nicht in Android vorkämem, sondern von Samsung hausgemacht seien. Er geht davon aus, dass weitere, wenn nicht sogar alle Galaxy-Geräte davon betroffen sind.

Zwei Lücken erlaubten es Angreifern, vom Nutzer unbemerkt Apps mit umfangreichen Berechtigungen zu installieren. Dies könne "huckepack" über App-Pakete mit weniger Rechten oder direkt aus alternativen Märkten geschehen. Eine weitere Schwachstelle ermögliche es Dritten SMS zu verschicken, ohne die normalerweise erforderliche Android-Berechtigung (android.permission.SEND_SMS) zu haben. Über eine weitere Lücke sollen Angreifer sogar in der Lage sein, nahezu jede beliebige Aktion auf dem Samsung-Gerät ausführen. Unter anderem könnten sie Anrufe tätigen, E-Mails oder SMS versenden. Das vierte Sicherheitsproblem erlaube es, unbemerkt Einstellungen für Netzwerke, Internet etc. verändern, schreibt Paleari.

Wie genau diese Lücken aussehen, erklärt Paleari aus verständlichen Gründen nicht. Um zu beweisen, dass seine Warnungen berechtigt sind, demonstriert er in einem Video, wie man heimlich über eine scheinbar harmlose Anwendung eine App mit hohen Berechtigungen installieren kann.

 


Link zum Video

Der Italiener schreibt, er habe Samsung bereits vor rund zwei Monaten auf die Schwachstellen hingewiesen. Und da die Lücken relativ einfach zu schließen seien, habe er eine schnelle Reaktion des Unternehmens erwartet. Zunächst habe ihn Samsung aber mitgeteilt, dass man seine Angaben überprüfe. Dann bat man ihn, seine Erkenntnisse nicht zu veröffentlichen, bevor man Sicherheitsupdates veröffentlicht habe. Dabei wies Samsung darauf hin, dass alle Patches zunächst von den Mobilfunkanbietern überprüft werden müssten. Offensichtlich hat Paleari jetzt aber die Geduld verloren. Er glaube nicht mehr daran, dass es schon bald Updates geben werde, schreibt er.

Quelle: Kaspersky Lab

Before becoming editor-in-chief of AndroidPIT together with Andreas in August 2012, Klaus worked as a tech editor for the news portal n-tv.de. His first smartphone was an HTC Legend, and he has been a huge Android fan ever since. Klaus has been living in Berlin for the past 20 years, though he still loves southern German cuisine and remains a faithful supporter of FC Bayern Munich.

39 Kommentare

Neuen Kommentar schreiben:
  • Monti:D 23.03.2013 Link zum Kommentar

    @Benjamin Oh oh zwölf jähriger dessen erstes handy von Samsung war...

  • Nemeziz 23.03.2013 Link zum Kommentar

    Samsung verkackt es gerade.
    1. Mit dem S4 was sowieso kaum jemand kauft, wegen billigsten Design.
    2.Weil Samsung wie Apple die Preise hebt.
    Trotz das es ein High End Smartphone ist.
    Wenn man das Nexus 4 anguckst merkt man den Preis Unterschied zwischen S3 und Nexus 4.
    Auch wenn Google nicht so interessiert ist an teuren Smartphone sondern verdient das Geld durch Apps und...
    Aber der Preis ist ein rissen Unterschied.
    Das Nexus 4 ist besser von Hardware aber günstiger und das ist das Erfolgs Rezept.

    Benjamin S.
    Du verteidigst Samsung obwohl sie viele Fehler machen und die Sicherheitslücken haben.
    Samsung baut in letzter Zeit Scheisse.
    Und du laberst einfach Kacke.
    Geh weg von Internet und guck lieber Fernseher.

  • 37
    Stefan K. 23.03.2013 Link zum Kommentar

    @a.kempe nur ein fanbubbi ist hier zu finden.
    @peter giese das ist doch eine ordentliche Diskussion. Wenn es was positives von meiner Seite zu sagen gebe würde ich es sagen. Aber die Zeichen die von Google und Samsungs ausgehen lassen nichts gutes erwarten. Wollen hoffen dass alternativen wie Ubuntu und vielleicht später auch Mozilla es besser machen.
    Intel phones sind da was cpu bugs angeht auch die bessere Wahl.

  • A. Kempe 23.03.2013 Link zum Kommentar

    Kaum schreibt jemand negativ über den heiligen Gral Samsung da kommen auch schon die Fanboys aus den Löchern gekrochen. Das ist an Armseligkeit einfach nicht zu übertreffen.

  • Joe F. 22.03.2013 Link zum Kommentar

    Ähnliche Probleme haben leider auch andere Hersteller - nur verursacht Samsung durch ziemlich miese Software (kann man leider nicht anders formulieren), die die bestehende Android-Sicherheit defacto umgehen bzw. aushebeln oder die Regeln von sicherheitsrelevanter System-Programmierung von Linux/Unix-Systemen komplett ignorieren. Des öfteren hatte ich bereits das dringende Gefühl, mich für den Berufsstand der Entwickler zu schämen - jedenfalls wenn es um Produkte von Samsung ging! (und ich meine hier nicht nur Software...)

  • Syagrius 22.03.2013 Link zum Kommentar

    Solche Sicherheitslücken können nie Ernst genug genommen werden.

  • Laurin 22.03.2013 Link zum Kommentar

    Das ist schon beängstigend .

  • Qbit 22.03.2013 Link zum Kommentar

    Mir ist neulich auch etwas komisches bei meinem SGS2 aufgefallen. Wenn ich mein Handy starte, dann sehe ich noch vor der PINeingabe den Lockscreen. Diesen kann ich auch ohne Probleme schließen und habe vollen Zugriff auf das Handy, bis plötzlich der PIN abgefragt wird. Das kann teilweise recht lange dauern, so dass man eigentlich genug Zeit hat, "böses" zu tun.

    Ich glaube, dass das Problem erst seit dem JB Update aufgetaucht ist und es erinnert mich an den Lockscreenbug.

  • Gaby S. 22.03.2013 Link zum Kommentar

    Der Konsument wird ja sowieso hinten und vorne besch...! Das weiß doch jeder. Und warum sollte nur Samsung so etwas tun? Die anderen Hersteller sind um keinen Deut besser. Egal, um welches Gerät es sich handelt. Ich rede jetzt nicht nur von Smartphones. Geräte die mal eben schnell den Geist aufgeben, wenn die Garantie abgelaufen ist. Bei mir schon mehrfach vorgekommen. Und sowas ärgert massiv. Meistens rentiert sich eine Reparatur nicht, sodass man besser dran ist, gleich ein neues Gerät zu kaufen. Oder man lässt das alte reparieren und es ist nach wenigen Wochen wieder kaputt. Mir auch schon passiert, leider. Das ist reine Abzocke!

  • Peter Giese 22.03.2013 Link zum Kommentar

    Hallo,
    ich lese eigentlich nur noch negatives über S3 und S4? Warum kann ich hier keine neutralen Info's über die beiden Geräte in der letzten Zeit hier kaum noch finden? Das schlägt sich ja schon in manchen Bereichen als Neid nieder. Egal ob es über den Store geht, oder über Leistungsbeschreibungen, Software usw. man kann doch auch im fairen eine super Diskussion fuhren. Oder haben wir das alles verlernt. Es geht nur noch ich habe das, Du hast das und alles ist schlechter oder besser. Man kann doch bevor eine App bei Android in den Store gelangt diese z.B. überprüfen.

  • Andreas B. 22.03.2013 Link zum Kommentar

    @Benjamin S: Will hier gar nich groß anfangen zu streiten, darum nur eine Sache bezüglich dem "man muss nur aufpassen, was man installiert" Kommentar.
    Es muss nicht immer sein, dass eine schadhafte App sofort anfängt, nach der Installation Schabernack zu treiben. Wenn man weiß, dass Samsung gerne mal länger braucht für so etwas, dann ist das doch kein Problem, darauf zu spekulieren, dass in 1-2 Monaten eine Lücke immer noch offen ist. Dann schreibt man das halt so, dass die App am 13. 05. durch das Hintertürchen etwas installiert, vielleicht auch noch so geplant, dass man zeitnah dazu ein Update rausbringt, welches diesen Codeteil wieder aus der App nimmt und schon wird die Verfolgung deutlich schwerer.
    So ein Zeitraum zwischen Einspielen und Aktivierung des Schadcodes wäre durchaus ausreichend, um gewaltig Geld zu machen.

    Edit: Ach übrigens, an alle die meinen, sowas müsste schon längst bei xda öffentlich auffindbar sein: Die Leute, die fähig sind, solche Fehler zu finden, fallen praktisch alle in eine von zwei Kategorien: Entweder man meldet es an Samsung, damit es geschlossen wird, oder man plant, die Lücke zu nutzen. Beide Seiten möchten nicht, dass sowas an die Öffentlichkeit gerät.

  • Benjamin S. 22.03.2013 Link zum Kommentar

    @ Michael S.

    Nein, erstens wähle ich Apps, die auf meinem Note 2 landen sehr sorgfältig aus und zweitens ist mein Note 2 gerootet, also bestimme ich, was Apps mit meinem Note 2 machen! ;-)
    Nur so nebenbei!

  • Christian Voigt 22.03.2013 Link zum Kommentar

    @benjamin
    Die Quote mag okay sein, dann sollte aber die Qualitätssicherung anschlagen und die defekten Geräte entfernen bevor sie den Markt erreichen.

    @alle
    Ich denke aber auch das so ein Bug schon vor Ewigkeiten bei xda aufgetaucht wäre.oder die haben es für sich behalten, in Gegensatz zum verantwortungslosen Blogger. Ob er vertrauenswürdig ist wird nur die Zeit zeigen können *g*

  • Michael S. 22.03.2013 Link zum Kommentar

    @benjamin: 1. wie willst du seriöse apps von weniger seriösen apps unterscheiden? 2. die app kann mit deinem Handy machen was es will. es ist völlig egal was in den Berechtigungen steht. 3. zum fliegenden Auto; ist ja völlig hirnrissig. jeder weiss, dass es nur fliegende Klassenzimmer gibt!

  • Benjamin S. 22.03.2013 Link zum Kommentar

    @ Stefan K.

    Wenn man mehreren Quellen glauben darf, betraf das sogenannte "Sudden Death" Problem der Galaxy Reihe zwischen 1.5 und 1.7% aller ausgelieferten Geräte!
    Klingt für mich nicht nach massenhaft und ist eine vertretbare Ausfallquote eines technischen Gerätes!
    Zum Exynos Bug, der ist mittlerweile seit geraumer Zeit Geschichte und auch hier halten sich Zahlen über Probleme in Grenzen und im vertretbaren Rahmen!
    Ich verteidige hier nicht Samsung, ich möchte nur darauf hinweisen, das ein gewisses Repertoire an Bugs überall vertreten ist und meist mehr Panik verursacht als eigentlich nötig ist!
    So eben auch das Hier im Blog erwähnte "Problem"!
    Wenn man dem ganzen Glauben schenkt, sieht es einfach nur wie eine Weiterentwicklung der herkömmlichen Malware aus, die wir mittlerweile schon kennen weniger nach einem Hersteller Problem.
    Aber das ganze wird wieder zu überspitzt dargestellt, was auch die typische AndroidPit News Überschrift wieder beweist!

  • 37
    Stefan K. 22.03.2013 Link zum Kommentar

    Heiße Luft mit den Bugs oder der Qualität kann ich nicht bestätigen. Nach dem 3G, S1, S2 und jetzt Note 2 kann ich sagen, dass die Stabilität der Samsung Geräte nicht die beste ist. Vom Support will ich gar nicht reden. Komplette Baureihen des S3 und Note 2 stellen zum Teil nach dem Kauf das Aufladen der Batterie (Akku) ein und müssen eingeschickt werden. Ruckler Abstürze was soll ich sagen, ein gewisses Windowsfeeling ist bei Samsung immer dabei.

    Samsung eigene Apps sind Datenschutzrechtlich hochkriminell und wollen keine root User. Einmal erkannt funktioniert dann kaum etwas.

    Nicht zu vergessen, dass das rooten des Note2 wegen einer Sicherheitslücke beim Exynos funktioniert. Homescreen umgehen ist dann wohl auch heiße Luft.

    Aber über blogger ausfällig reden die man gar nicht kennt. Es kann weder bewiesen werden ob das stimmt, ebenso wenig wie nicht bewiesen werden kann, dass es nicht stimmt.

    PS das 3G macht weiterhin tapfer seinen Dienst.

  • Frank K. 22.03.2013 Link zum Kommentar

    @Benjamin S.:

    Lass es bitte. Was du hier schreibst, hört sich für mich nach völligem Quatsch an. Dass es immer irgendwo Lücken gibt und keine absolute Sicherheit, ist doch schon so alt wie die Computer selbst.

    Wenn irgendwo Sicherheitslücken auftauchen, muss man nicht gleich den Teufel an die Wand malen. Wenn aber chronisch in Samsungs OS Sicherheitslücken auftauchen, welche es in Android so nicht gibt, sollte man darüber zumindest mal berichten. Und was definitiv fest steht: Sicherheitsupdates und Bugfixes sollten schnell verteilt werden und gerade was Samsung macht, ist nicht ok, wenn es denn so ist, wie geschildert.

  • Thomas R. 22.03.2013 Link zum Kommentar

    So wie ich das Bashing irgend eines Gerätes dumm finde, so finde ich aber auch das peinliche verteidigen um jeden preis unnötig. Als wenn diverse User Geld von den herstellern bekommen würden.

    Es ist sehr wohl so, auch auf XDA konnte ich so etwas lesen wie ich mich erinnere, dass es auf diversen Devices (nicht nur aber auch) von samsung Bugs gibt

    Ist ja an sich nichts außergewöhnliches. Jeder Hersteller hat das. Aber ich kenne Samsung auch noch von der Notebook-Seite her und da war es ebenfalls so, dass Samsung die Lücken erst nach einer gewissen Zeit geschossen hat.

    Das lustige dabei ist, und man darf nicht vergessen, dass der Hersteller aus Asien kommt, dass nach etwas Zeit Samsung dann in einer Note verlautbart, dass man einen Fehler gefunden und diesen bereits geschlossen hat.

    Das ist dann der selbe Fehler (etwas umschrieben) und man verlautbart dies nach dem Fix für dieses Problem.
    dabei geht es offenbar auch um den Stolz und die Ehre (Gesicht) des Herstellers aus Korea. Acer (kommt ja aus taiwan) macht das auch ganz gerne.

  • Alex 22.03.2013 Link zum Kommentar

    Ich warne: Apple vermurkst Sicherheit seiner Geräte. Schon seit 3 Monaten die selben Lücken, die eigentlich sehr einfach zu schließen sind. ;)
    Spaß bei Seite. Lücken haben viele Hersteller.

  • Jörg V. 22.03.2013 Link zum Kommentar

    @benjamin .. Verstand hin Verstand her .. bei derartigen Lücken bekomsmt Du eben das auch mit dem besten Verstand nicht mit.

    Ich habe schon mehr als eine Sicherheitslücke auf Samsung Devices und im Android-Code aufgedeckt und zum Fixing beigetragen. Glaub mir bitte, dass dies nichts mit GMV zu tun hat und auch nichts mit absoluter Sicherheit. Da gehts teilweise einfach um schlampige Qualitätssicherung bei der Adaptierung von Android-Klassen auf die Samsung Touchwiz Oberfläche.

    Absolute Sicherheit kann und darf niemand bei Geräten dieser Klasse erwarten. Das wirst Du eher im Mil-Standard finden. Was ich aber erwarten kann, ist Sicherheit die nicht geringer ist als das was Google im Android-Basis Paket ausliefert.

Zeige alle Kommentare