Ein Sicherheitsforscher von Oversecured hat mehr als ein Dutzend Sicherheitslücken in vorinstallierten Apps auf Samsung-Smartphones entdeckt. Nach erfolgreichen Attacken könnten Angreifer Geräte weitreichend kompromittieren. Bislang hat Samsung noch nicht für alle Schwachstellen Sicherheitsupdates veröffentlicht.

Keine Details für ungepatchte Lücken

In einem ausführlichen Blog-Beitrag führt der Sicherheitsforscher Informationen zu den Lücken aus. Die Einstufung des Bedrohungsgrades steht aber für den Großteil der Schwachstellen noch aus. Außerdem hält er für drei ungepatchte, ihm zufolge besonders gefährliche Lücken Details zurück, damit potenzielle Angreifer nicht zu viele Informationen bekommen. Wann die Updates erscheinen, hat Samsung noch nicht kommuniziert.

Allgemein ist uns auf Galaxy-Smartphones aufgefallen, dass sich viele Samsung-Inbox-Apps nur dann automatisch aktualisieren können, wenn man im Galaxy Store mit einem Samsung-Konto angemeldet ist.

Die ersten Lücken hat der Sicherheitsforscher eigenen Angaben zufolge im Februar 2021 an Samsung gemeldet. Welche Geräte und Android-Versionen konkret betroffen sind, ist bislang nicht bekannt.

Bug-Bounty-Prämien

Der Sicherheitsforscher hat für das Melden der Lücken an Samsungs Bug-Bounty-Programm Geldprämien eingestrichen. Die höchste Prämie (7000 US-Dollar) bekam er für die Sicherheitslücke (CVE-2021-25356) in der Managed-Provisioning-App. Diese ist mit dem Bedrohungsgrad "hoch" eingestuft. Setzt ein Angreifer erfolgreich an der Lücke an, könnte er eigene Apps mit Admin-Rechten installieren und andere Apps löschen. Samsung gibt an, die Schwachstelle am Patchday im April geschlossen zu haben.

Durch das Ausnutzen der weiteren Lücken könnten Angreifer unter anderem auf gespeicherte Kontakte und die SD-Karte zugreifen und Details von SMS-Nachrichten abrufen. Einige Attacken sollen ohne Zutun von Opfern erfolgreich sein. Für einige dieser Schwachstellen hat Samsung eigenen Angaben zufolge am Patchday im Mai Updates veröffentlicht.

(des)