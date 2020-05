Mateusz Jurczyk, ein Sicherheitsforscher aus Googles Project Zero-Team, hat Bugs entdeckt, die seiner Einschätzung nach in verschiedenen Kombinationen und Ausprägungen alle Android-Geräte von Samsung betreffen, die seit Ende 2014 / Anfang 2015 bis heute auf den Markt gekommen sind.

Nach Analysen des Forschers unterstützt das Samsung-spezifisch angepasste Android seit der zweiten Jahreshälfte von 2014 das Bildformat QMAGE (.qmg). Die Bugs betreffen die Art und Weise, wie Samsungs Android-Flavor (unter Verwendung der Android-Grafikbibliothek Skia) QMAGE-Bilder verarbeitet.

Aus den Bugs resultiere wiederum eine Schwachstelle, die Angreifer mittels speziell präparierter Multimedia-SMS (Multimedia Messaging Service, MMS) ausnutzen könnten, um aus der Ferne Code auf den verwundbaren Geräten auszuführen (Remote Code Execution). Eine Nutzerinteraktion (z.B. Öffnen der MMS) sei hierfür nicht notwendig.

Der Angriff erfordere ein recht hohes MMS-Aufkommen zwischen 50 und 300 MMS. Allerdings habe der Forscher einen Weg gefunden, den Benachrichtigungston bei deren Empfang zu unterdrücken, so dass auch lautlose Angriffe möglich seien. Weitere Details zum Angriff sind Jurczyks detaillierter Beschreibung zu entnehmen.

Der Schwachstelle wurde die CVE-Nummer CVE-2020-8899 und der höchstmögliche CVSS-v3-Score 10.0 ("critical") zugewiesen. beziehungsweise der Schwachstelle enthält Proof-of-Concept-Code für den von ihm entwickelten Angriff via MMS. Er will ihn nach eigenen Angaben an (mindestens) 20 Samsung-Smartphone-Modellen erfolgreich getestet haben.

Berichte über einen Missbrauch des Exploits in freier Wildbahn gibt es bislang nicht. Dies könnte sich angesichts der nun verfügbaren Anleitung aber bald ändern.

Im Video demonstriert der Forscher seinen Angriff am Beispiel eines Galaxy Note 10+.

Samsung hat die Schwachstelle im Zuge seines Mai-Updates gepatcht. In Samsungs ausführlichem Advisory zu den Updates wird die Lücke statt mit der CVE-Nummer mit der internen Bezeichnung SVE-2020-16747 aufgeführt.

Welche Geräte das Mai-Update erhalten (und zu welchem Zeitpunkt) , geht aus dem Advisory nicht konkret hervor: Samsung schreibt lediglich, dass die wichtigsten "Flaggschiff-Modelle" es im Zuge des monatlichen "Security Maintenance Release (SMR)"-Prozesses bekommen.

Eine separate Übersicht über die Update-Zyklen von Samsungs Android-Geräten legt die Vermutung nahe, dass einige Geräte das betreffende Update erst später (im Rahmen eines vierteljährlichen Zyklus) erhalten. heise Security hat diesbezüglich bei Samsung nachgefragt; die Antwort steht jedoch noch aus.

