Googles Project Zero testet das Galaxy S6 Edge - eine Katastrophe
Bericht ausführte, habe man sich zuvor schon mit den hauseigenen Nexus-Geräten befasst. Allerdings werde die Mehrzahl der verkauften Android-Smartphones von Drittherstellern auf den Markt gebracht, die selbst noch auf allen Rechte-Ebenen Modifikationen am Betriebssystem vornehmen. Daher habe man sich ein Bild davon machen wollen, wie verwundbar die Systeme sind und wie schnell Sicherheitslücken repariert werden.
Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Wie die Projektleiterin Natalie Silvanovich in ihrem Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Fremder Code findet leichte Wege
Eine Schwachstelle entstand laut dem Bericht durch einen Prozess, der den Download-Ordner regelmäßig nach ZIP-Dateien durchsucht und diese entpackt, um die Inhalte dem Nutzer zugänglich zu machen. Allerdings wurde hier beim Extrahieren keine Prüfung der Pfadangaben durchgeführt. Einem Angreifer war es so möglich, eigenen Code an beliebige Stellen ins Dateisystem zu schreiben. Der Fehler ließ es so im Grunde zu, dass beliebige Dateien des Betriebssystems oder von Anwendungen ersetzt wurden, womit man ein Gerät letztlich komplett unter Kontrolle bekommt.Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue Android-Bilder
Android-Videos
- Honor Pad 9 ausgepackt: Erste Eindrücke zum neuen 12-Zoll-Tablet
- JRNY Fitness-App im Test: Work-out-Erfolge auf neuem Level
- Super Bowl 2024: Oreo zeigt eine Welt, in der ein Keks alles verändert
- Lenovo Tab M11: Erste Eindrücke zum Einsteiger-Tablet mit Stift
- Google zeigt beim Super Bowl, wie KI Blinden beim Fotografieren hilft
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Neue Angebote: Media Markt und Saturn rufen zum März-Abverkauf
- Nach Displays auch noch iPadOS: Apple verstolpert den iPad Pro-Start
- BitTorrent erstmals nicht mehr größte Quelle für Upload-Traffic
- Microsoft Surface: Saturn verkauft Laptops und 2-in-1s zum Sparpreis
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
- Bestpreis-Tarif: Allnet-Flat mit 25 GB im Telekom-Netz für 9,99 Euro
- Blackwell B200: Nvidia will seinen bisherigen Super-Chip noch toppen
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
WP-development progress :: interface and functionality
el_pelajo - vor 10 Minuten -
Problem mit Microsoft 356 Business & extern gehosteten Exchange Po
MrRobot24 - Heute 10:29 Uhr -
Fritzbox USB Fernanschluss ist irgendwie blockiert?
venom30 - Heute 10:27 Uhr -
WSA Abschaltung
Stefan_der_held - Heute 09:54 Uhr -
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen