Samsungs "Find my Mobile" ist undicht und nimmt Befehle von Außen an

Besitzer von Samsung-Smartphones könnten in der kommenden Zeit ordentlich genervt werden. Denn in der "Find My Mobile"-Funktion wurde ein Sicherheits-Problem gefunden, über die externe Angreifer Zugriff auf verschiedene Features zur Remote-Steuerung ... mehr... Smartphone, Android, Samsung Galaxy R Bildquelle: Samsung Smartphone, Android, Samsung Galaxy R Smartphone, Android, Samsung Galaxy R Samsung

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie, ein Remote-Zugang, der nicht richtig abgesichert ist? Ein Remote-Zugang der Einmal programmiert wurde, und dann nie wieder gepatched wird? Und der soll unsicher sein? Nein .. Doch ... Ohhhh
 
@Sam Fisher: Einen Patch für den OpenSSL-Bug hat Samsung relativ kurzfristig OTA eingespielt ohne die Android-Versionsnummer zu erhöhen. Nur weil nicht die Versionsnummer erhöht wird, heißt es nicht, dass keine Updates für Lücken kommen.
 
Samsung und Software... Werden sie niemals hinbekommen!
 
@nicknicknick: Wie auch, wenn die ihre Softwar eimmer nur für eine Serie an Geräten schreiben und dann nie wieder anfassen. Das ist, leider genau so wie die Handys, wegwerfwahre ...
 
@nicknicknick: Sie bekommen es immerhin besser hin als Apple.
 
@TiKu: Genau an solchen Kommentaren kann man bei dir sehen, wie krass dein Hass auf apple dein Leben bestimmt. Ich sag es immer wieder gerne: Leute wie du würden selbst dann schimpfen, wenn apple morgen ein Mittel gegen krebs findet und es kostenlos verteilen würde. Selbst dann wäre noch alles mist.
Alter schwede...und sowas nennt sich "erwachsen"
 
@Fanel: Und vor allem das Schlimme ist ja, dass er keine Ahnung hat... :-/
 
@wingrill4: hat er nicht? ich dachte der freund von nem freund hatte mal ein iphone und daher konnte er Erfahrungen damit sammeln? oder
Bestimmt muss er es immer aus zwang auf der arbeit nutzten.
 
@TiKu: Achja wenn ich, wie samsung, erst quadcores verbauen muss, damit die Software nicht mehr durch die gegend ruckelt. Sollte samsung und vor allem fanboys wie du, eher still sein. Wenn ich daran denke wie flüssig mein 3gs damals lief... das hatte man bei samsung wann? s4? wenn überhaupt
 
@TiKu: Apple bekommt es immerhin hin.

Im Gegensatz zu dir, der von Technik nicht den Hauch einer Ahnung hat.
Troll dich doch bitte woanders hin...
 
Das interessante fehlt leider, denn welche Smartphones will Samsung patchen? Da einige alte Smartphones noch sehr beliebt sind und diese werden mit Sicherheit keinen Patch bekommen.
 
Wie wird denn die Nachricht an das Telefon zugestellt (vermutlich "über das Internet") und an jenes addressiert? Wenn ein Angreifer von beliebiger Stelle aus unter Umgehung der Samsung-Webseite (und somit der dahinterliegenden Systeme) die Steuerbefehle an ein Smartphone schicken kann, was muss er über jenes Telefon wissen, um die Befehle an es übermitteln zu können? (sprich: wie plausibel ist es, dass ein "x-beliebiger" Samsung-Nutzer Opfer eines solchen Angriffs werden kann)

(falls es in dem Video erläutert werden sollte: ich habe hier keinen Ton...)
 
@FenFire: Es ist ein CSRF, dass heißt der Nutzer muss beim Dienst eingelogt/ gerade aktiv sein, damit ein Angreifer die gefälschten Anfragen senden kann.
Edit: Etwas umgangssprachlich erklärt, wenn zwischen Seite und Handy ein Kanal geöffnet wurde, dann kann man während der Zeit weitere Dinge in den Datenstrom untermischen.
Die Frage ist sind das einfache Standard Steuerbefehle oder sind die mit zB. mit der IMEI codiert.
 
@floerido: Das klingt als seien das dann doch relativ spezielle Bedingungen, dem Angreifer muss es also gelingen sich in die Kommunikation zwischen dem Telefon und dem Dienst einzuhängen bzw. zumindest dessen Authentifizierungstoken (Sessioncookie, wie auch immer) abzugreifen?
 
@FenFire: Genau so habe ich es verstanden. Das größte Risiko kann ich mir so vorstellen. Eine böse Seite öffnet nebenbei die Samsungseite und dort logt sich der Nutzer dann ein. Dann agiert die belastete Seite und setzt das Gerät auf Werkseinstellungen zurück. Was nützt dem Angreifer aber so eine Aktion?
 
völlig egal, das wäre nur dann ein absolutes chaos wenn das bei apple so wäre ;-)
Kommentar abgeben Netiquette beachten!