Galaxy S8 bis S21: Samsung liefert 100 Mio. Geräte mit Sicherheitslücke

Samsung hat über 100 Millionen Smartphones mit einem Sicherheitsfehler ausgeliefert. Laut Analyse von Experten hat ein Problem im System zur Speicherung von kryptografischen Schlüsseln Fremdzugriff ermöglicht. Die Entdeckung ist für die gesamte Branche wichtig.

Das wichtigste zuerst: Samsung hat sofort reagiert

Die wichtigste Information für Nutzer von Galaxy-Smartphones zuerst: Das Sicherheitsproblem, auf das Forscher der Universität Tel Aviv in Israel aufmerksam machen, betrifft zwar über 100 Millionen Geräte der Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20, und Galaxy S21-Reihen, wurde aber direkt nach Entdeckung an Samsung gemeldet. Wie Androidpolice in seinem Bericht schreibt, konnte das Unternehmen im August 2021 einen ersten Sicherheitspatch bereitstellen und ein weiteres Problem mit einem Update im Oktober 2021 ausräumen.


Daraus folgen für Nutzer auch klare Empfehlungen: Werden die erwähnten Geräte-Familien noch mit einem alten Sicherheitspatch genutzt, ist es sehr ratsam, die entsprechenden Updates durchzuführen. Sollte Samsung keinen Support mehr leisten, empfiehlt es sich nach passenden Custom ROMs von Drittanbietern Ausschau zu halten, die oft noch länger mit Sicherheits-Updates versorgt werden.

Betrifft nicht nur Galaxy-Geräte

Wie die Sicherheitsforscher unter der Überschrift "Das TrustZone Keymaster Design von Samsung" erläutern, setzen ARM-basierte Android-Smartphones auf das sogenannte "TrustZone"-System, um sicherheitsrelevante Funktionen zu implementieren. Parallel zu Android kann damit in einer sicheren Umgebung (Trusted Execution Environment, kurz TEE) das sogenannte TrustZone Operating System (TZOS) ausgeführt werden.

"Die Implementierung der kryptografischen Funktionen innerhalb des TZOS wird den Geräteherstellern überlassen, die proprietäre, nicht dokumentierte Designs entwickeln", so die Forscher. Samsung habe bei dieser Umsetzung "schwere Konstruktionsfehler" gemacht, die gespeicherte kryptografische Schlüssel und damit verbundene Daten für Dritte zugänglich machen.

Wie die Forscher betonen, fokussiert sich der Bericht zwar auf spezifische Attacken, die nur Samsung-Geräte betreffen, beleuchtet damit aber auch ein größeres Problem: "Es zeigt die viel allgemeinere Notwendigkeit offener und bewährter Standards für kritische kryptografische und sicherheitsrelevante Designs auf", so die Forscher.