Samsungs "Find my Mobile" ist undicht und nimmt Befehle von Außen an
Entdeckt wurde die Schwachstelle von Sicherheits-Forschern des National Institute of Standards and Technology (NIST) der USA. Diese messen der Zero-Day-Schwachstelle einige Bedeutung zu. Aktuell gibt es noch keine Informationen darüber, wann Samsung einen Patch bereitstellen kann. Zumindest dürfte eine Attacke allerdings nicht dazu führen, dass der Täter Zugang zu persönlichen Daten bekommt.
Hingegen lässt sich der Bug ausnutzen, um eine Art DoS-Angriff auf Samsung-Smartphones zu starten. Das Problem liegt laut den Sicherheits-Experten darin, dass die Funktion Steuerungs-Befehle von Außen ohne weitere Prüfung umsetzt. Offenbar haben sich die zuständigen Entwickler bei Samsung gedacht, dass es genügt, wenn die Find My Mobile-Webseite selbst ausreichend geschützt ist.
Im Normalfall kann sich der Anwender bei dieser einloggen und verschiedene Befehle absetzen. Allerdings prüft die Gegenstelle auf dem Telefon nicht, ob die Weisungen auch von der richtigen Stelle kommen. So kann ein Angreifer die Impulse von beliebiger Stelle aus an Samsung-Smartphones schicken. Das kann im weniger schlimmen Fall dazu führen, dass das Gerät in unpassendsten Momenten Alarmtöne spielt. Aber auch eine Remote-Sperrung des Smartphones und die Löschung der enthaltenen Daten ist möglich. Der ägyptische Sicherheits-Forscher Mohamed A. Baset hat verschiedene Angriffe im obigen Video demonstriert.
Das Find My Mobile-Feature, das Samsung in die für seine Smartphones optimierte Android-Version implementiert, fällt hier nicht zum ersten Mal mit einem Sicherheits-Problem auf. In der Vergangenheit wurde beispielsweise entdeckt, dass Passwörter unverschlüsselt übertragen wurden. Eine weitere Schwachstelle ermöglichte einen Eingriff in die SMS-Kommunikation, was im schlimmsten Fall dazu führen konnte, dass Angreifer an TAN-Nummern für Finanztransaktionen kommen.
Hingegen lässt sich der Bug ausnutzen, um eine Art DoS-Angriff auf Samsung-Smartphones zu starten. Das Problem liegt laut den Sicherheits-Experten darin, dass die Funktion Steuerungs-Befehle von Außen ohne weitere Prüfung umsetzt. Offenbar haben sich die zuständigen Entwickler bei Samsung gedacht, dass es genügt, wenn die Find My Mobile-Webseite selbst ausreichend geschützt ist.
Im Normalfall kann sich der Anwender bei dieser einloggen und verschiedene Befehle absetzen. Allerdings prüft die Gegenstelle auf dem Telefon nicht, ob die Weisungen auch von der richtigen Stelle kommen. So kann ein Angreifer die Impulse von beliebiger Stelle aus an Samsung-Smartphones schicken. Das kann im weniger schlimmen Fall dazu führen, dass das Gerät in unpassendsten Momenten Alarmtöne spielt. Aber auch eine Remote-Sperrung des Smartphones und die Löschung der enthaltenen Daten ist möglich. Der ägyptische Sicherheits-Forscher Mohamed A. Baset hat verschiedene Angriffe im obigen Video demonstriert.
Das Find My Mobile-Feature, das Samsung in die für seine Smartphones optimierte Android-Version implementiert, fällt hier nicht zum ersten Mal mit einem Sicherheits-Problem auf. In der Vergangenheit wurde beispielsweise entdeckt, dass Passwörter unverschlüsselt übertragen wurden. Eine weitere Schwachstelle ermöglichte einen Eingriff in die SMS-Kommunikation, was im schlimmsten Fall dazu führen konnte, dass Angreifer an TAN-Nummern für Finanztransaktionen kommen.
Mehr zum Thema: Android
Kommentar abgeben
Netiquette beachten!
Beliebt im Preisvergleich
- cat umtsover:
Neue Android-Bilder
Android-Videos
-
Motorola ThinkPhone: Business-Smartphone im ThinkPad-Design
-
Lenovo Tab Extreme - Extragroßes Android-Tablet mit viel Leistung
-
Lenovo Tab P11 Pro Gen 2: Gute Alternative zu Samsung und Apple
-
Nokia Smart TV 32 Zoll: Smarter Fernseher für viele Lebenslagen
-
Tablets im Vergleich: Apple iPad 10 vs. Samsung Galaxy Tab S8
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 10:30 Uhr 
GVM 672S LED Videoleuchte, CRI97 LED Videolicht mit Stativ 20000Lux/0,5m Studiolicht led Video Beleuchtung für YouTube YouTube Studio Fotografie Fotolicht LED Kameralicht
GVM 672S LED Videoleuchte, CRI97 LED Videolicht mit Stativ 20000Lux/0,5m Studiolicht led Video Beleuchtung für YouTube YouTube Studio Fotografie Fotolicht LED Kameralicht Original Amazon-Preis
599,99 €
Blitzangebot-Preis
509,99 €
Ersparnis zu Amazon 15% oder 90 €
Neue Nachrichten
- Gaming-Laptop mit Nvidia Geforce RTX bei Media Markt mit Rabatt
- Nothing kündigt Phone (2) als "Premium"-Smartphone für Ende 2023 an
- iFixit zerlegt MacBook Pro: Zu viele Lötstellen, zu kleines Kühlelement
- Xbox-Chef Phil Spencer: Entlassungen haben keinen Einfluss auf Halo
- QNAP warnt vor kritischer Lücke: NAS-Nutzer müssen schnell reagieren
- nOS New Operating System - Mini-'Betriebssystem' für Nintendo Switch
- Neu: MyFritzApp kann Dateien in FritzNAS Umbenennen oder Löschen
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen