Googles Project Zero testet das Galaxy S6 Edge - eine Katastrophe
Bericht ausführte, habe man sich zuvor schon mit den hauseigenen Nexus-Geräten befasst. Allerdings werde die Mehrzahl der verkauften Android-Smartphones von Drittherstellern auf den Markt gebracht, die selbst noch auf allen Rechte-Ebenen Modifikationen am Betriebssystem vornehmen. Daher habe man sich ein Bild davon machen wollen, wie verwundbar die Systeme sind und wie schnell Sicherheitslücken repariert werden.
Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Wie die Projektleiterin Natalie Silvanovich in ihrem Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Fremder Code findet leichte Wege
Eine Schwachstelle entstand laut dem Bericht durch einen Prozess, der den Download-Ordner regelmäßig nach ZIP-Dateien durchsucht und diese entpackt, um die Inhalte dem Nutzer zugänglich zu machen. Allerdings wurde hier beim Extrahieren keine Prüfung der Pfadangaben durchgeführt. Einem Angreifer war es so möglich, eigenen Code an beliebige Stellen ins Dateisystem zu schreiben. Der Fehler ließ es so im Grunde zu, dass beliebige Dateien des Betriebssystems oder von Anwendungen ersetzt wurden, womit man ein Gerät letztlich komplett unter Kontrolle bekommt.Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Mehr zum Thema: Android
Kommentar abgeben
Netiquette beachten!
Beliebt im Preisvergleich
- cat umtsover:
Neue Android-Bilder
Android-Videos
- Motorola ThinkPhone: Business-Smartphone im ThinkPad-Design
- Lenovo Tab Extreme - Extragroßes Android-Tablet mit viel Leistung
- Lenovo Tab P11 Pro Gen 2: Gute Alternative zu Samsung und Apple
- Nokia Smart TV 32 Zoll: Smarter Fernseher für viele Lebenslagen
- Tablets im Vergleich: Apple iPad 10 vs. Samsung Galaxy Tab S8
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr
ECO-Worthy Solarpanel Kit

Original Amazon-Preis
169,99 €
Blitzangebot-Preis
143,63 €
Ersparnis zu Amazon 16% oder 26,36 €
Neue Nachrichten
- Microsoft behebt nach Monaten Windows 11 Remote-Desktop-Bug
- Irreführung: HP klagt gegen China-Nachmache von Druckerpatronen
- Samsung One UI 5.1: Das ist neu - und nicht nur fürs Galaxy S23
- Optionales Windows 11-Update jetzt für alle Nutzer freigegeben
- Notebooksbilliger: Jede Woche reihenweise neue Sonderangebote
- PlugX: Malware versteckt sich auf USB-Sticks, infiziert Windows-PCs
- Start des neuen FritzOS deutet sich für die alte FritzBox 7490 an
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...

Meist kommentierte Nachrichten
Forum
-
Das neue Netzwerk konnte nicht hinzugefügt werden
Kenny - vor 2 Stunden -
Headset
henry1969 - Heute 13:40 Uhr -
USB HD über NAS als normale Platte einbinden?
WalterB - Heute 12:57 Uhr -
Win 11 Upgrade auf 22H2 funktioniert nicht....
DK2000 - Heute 02:14 Uhr -
USB wird nicht erkannt, Hinweis nervt immer wieder aufs neue
Daniela Topic - Gestern 23:01 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen