Googles Project Zero testet das Galaxy S6 Edge - eine Katastrophe
Bei Google versucht man sich jetzt offenbar selbst ein Bild davon zu machen, wie schlimm es um die Sicherheit des Android-Ökosystems tatsächlich bestellt ist. Das hauseigene Project Zero, das sich auf die Fahndung nach Sicherheitslücken spezialisiert hat, nahm sich daher das Galaxy S6 Edge vor und fand katastrophale Schwachstellen.
Wie die Projektleiterin Natalie Silvanovich in ihrem Bericht ausführte, habe man sich zuvor schon mit den hauseigenen Nexus-Geräten befasst. Allerdings werde die Mehrzahl der verkauften Android-Smartphones von Drittherstellern auf den Markt gebracht, die selbst noch auf allen Rechte-Ebenen Modifikationen am Betriebssystem vornehmen. Daher habe man sich ein Bild davon machen wollen, wie verwundbar die Systeme sind und wie schnell Sicherheitslücken repariert werden.
Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.
Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.
Fremder Code findet leichte Wege
Eine Schwachstelle entstand laut dem Bericht durch einen Prozess, der den Download-Ordner regelmäßig nach ZIP-Dateien durchsucht und diese entpackt, um die Inhalte dem Nutzer zugänglich zu machen. Allerdings wurde hier beim Extrahieren keine Prüfung der Pfadangaben durchgeführt. Einem Angreifer war es so möglich, eigenen Code an beliebige Stellen ins Dateisystem zu schreiben. Der Fehler ließ es so im Grunde zu, dass beliebige Dateien des Betriebssystems oder von Anwendungen ersetzt wurden, womit man ein Gerät letztlich komplett unter Kontrolle bekommt.Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.
Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.
Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Schwer zu erkennen: Phishing-Kampagne nutzt Microsoft-Infrastruktur
- Pixel 11: So viel teurer werden die neuen Google-Smartphones
- LG-Monitor an PC angeschlossen, Windows zeigt sofort Werbung
- Forscher: Entstehung des Lebens muss anders gelaufen sein als gedacht
- Valve liefert offizielles Treiberpaket für Windows auf der Steam Machine
- PlayStation 5: Sony ignoriert die Proteste gegen das Disc-Aus
- Letzte Chance: Waipu.tv mit Sky WOW Jahrespaket stark reduziert
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Ventoy: das Tool zur Erstellung eines bootfähigen USB-Sticks
d-hubs - Heute 16:46 Uhr -
Home Assistant 2026.7 ::
d-hubs - Gestern 14:38 Uhr -
Tails - die Linux-Distribution, die konsequent auf Privatsphäre und An
d-hubs - Gestern 13:49 Uhr -
Dr.Parted Live 26.07: eine bootfähige GNU/Linux-Distri
d-hubs - 04.07. 19:10 Uhr -
Intenret nicht gefunnden
Doodle - 04.07. 17:08 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!




Alle Kommentare zu dieser News anzeigen