Galaxy S6 und S6 Edge sind für Freak-Lücke anfällig

Die Sicherheitslücke kann nicht mit der im Google Play Store verfügbaren WebView-Komponente geschlossen werden. Das Galaxy Note Edge ist sogar noch für die 2014 entdeckte Poodle-Schwachstelle anfällig. Auch LG-Telefone sind von der Sicherheitslücke betroffen. Anwender sollten einen alternativen Browser nutzen.

Die aktuellen Samsung-High-End-Smartphones Galaxy S6 (SM-G920F) und S6 Edge (SM-G925F) sind anfällig für die Anfang März entdeckte SSL-Sicherheitslücke Freak. Das ergibt eine von ZDNet durchgeführte Überprüfung mittels der Sicherheitstests von Qualys. Noch schlimmer ist es um die Sicherheit bei Galaxy Note Edge (SM-N915FY) bestellt. Dessen integrierter Browser weist sogar noch die 2014 entdeckte Poodle-Schwachstelle auf.

S6 und S6 Edge arbeiten mit der aktuellen Android-Version 5.0.2 Lollipop, für das Google in Form der aktualisierten WebView-Komponente, das es über den Play Store vertreibt, die Freak-Lücke geschlossen hat. Allerdings sind beide Samsung-Smartphones dazu nicht kompatibel. Offenbar verwendet Samsung eine eigene Entwicklung dieser Komponente in Verbindung mit dem integrierten Browser, der auf Chrome 38 basiert. Wie ein weiterer Test mit dem LG G Flex 2 zeigt, verwendet auch LG für ihren integrierten Browser nicht WebView. Zwar lässt sich die aktualisierte Variante aus dem Play Store installieren, die Lücke besteht aber weiterhin. Auch beim LG G3 ist dies der Fall.

Samsung und LG haben die Freak-Lücke noch nicht geschlossen (Screenshot: ZDNet.de)Samsung und LG haben die Freak-Lücke noch nicht geschlossen (Screenshot: ZDNet.de)

Für das Galaxy Note Edge steht noch eine Aktualisierung auf Android 5.0 aus, sodass WebView gar nicht installiert werden kann, da es bisher nicht zu Android 4.4.4 kompatibel ist. Und selbst wenn Samsung das Lollipop-Update für das Galaxy Note Edge ausliefert, steht zu befürchten, dass das Phablet wie die S6-Modelle dazu nicht kompatibel ist.

Die Beispiele zeigen, dass für manche Smartphone-Hersteller das Schließen von Sicherheitslücken nicht von großer Bedeutung ist. Neben Samsung und LG gehört leider auch Microsoft zu dieser Gruppe. Auch für Windows Phone gibt es noch keinen Patch. Hingegen haben Apple, Blackberry und Google kurz nach Bekanntwerden der Lücke entsprechende Updates für ihre Geräte bereitgestellt.

Sofern ein Smartphone noch von der Freak-Lücke betroffen ist, was sich sehr einfach über den SSL-Client-Test von Sicherheitsanbieter Qualys überprüfen lässt, sollten Anwender einen sicheren alternativen Browser wie Chrome oder Firefox nutzen. Leider ist dadurch die Gefahr unter Android nicht gänzlich gebannt. Sehr viele Anwendungen nutzen zur Darstellung von Webinhalten die in Android integrierte WebView-Komponente. Die meisten Apps, die sich über Einblendung von Werbung finanzieren, verwenden diese beispielsweise. WebView basiert seit Android 4.4 auf Chrome und kann prinzipiell als eigenständige Applikation über den Google Play Store aktualisiert werden. Derzeit steht sie allerdings nur für Android 5.0 zur Verfügung. Dadurch sind beispielsweise alternative Browser, die WebView nutzen, automatisch geschützt oder eben nicht – je nachdem, ob Google WebView mit Sicherheitsaktualisierungen absichert. Die Beispiele Samsung und LG zeigen allerdings, dass deren integrierte Browser offenbar nicht auf Googles WebView basieren, sondern auf einer eigenen Entwicklung. In diesem Fall müssten die Hersteller selbst die Freak-Schwachstelle schließen.

Googles aktualisierte WebView-Komponente ist nicht kompatibel zu Samsung-Geräten (Screenshot: ZDNet.de)Googles aktualisierte WebView-Komponente ist nicht kompatibel zu Samsung-Geräten (Screenshot: ZDNet.de)

Nutzer von Android 4.3 sollten zudem die Nutzung von werbefinanzierten Apps meiden. Einige Anwendungen wie Facebook erlauben in den Einstellungen Links in einem externen Browser zu öffnen. Diese Option sollte aktiviert weren, sofern Firefox oder ein anderer sicherer Browser als Standard festgelegt ist. Alternativ sollte man Dienste deren App diese Option nicht bietet, per Browser nutzen.

Freak ist eine mehr als zehn Jahre alte kryptografische Schwachstelle. Entdeckt hat sie ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys”. Er bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien allerdings Ende der Neunzigerjahre aufgehoben worden, die schwache Verschlüsselung findet sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten, schrieben die Pariser Forscher. Es war ihnen nach eigenen Angaben gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten sie anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

 

Themenseiten: Android, Google, LG, Samsung, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

10 Kommentare zu Galaxy S6 und S6 Edge sind für Freak-Lücke anfällig

Kommentar hinzufügen
  • Am 5. April 2015 um 9:30 von PeerH

    Da denkt man ‚Schlimmer geht’s nimmer‘ – und dann vertickert Samsung seine Premiummodelle völlig verbugt und offen wie ein Scheunentor.

    Die Aussage im Artikel muss wohl richtig sein: Samsung ist die Sicherheit der verkauften Geräte egal. Hauptsache, die Teile werden gekauft, der Rest interessiert nicht mehr.

    Kurz: Premium Preise kassieren, Schrott abliefern – it’s Samsung.

  • Am 6. April 2015 um 8:37 von punisher

    Was für eine Schande. Wie kann man sowie auf den Markt werfen?

    • Am 6. April 2015 um 10:49 von PeerHatNurAppleaugen

      Noch sind die gar nicht auf dem Markt.
      Und wenn man sich die Herstellungszeiten anguckt, dann ist klar das zu Produktionsbeginn
      Die Schwachstelle noch nicht bekannt war. Ihr habt erst recht wenn kurz nach dem offiziellen Verkaufsstart nichts passiert. Das sogar die „unfehlbaren“ aus Cuppertino so.

    • Am 6. April 2015 um 11:37 von Sabine

      Die machen eben Appple wirklich alles nach. Wenn ich da an die Einführung der Map APP und an iOS 8 denke muss ich heute noch lachen. Das Samsung auch so ein Schrott verzapft ist nicht so gut. Aber ich habe ja eh Win8Phone. Da jucken mich beide nicht. MS ist zwar noch nicht perfekt, aber auf einem guten weg.

    • Am 6. April 2015 um 16:21 von PeerH

      @punisher: Du merkst, was ich meine? Dass das Mist ist, dürfte jedem klar sein. Und das hat nichts mit Apple zu tun. Aber die Kommentare drehen sich nur um das iPhone, das ja schlimmer sei. Als ob Apple für Samsungs Mist verantwortlich wäre. Da sind die Apple-Basher wieder los.

      Dass das Samsung S6 nun seineigenes ‚Bendgate‘ hat, belustigt gerade das Heise Forum. Und das, wo doch Samsung damit geworben hat, seine Geräte seien ‚bend-fest‘ … ;-)

      Nun biegt es nicht nur, sondern bereits vorher bricht das Glas. Oh Wunder. Reine Physik. Aber das vorher über Apple lästern fällt nun auf Samsung zurück.

      @PeerHatNurAugen: und die hatten dafür ein halbes Jahr Zeit, um das zu verhindern. Nur, es war Samsung egal. Verkauft – vergessen. Wir auch die Bugfixes. ;-)

      Na ja: kauft euch ruhig eines, und nehmt am ‚WaitGate‘ teil – wait for a bugfix. Andere haben es schon, während man bei Samsung noch wartet. ;-)

      • Am 6. April 2015 um 16:59 von punisher

        Aber peerH wir wissen doch alle, das bis jetzt noch kein note in der Hosentasche verbogen wurde im Gegensatz zum iPhone 6+. DAS in einem Föh heiß diskutiert wird, ist klar. Darauf haben doch alle iPhone Spezis gewartet. Aber hey, die paar kilos machen es auch nicht besser. Wenn mein Smartphone verbogen ist, ist es für mich sowieso kaputt ;) Wenn ich ein gebogenes haben will, Kauf ich mir eines.

        • Am 6. April 2015 um 23:28 von PeerH

          Hehehe, klar. Aber wenn man KEIN verbogenes haben will, ist es mir lieber, es bleibt auch so. ;-)

          Ansonsten: wenn jemand auf das Ding vorne in der Hosentasche auch nur annähernd den Druck ausübt, der es verbiegen würde, dann wäre bei einem männlichen Besitzer die Familienplanung dahin. ;-)

  • Am 6. April 2015 um 10:36 von Uk1970

    Hey Leute, ich finde es auch nicht gut aber jetzt darauf zu meckern bringt auch nicht wer hat gemeckert als das scheiß I phone zum Rasieren und gebogene Version auf dem Markt kam ich glaube dss alle Smartphones irgendwie eine Schwachstelle haben aber so lange wie die alle reißende Absatzzahlen haben wird sich bei allen nicht viel ändern und das perfekte Smartphone kommt wahrscheinlich erst in 10 jahren……

  • Am 8. April 2015 um 12:59 von Judas Ischias

    Sind denn die Geräte z.B. im Saturn nur Ausstellungsstücke?
    Werden da noch keine verkauft? Nirgendwo?

    Dann ist das Problem doch gar kein Problem. Jedenfalls so lange die Geräte noch nicht verkauft werden.

    In der Zwischenzeit behebt Samsung den Fehler und die Käufer bekommen gleich einen Fix angeboten.

    Erst wenn dies nicht der Fall ist, dann kann man zu Recht auf Samsung einschlagen, denn so etwas wäre eine große Verarschung der Käufer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *