Samsung-Update für Galaxy-Geräte schließt zwei kritische Lücken

Eine ermöglichte die Umgehung der sogenanten Factory Reset Protection. Die Funktion soll eigentlich verhindern, dass ein Gerät nach dem Zurücksetzen auf die Werkseinstellungen ohne gültige Google-Zugangsdaten neu eingerichtet werden kann. Eine fehlerhafte Signaturprüfung erlaubte zudem die Installation von Schadsoftware.

Im Anschluss an Googles jüngstes Android-Update für Nexus-Geräte hat auch Samsung Aktualisierungen für ausgewählte Galaxy-Smartphones veröffentlicht. Sie beheben 31 der 40 von Google in seinem Security Bulletin für Juni beschriebenen Schwachstellen und schließen zusätzlich fünf Lücken, die nur Samsung-Geräte betreffen.

Galaxy S7 (Bild: Samsung).Beispielsweise wurde ein kritisches Leck (SVE-2015-5068) beseitigt, das die Umgehung der sogenannten Factory Reset Protection (FRP) ermöglichte. Die Funktion soll eigentlich Diebe abschrecken, indem sie die erneute Einrichtung des Geräts nach einer Rücksetzung auf die Werkseinstellungen nur erlaubt, wenn der Anwender die vor der Rücksetzung gültigen Google-Zugangsdaten kennt.

Doch auf Galaxy-Geräten mit Android 5.0 und 5.1 kann die Schutzfunktion ausgehebelt werden, indem das Smartphone über den OTG-USB-Anschluss an ein externes Speichermedium angeschlossen wird. „Die Schwachstelle erlaubt es [Kriminellen], MeineDateien aufzurufen und via USB OTG schädliche Anwendungen im Setup-Wizard-Status zu installieren“, erklärt Samsung. „Dadurch ist es letztlich möglich, FRP zu umgehen.“

Ein anderer kritischer Fehler (SVE-2016-5923) betrifft Galaxy-Geräte mit Android 5.0, 5.1 und 6.0, die über einen Fingerabdrucksensor verfügen. Das Problem geht auf eine fehlerhafte Prüfung von Anwendungssignaturen zurück. Auch hier können Angreifer Schadsoftware einschleusen, indem sie „die Signaturprüfung [während der] Installation bestimmter Applikationen umgehen“. Der Fix sorge für eine korrekte Ausnahmebehandlung der Signaturprüfung, so Samsung.

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Von den drei übrigen geschlossenen Lücken geht dem Hersteller zufolge nur ein niedriges bis mittleres Risiko aus. Eine (SVE-2015-5301) erlaubte mittels AT-Befehlen via USB trotz gesperrtem Bildschirm die Kontrolle des Geräts. Eine andere (SVE-2016-5871) resultierte aus falsch konfigurierten Verschlüsselungsarten beim Versand von E-Mails. Außerdem gab es Unterschiede zwischen der SIM-Lock-Anleitung und der tatsächlichen Funktionsweise (SVE-2016-5381), weshalb Samsung die Beschreibung angepasst hat.

Besitzer der Galaxy-Modelle S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5, S5 Active sowie Note 5, Note 4, Note Edge und A5x sollten die Sicherheitsupdates in Kürze Over the Air erhalten. Mit ihnen wird das Android Security Patch Level auf den Stand „1. Juni 2016“ aktualisiert.

[mit Material von Liam Tung, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

2 Kommentare zu Samsung-Update für Galaxy-Geräte schließt zwei kritische Lücken

Kommentar hinzufügen
  • Am 28. August 2016 um 10:11 von Karin

    Dank der Updates hängt sich mein Handy ständig auf. Selbst Anrufe kann ich kaum noch entgegen nehmen, da das Display erst beim 3. bzw. 4. Startversuch reagiert. Von anderen Samsungbenutzern habe ich ähnliche Beschwerden gehört.
    Samsung sollte hier dringend nachbessern.

  • Am 11. September 2016 um 1:33 von Michael Mahle

    Zu dem angegebenen Update von Modell S5 active:
    Prima, dass ich letztes Jahr im USA-Urlaub dieses S5 active gekauft habe. Tolles Gerät, Softwarestand Android 5.0. Aber der Hammer: Sobald ich das Netz von AT&T USA verlassen habe, hat mein Smartphone keinerlei Updates mehr bekommen, weder OTA noch via Kies, also über ein Jahr jetzt. Eine Anfrage an Samsung Deutschland über das Einspielen von „irgendeinem“ fälligen Update, z.B. 5.1 oder gar 5.1.1 war erfolglos. „Gerät im Alleinvertrieb von AT&T USA, können wir nicht annehmen, Software haben wir nicht. Bitte an Samsung USA wenden.“

    Also Anfrage an Samsung USA: „Wir nehmen leider keine Aufträge an, deren Herkunft ausserhalb der USA ist.“ Ich brauche folglich einen Kontakt in den USA, dort das Smartphone hinschicken, dann von da bei Samsung USA eine RMA anfordern, Gerät einsenden. Dann wird geuppt. Das ganze dann retour. Was für ein hirnrissiger Schwachsinn…

    Das S5 active, wie auch alle anderen von AT&T vertriebenen Active-Derivate (S6 active, S7 active) sind außerhalb vom AT&T-Netz von allen Updates ausgeschlossen! Das weiß inzwischen jeder bemitleidenswerte Besitzer von solchen Geräten, und diese Dinger werden weltweit gehandelt…

    Fazit: Ohne rooten und Custom-ROMs via ODIN ist das Gerät Schrott!!!

    Gruß
    Michael Mahle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *