Im Anschluss an Googles jüngstes Android-Update für Nexus-Geräte hat auch Samsung Aktualisierungen für ausgewählte Galaxy-Smartphones veröffentlicht. Sie beheben 31 der 40 von Google in seinem Security Bulletin für Juni beschriebenen Schwachstellen und schließen zusätzlich fünf Lücken, die nur Samsung-Geräte betreffen.
Doch auf Galaxy-Geräten mit Android 5.0 und 5.1 kann die Schutzfunktion ausgehebelt werden, indem das Smartphone über den OTG-USB-Anschluss an ein externes Speichermedium angeschlossen wird. „Die Schwachstelle erlaubt es [Kriminellen], MeineDateien aufzurufen und via USB OTG schädliche Anwendungen im Setup-Wizard-Status zu installieren“, erklärt Samsung. „Dadurch ist es letztlich möglich, FRP zu umgehen.“
Ein anderer kritischer Fehler (SVE-2016-5923) betrifft Galaxy-Geräte mit Android 5.0, 5.1 und 6.0, die über einen Fingerabdrucksensor verfügen. Das Problem geht auf eine fehlerhafte Prüfung von Anwendungssignaturen zurück. Auch hier können Angreifer Schadsoftware einschleusen, indem sie „die Signaturprüfung [während der] Installation bestimmter Applikationen umgehen“. Der Fix sorge für eine korrekte Ausnahmebehandlung der Signaturprüfung, so Samsung.
Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.
Von den drei übrigen geschlossenen Lücken geht dem Hersteller zufolge nur ein niedriges bis mittleres Risiko aus. Eine (SVE-2015-5301) erlaubte mittels AT-Befehlen via USB trotz gesperrtem Bildschirm die Kontrolle des Geräts. Eine andere (SVE-2016-5871) resultierte aus falsch konfigurierten Verschlüsselungsarten beim Versand von E-Mails. Außerdem gab es Unterschiede zwischen der SIM-Lock-Anleitung und der tatsächlichen Funktionsweise (SVE-2016-5381), weshalb Samsung die Beschreibung angepasst hat.
Besitzer der Galaxy-Modelle S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5, S5 Active sowie Note 5, Note 4, Note Edge und A5x sollten die Sicherheitsupdates in Kürze Over the Air erhalten. Mit ihnen wird das Android Security Patch Level auf den Stand „1. Juni 2016“ aktualisiert.
[mit Material von Liam Tung, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
