2506722

BSI warnt Nutzer vor Samsung-Handys wegen ernster Sicherheitslücke

11.05.2020 | 16:39 Uhr | Hans-Christian Dirscherl

In allen Android-Smartphones von Samsung, die seit zirka Ende 2014 verkauft wurden, steckt eine ernste Sicherheitslücke. Samsung hat aber bereits ein Sicherheitsupdate veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnologie warnt vor einer Schwachstelle in Samsung-Smartphones mit Android. Die Sicherheitslücke können Angreifer ausnutzen, um beliebigen Programmcode aus der Ferne auf dem Smartphone auszuführen. Betroffen sind Samsung-Smartphones mit Android, die seit zirka Ende 2014 verkauft wurden.

Der Angreifer muss hierzu speziell präparierte MMS (Multimedia Messaging Service) an das Smartphone schicken und einen Buffer Overflow verursachen. Der Besitzer des Samsung-Android-Smartphones muss auf die MMS nicht reagieren, es ist also keine Nutzeraktion erforderlich, um die Schwachstelle ausnutzen zu können.

Hierzu muss ein Angreifer allerdings eine sehr große Anzahl von speziell präparierten MMS an das Samsung-Smartphone schicken. Von bis zu 300 derartigen MMS ist die Rede; im Durchschnitt sind wohl 100 MMS erforderlich. Der Besitzer des Samsung-Smartphones bekommt von der MMS-Lawine aber unter Umständen nichts mit, weil der Angreifer den Benachrichtigungston für die MMS offensichtlich abschalten kann. Sie finden hier eine ausführliche Beschreibung der als kritisch eingestuften und als CVE-2020-8899 bezeichneten Sicherheitslücke .

Samsung stellt aber bereits ein Sicherheitsupdate bereit, das diese Lücke beseitigt. Dieses Sicherheitsupdate, datiert vom Mai 2020,  sollte umgehend installiert werden; Samsung hat hier eine Beschreibung des Updates veröffentlicht. Darin wird die Lücke als SVE-2020-16747 bezeichnet. Sie können in den Einstellungen des Androiden nachschauen, ob das Sicherheitsupdate vom Mai 2020 bereits installiert ist.

Problematisch bleibt die Lage aber für ältere Samsung-Smartphones, die keine Sicherheitsupdates mehr erhalten. Wer ein derart altes Android-Smartphone besitzt und das Sicherheitsupdate nicht mehr oder noch nicht bekommt, sollte den automatischen MMS-Empfang in den Einstellungen des Smartphones abschalten.

Die Lücke entdeckte der Sicherheitsforscher Mateusz Jurczyk. Er arbeitet für Google Project Zero.

PC-WELT Marktplatz

2506722