600 Millionen Android-Smartphones von Leck gefährdet

SwiftKey, eine Software eines Drittanbieters, soll bei Updates eine unverschlüsselte Verbindung verwenden. Dadurch können Hacker remote Kontrolle über ein Gerät erlangen.

NowSecure, ein auf mobile Sicherheit spezialisiertes Unternehmen, warnt vor einer gravierenden Schwachstelle in Samsung-Smartphones. Der Fehler stecke demnach in der Software für die SwiftKey-Tastatur, die nach Schätzungen von NowSecure auf mehr als 600 Millionen Mobiltelefonen installiert ist. Angreifer können damit remote ein betroffenes Gerät vollständig unter Kontrolle bringen.

Samsung Galaxy Edge. (Bild: Samsung)
Samsung Galaxy Edge. (Bild: Samsung)

Den Fehler hat der NowSecure-Mitarbeiter Ryan Welton entdeckt. Ihm zufolge nutzt die Update-Funktion der SwiftKey-Tastatur bei der Suche nach neuen Sprachpaketen eine unverschlüsselte Verbindung, über die sie Daten im Klartext empfängt. Mithilfe eines gefälschten Proxy-Servers ist es ihm gelungen, beliebige Dateien einzuschleusen, die dann mit Systemrechten ausgeführt werden.

Das erlaubte es ihm nicht nur, Schadsoftware zu installieren, sondern auch vorhandene Apps zu verändern, eingehende und ausgehende Nachrichten sowie Sprachanrufe abzuhören und persönliche Daten wie Bilder und Textnachrichten auszulesen. Zudem erhielt er Zugriff auf Hardware-Komponenten wie GPS, Kamera und Mikrofon.

Samsung ist das Problem offenbar schon seit Dezember 2014 bekannt. Zudem hat NowSecure das US-Computer Emergency Response Team (US-CERT) und auch Googles Android Security Team informiert. US-CERT führt das Leck unter CVE-2015-2865.

Samsung habe Anfang 2015 mit der Verteilung eines Patches an Mobilfunkbetreiber begonnen, heißt es von NowSecure. Es sei aber nicht bekannt, welche Provider das Update an Kunden weitergegeben haben und wie viele Geräte immer noch anfällig seien.

Als Beispiele für betroffene Geräte nennt NowSecure das aktuelle Galaxy S6 sowie dessen Vorgänger Galaxy S5, Galaxy S4 und Galaxy S4 Mini. Das Unternehmen weist zudem darauf hin, dass die vorinstallierte SwiftKey-Tastatur nicht deinstalliert werden kann und auch dann ein Sicherheitsrisiko darstellt, wenn sie nicht benutzt wird.

Nutzern empfiehlt das Unternehmen, bei ihrem Mobilfunkanbieter Informationen über den Patch einzuholen. Zudem sollten sie unsichere WLAN-Netzwerke meiden oder gar ein anderes Mobiltelefon benutzen.

Der Sicherheitsforscher Ryan Welton zeigt in einem Video, den Zugriff am Beispiel eines Galaxy S5.

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Kennen Sie alle wichtigen Smartphone-Modelle, die letztes Jahr vorgestellt wurden? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.