Ihr Browser wurde leider nicht Erkannt
BitSicher°
  • Meldungen°
  • Programme°
  • Ratschläge°
  • Softwareaktualisierung°
  • Samsung-Update für Galaxy-Geräte schließt zwei kritische Lücken

    8. Juni, 2016, 14:32 Uhr Softwareaktualisierung°

    Im Anschluss an Googles jüngstes Android-Update für Nexus-Geräte hat auch Samsung Aktualisierungen für ausgewählte Galaxy-Smartphones veröffentlicht. Sie beheben 31 der 40 von Google in seinem Security Bulletin für Juni beschriebenen Schwachstellen und schließen zusätzlich fünf Lücken, die nur Samsung-Geräte betreffen.

    .Beispielsweise wurde ein kritisches Leck (SVE-2015-5068) beseitigt, das die Umgehung der sogenannten Factory Reset Protection (FRP) ermöglichte. Die Funktion soll eigentlich Diebe abschrecken, indem sie die erneute Einrichtung des Geräts nach einer Rücksetzung auf die Werkseinstellungen nur erlaubt, wenn der Anwender die vor der Rücksetzung gültigen Google-Zugangsdaten kennt.

    Doch auf Galaxy-Geräten mit Android 5.0 und 5.1 kann die Schutzfunktion ausgehebelt werden, indem das Smartphone über den OTG-USB-Anschluss an ein externes Speichermedium angeschlossen wird. „Die Schwachstelle erlaubt es [Kriminellen], MeineDateien aufzurufen und via USB OTG schädliche Anwendungen im Setup-Wizard-Status zu installieren“, erklärt Samsung. „Dadurch ist es letztlich möglich, FRP zu umgehen.“

    Ein anderer kritischer Fehler (SVE-2016-5923) betrifft Galaxy-Geräte mit Android 5.0, 5.1 und 6.0, die über einen Fingerabdrucksensor verfügen. Das Problem geht auf eine fehlerhafte Prüfung von Anwendungssignaturen zurück. Auch hier können Angreifer Schadsoftware einschleusen, indem sie „die Signaturprüfung [während der] Installation bestimmter Applikationen umgehen“. Der Fix sorge für eine korrekte Ausnahmebehandlung der Signaturprüfung, so Samsung.

    Von den drei übrigen geschlossenen Lücken geht dem Hersteller zufolge nur ein niedriges bis mittleres Risiko aus. Eine (SVE-2015-5301) erlaubte mittels AT-Befehlen via USB trotz gesperrtem Bildschirm die Kontrolle des Geräts. Eine andere (SVE-2016-5871) resultierte aus falsch konfigurierten Verschlüsselungsarten beim Versand von E-Mails. Außerdem gab es Unterschiede zwischen der SIM-Lock-Anleitung und der tatsächlichen Funktionsweise (SVE-2016-5381), weshalb Samsung die Beschreibung angepasst hat.

    Besitzer der Galaxy-Modelle S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5, S5 Active sowie Note 5, Note 4, Note Edge und A5x sollten die Sicherheitsupdates in Kürze Over the Air erhalten. Mit ihnen wird das Android Security Patch Level auf den Stand „1. Juni 2016“ aktualisiert.

    Quelle: ZDNet