Security

Angreifer erhielten Fernzugriff auf Samsung-Smartphones - Zero-Day-Lücke geschlossen

Der Sicherheitsexperte Mohamed A. Baset (@SymbianSyMoh) hatte eine Sicherheitslücke in der Samsung App "Find My Mobile" gefunden, die den Fernzugriff auf Smartphones ermöglicht, um bei Diebstahl die persönlichen Daten löschen zu können. Bei Ausnutzung der Sicherheitslücke wäre es jedem möglich gewesen, das Smartphones als gestohlen auszugeben.

28.10.2014, 10:46 Uhr
SMS© TristanBM / Fotolia.com

Der Sicherheitsexperte Mohamed A. Baset (@SymbianSyMoh) hatte eine Sicherheitslücke in der Samsung App "Find My Mobile" gefunden, die den Fernzugriff auf Smartphones ermöglicht, um bei Diebstahl die persönlichen Daten löschen zu können. Bei Ausnutzung der Sicherheitslücke wäre es jedem möglich gewesen, das Smartphones als gestohlen auszugeben. Samsung hat die Lücke bereits geschlossen.

Klingeln lassen und sperren

Das National Institute of Standards and Technology (NIST) hat zwei Videos von Baset ausgegriffen, die den Angriff in einer Testumgebung dokumentieren. Nach eigenen Nachforschungen stufte das NIST die Sicherheitslücke gemäß des Common Vulnerability Scoring System (CVSS) wie folgt ein: 7,8 im Base Score, 6,9 im Impact Score und 10 im Exploitability Score. Die Skala reicht lediglich bis 10.

Der Fehler im Samsung-Dienst Find My Mobile validierte nicht die Quelle von Sperranforderungen, die über das Netzwerk empfangen werden. Angreifer von außerhalb hätten dann per Denial-of-Service-Attacke Zugriff auf Funktionen des Remote-Dienstes erlangen können. Ein Angreifer hätte dann das Smartphone orten, sperren und als gestohlen kennzeichnen können. Es hätte auch eine Minute lang laut klingeln können, um auf sich aufmerksam zu machen.

Sicherheitslücke geschlossen

Es scheint aber nicht möglich gewesen zu sein, aus der Ferne Zugriff auf die dort gespeicherten persönlichen Daten zu erlangen und diese sogar komplett zu löschen.

Auf Nachfrage eines Redakteurs von Caschys Blog teilte Mohamed A. Baset mit, das die Sicherheitslücke mittlerweile geschlossen sei.

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang