Googles Sicherheits-Experten untersuchten das Samsung Galaxy S6 edge

4. November 2015 Kategorie: Android, Backup & Security, geschrieben von:

artikel google logoGoogles Project Zero – eine charmante Art, um über Sicherheitslücken zu informieren. Hier berichtet man über Sicherheitslücken, die man so findet. Mitte 2014 rief man das Projekt ins Leben – Googles Sicherheits-Elite sollte Fehler transparent machen und so dafür sorgen, dass Produkte sicherer werden. So wird man bei bisher nicht ausgenutzten Fehlern die entsprechenden Firmen benachrichtigen und ihnen einen Zeitraum von 60 – 90 Tagen einräumen, bevor der Bug veröffentlicht wird.

Bei gefundenen Bugs, die bereits aktiv ausgenutzt werden, verringert sich der Zeitraum auf sieben Tage. Google selber hat mittlerweile ein monatliches Patchen von Nexus-Geräten ins Leben gerufen und einige Anbieter – darunter auch Samsung – wollen mitziehen. Dritt-Anbieter, die auf Android setzen, müssen natürlich etwas tiefer in ihrer Software wühlen – während Google das nackte Android nebst Google-Diensten anbietet, findet man bei den meisten anderen Smartphone-Herstellern jede Menge Zusatz-Gelumpe.

GalaxyS6edge_04

Unter Umständen bergen diese zusätzlichen Features Gefahren. Nun hat man sich das Samsung Galaxy S6 Edge von Samsung geschnappt – wunderbares Gerät, aber in Sachen Software deutlich unsicherer als ein nacktes Android-Gerät, wie man seitens der Google-Sicherheitsexperten zu berichten weiss. Insgesamt 11 Punkte haben die verschiedenen Teams des Project Zero gefunden, die unter CVE-2015-7888 laufende Lücke sei dabei besonders interessant:

„There is a process running a system on the device that scans for a zip file in /sdcard/Download/cred.zip and unzips the file. Unfortunately, the API used to unzip the file does not verify the file path, so it can be written in unexpected locations“

Auch der Samsung-eigene Mail-Client bereitete während des Tests Bauchschmerzen, so könnten Angreifer im schlimmsten Fall Mails an einen anderen Account weiterleiten. Hierbei würde der Angegriffene aber die weitergeleiteten Mails in seinem Gesendet-Ordner vorfinden. Zum Zeitpunkt der Veröffentlichung durch das Google-Team (2. November 2015) sind drei der elf Lücken noch offen. Diese sollen noch in diesem Monat geschlossen werden. Die offenen Lücken werden allerdings als „gering“ eingestuft.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25459 Artikel geschrieben.