Samsung-Sicherheitslücke: Hacker sollen via Zero Day Exploit Smartphones fernsteuern können

27. Oktober 2014 Kategorie: Android, Backup & Security, geschrieben von:

Aktuell warnt das NIST (National Institute of Standards and Technology) vor einer Zero Day-Sicherheitslücke bei Samsung Galaxy-Geräten. Ein Hacker könnte mithilfe der Zero Day-Lücke auf den Samsung-Service „Find My Mobile“ zugreifen und somit das Smartphone aus der Ferne sperren, entriegeln oder das Telefon klingeln lassen.

samsung-find-my-mobile-remote-control-service-100527214-primary.idge

Doch damit nicht genug, denn Samsungs „Find My Mobile“-App besitzt leider noch weitere Kernfeatures, die Eurem Samsung-Smartphone zum Verhängnis werden können. Ein Zero Day Exploit kann demnach zusätzlich Euer Gerät orten, auf SMS und Anruflisten zugreifen, den SIM-Karte nicht vorhanden“-Alarm auslösen oder sogar den kompletten Inhalt des Geräts löschen.

Hierzu sagt das NIST:

„The Remote Controls feature on Samsung mobile devices does not validate the source of lock-code data received over a network, which makes it easier for remote attackers to cause a denial of service (screen locking with an arbitrary code) by triggering unexpected Find My Mobile network traffic.“

Das NIST hat für die Anfälligkeit von Geräten einen Skala von 1 (minimale Auswirkung) bis 10 (maximale Auswirkung) eingeführt, um solche Sicherheitslücken zu bewerten – das Common Vulnerability Scoring System (CVSS). Hier bewertet NIST den „base score“ mit 7,8, den „impact score“ mit 6,9 und den „exploitability score“ mit ganzen 10 Punkten.

cve-2014-8346-findmymobile-cvss-severity-100527204-large.idge

Um zu demonstrieren, wie simpel die Sicherheitslücke ausgenutzt werden kann, verweist das NIST auf zwei Beweisvideos des ägyptischen Sicherheitsforscher Mohamed A. Baset, der via Samsungs Find My Mobile das Smartphone Fernverriegelt, entsperrt und das Telefon laut klingeln lässt.

Aktuell scheint es keine Lösung des Problems zu geben, außer der Nutzung der Samsung-Apps auf eigene Gefahr. Solltet ihr euch nun unsicher fühlen, so deaktiviert die Funktion (sofern aktiviert) in euren Einstellungen, ein Statement von Samsung wird sicher bald folgen.

Update: Unser Deniz wollte die Lücke nachstellen, scheiterte und fragte nach. Statement des Entwicklers, mittlerweile geschlossen:

Bildschirmfoto 2014-10-28 um 07.49.56


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Quelle: Computerworld |

Über den Autor:

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien…

Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing,
LinkedIn und
Instagram.
PayPal-Kaffeespende an den Autor.

Pascal hat bereits 940 Artikel geschrieben.