Samsung-Sicherheitslücke: Hacker sollen via Zero Day Exploit Smartphones fernsteuern können

Aktuell warnt das NIST (National Institute of Standards and Technology) vor einer Zero Day-Sicherheitslücke bei Samsung Galaxy-Geräten. Ein Hacker könnte mithilfe der Zero Day-Lücke auf den Samsung-Service „Find My Mobile“ zugreifen und somit das Smartphone aus der Ferne sperren, entriegeln oder das Telefon klingeln lassen.

samsung-find-my-mobile-remote-control-service-100527214-primary.idge

Doch damit nicht genug, denn Samsungs „Find My Mobile“-App besitzt leider noch weitere Kernfeatures, die Eurem Samsung-Smartphone zum Verhängnis werden können. Ein Zero Day Exploit kann demnach zusätzlich Euer Gerät orten, auf SMS und Anruflisten zugreifen, den SIM-Karte nicht vorhanden“-Alarm auslösen oder sogar den kompletten Inhalt des Geräts löschen.

Hierzu sagt das NIST:

„The Remote Controls feature on Samsung mobile devices does not validate the source of lock-code data received over a network, which makes it easier for remote attackers to cause a denial of service (screen locking with an arbitrary code) by triggering unexpected Find My Mobile network traffic.“

Das NIST hat für die Anfälligkeit von Geräten einen Skala von 1 (minimale Auswirkung) bis 10 (maximale Auswirkung) eingeführt, um solche Sicherheitslücken zu bewerten – das Common Vulnerability Scoring System (CVSS). Hier bewertet NIST den „base score“ mit 7,8, den „impact score“ mit 6,9 und den „exploitability score“ mit ganzen 10 Punkten.

cve-2014-8346-findmymobile-cvss-severity-100527204-large.idge

Um zu demonstrieren, wie simpel die Sicherheitslücke ausgenutzt werden kann, verweist das NIST auf zwei Beweisvideos des ägyptischen Sicherheitsforscher Mohamed A. Baset, der via Samsungs Find My Mobile das Smartphone Fernverriegelt, entsperrt und das Telefon laut klingeln lässt.

Aktuell scheint es keine Lösung des Problems zu geben, außer der Nutzung der Samsung-Apps auf eigene Gefahr. Solltet ihr euch nun unsicher fühlen, so deaktiviert die Funktion (sofern aktiviert) in euren Einstellungen, ein Statement von Samsung wird sicher bald folgen.

Update: Unser Deniz wollte die Lücke nachstellen, scheiterte und fragte nach. Statement des Entwicklers, mittlerweile geschlossen:

Bildschirmfoto 2014-10-28 um 07.49.56

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

14 Kommentare

  1. Epic Fail, Apple! … Achne, Moment, hier war was anders …

  2. Na da sind wir mal gespannt ob die auch solange brauchen um zu reagieren wie Apple.
    Alles unter 6 Monate wäre ja da schon ein Fortschritt.

  3. Was es nicht alle gibt…

  4. Ha ha, wenn das Apple passiert wäre, dann gäbe es hier schon hundert Kommentare 😉

  5. Hab Video1 zur Hälfte gesehen. Ist doch“nur“ ein CSRF Angriff. Bleibt mal geschmeidig. Ich glaube kaum, dass jemand ständig in dem Samsung Dienst im Browser eingeloggt ist. In dem gleichen Browser müßte dann jemand den Angriff durchführen. Ist auch seitens Samsung sehr schnell fixbar. Legt euch wieder schlafen, wenn das wirklich alles sein sollte.

  6. Das 2. Video zeigt das gleiche. In dem sieht man auch, dass er im ersten Tab eingeloggt ist. Anders geht das auch nicht. Bei so einem Dienst wie hier eher unwahrscheinlich. Diese Lücke ist auch sehr sehr weit verbreitet! Auch nach wie vor gerne in DSL-/-Wlan-Router Konfiguationsoberflächen, wird alle Jahre mal wieder ausgebuddelt und nix tut sich, obwohl sehr easy fixbar.

  7. Bei aller Liebe, aber muss das sein? Hier in bester BILD-Manier reißerisch Panik verbreiten über eine „Sicherheitslücke“, die bei etwas näherem Hinsehen in der Realität gar keine so große ist? Hier wird dem uninformierten Leser gegenüber so getan, als könne jeder beliebige Hacker aus der Ferne das eigene Samsung Telefon sperren und/oder löschen. Mit keinem Wort wird dabei erwähnt, dass der Angreifer am gleichen Rechner wie das „Opfer“ sitzen muss und dass das Opfer zufällig gleichzeitig über den gleichen Browser im „Find my mobile“ Dienst eingeloggt sein muss.

    Ich finde, bevor man hier ein derartiges Fass aufmacht und dadurch Panik verbreitet, sollte man dies ebenfalls erwähnen. Es täte dem Niveau dieses Blogs gut, anstatt solche Meldungen unreflektiert nachzuplappern das ganze lieber selbst mal in den Kontext zu setzen.

    Das geht mir generell langsam bei vielen Blogs auf die Nüsse: dass da immer mehr Leute sind die sich „Blogger“ nennen, aber de facto nichts erwähnenswertes zu bloggen haben, außer unreflektiert News anderer Webseiten nachzuplappern oder sinnlose „Was meint ihr dazu“ Umfragen zu posten… Wenn man nichts zu sagen hat oder selbst einen „journalistischen“ Eigenbeitrag dazu beisteuern kann, dann lasst es doch lieber.

  8. @amyristom: Der Angreifer muss nicht an deinem PC sitzen. Der Angriff findet idR über auf Seiten eingeschleusten Code statt, z.B XSS oder manipulierte Werbebanner.

  9. Aber wenn ich es korrek verstanden habe, funktioniert es nur wenn ICH auf der „Find my mobile“ Webseite eingeloggt bin und dann gleichzeitig in einem anderen Browsertab eine manipulierte Webseite aufrufe oder auf eine manipulierte Schaltfläche drücke.

    Natürlich kann dies vorkommen, aber das ist doch in der Praxis schon eine äußerst selten anzutreffen Konstellation. Und genau das müsste man auch in diesen Kontext setzen!

    Es ist (wohlgemerkt so habe ich es verstanden) nicht möglich, dass irgendein Hacker von egal wo mein Smartphone sperrt / löscht, wenn ich NICHT zeitgleich auf der Samsung Seite eingeloggt bin UND eine manipulierte Webseite PARALLEL dazu aufrufe.

  10. Muss ich jetzt mein email Passwort ändern?

  11. Wolfgang D. says:

    @amyristom
    Sag ich auch immer wieder, sogar bei Heise kommt nur noch FUD.

    @Niranda
    Nur Smartphone ausschalten hilft wirklich. Nee, das ist ein Witz.

  12. @amyristom: Richtig. Das ist CSRF und so hab’s ich ja vorher im Comment beschrieben. 😉

  13. Update: Das ist kein Problem mehr, sondern wurde bereits von Samsung gepatcht. Sollte eigentlich oben in die Überschrift.

  14. Ich habe Samsung Apps per se rausgeworfen…. der Müll nervt nur!