Aktuell warnt das NIST (National Institute of Standards and Technology) vor einer Zero Day-Sicherheitslücke bei Samsung Galaxy-Geräten. Ein Hacker könnte mithilfe der Zero Day-Lücke auf den Samsung-Service „Find My Mobile“ zugreifen und somit das Smartphone aus der Ferne sperren, entriegeln oder das Telefon klingeln lassen.
Doch damit nicht genug, denn Samsungs „Find My Mobile“-App besitzt leider noch weitere Kernfeatures, die Eurem Samsung-Smartphone zum Verhängnis werden können. Ein Zero Day Exploit kann demnach zusätzlich Euer Gerät orten, auf SMS und Anruflisten zugreifen, den SIM-Karte nicht vorhanden“-Alarm auslösen oder sogar den kompletten Inhalt des Geräts löschen.
Hierzu sagt das NIST:
„The Remote Controls feature on Samsung mobile devices does not validate the source of lock-code data received over a network, which makes it easier for remote attackers to cause a denial of service (screen locking with an arbitrary code) by triggering unexpected Find My Mobile network traffic.“
Das NIST hat für die Anfälligkeit von Geräten einen Skala von 1 (minimale Auswirkung) bis 10 (maximale Auswirkung) eingeführt, um solche Sicherheitslücken zu bewerten – das Common Vulnerability Scoring System (CVSS). Hier bewertet NIST den „base score“ mit 7,8, den „impact score“ mit 6,9 und den „exploitability score“ mit ganzen 10 Punkten.
Um zu demonstrieren, wie simpel die Sicherheitslücke ausgenutzt werden kann, verweist das NIST auf zwei Beweisvideos des ägyptischen Sicherheitsforscher Mohamed A. Baset, der via Samsungs Find My Mobile das Smartphone Fernverriegelt, entsperrt und das Telefon laut klingeln lässt.
Aktuell scheint es keine Lösung des Problems zu geben, außer der Nutzung der Samsung-Apps auf eigene Gefahr. Solltet ihr euch nun unsicher fühlen, so deaktiviert die Funktion (sofern aktiviert) in euren Einstellungen, ein Statement von Samsung wird sicher bald folgen.
Update: Unser Deniz wollte die Lücke nachstellen, scheiterte und fragte nach. Statement des Entwicklers, mittlerweile geschlossen:
