Samsung: Smartphones mit vorinstalliertem SwiftKey Keyboard sind angreifbar

Samsung setzt in seinen Android-Smartphones auf eine Tastatur von SwiftKey. Dabei handelt es sich nicht um die Variante, die im Play Store zu holen ist, sondern um eine spezielle Version für Samsung. Warum das wichtig ist? Weil Samsungs Version offensichtlich eine Sicherheitslücke hat, über die Angreifer unter Umständen private Daten von den Geräten abgreifen können. Das betrifft nicht nur ältere Modelle, auch das aktuelle Galaxy S6 ist betroffen, obwohl Samsung von der Lücke bereits vorher wusste.

2015-04-13 13.57.28

Entdeckt wurde die Lücke von NowSecure, die Samsung im Dezember 2014 über diese informierten. Seither passierte anscheinend nichts, denn die Lücke ist auch auf aktuellen Modellen des Galaxy S6 vorhanden. Allerdings lieferte Samsung einen Patch an die Netzbetreiber aus, ob dieser aber auch verteilt wurde, ist unklar. Folgende Dinge können Angreifer von den Geräten holen oder ausführen:

– Zugriff auf Sensoren und Quellen, wie z.B. GPS, Kamera, Mikrofon
– Installation von Apps, ohne dass der Nutzer es bemerkt
– Installierte Apps manipulieren und anders arbeiten lassen, das Telefon manipulieren
– Anrufe sowie ein- und ausgehende SMS abhören
– Zugriff auf Bilder und SMS

Die Lücke, über die Angreifer Zugriff auf Systemebene erhalten können, befindet sich im Language Pack-Updater. Dieser sucht über eine unverschlüsselte Verbindung nach Updates. Dies wiederum bedeutet, dass Angreifer manipulierte Updates auf die Geräte bringen können.

Das Statement von SwiftKey soll die Anwender der normalen App beruhigen, ist diese nicht anfällig für diese Art der Angriffe:

“We’ve seen reports of a security issue related to the Samsung keyboard. We can confirm that the SwiftKey Keyboard apps available via Google Play or the Apple App Store are not affected by this vulnerability. We take reports of this manner very seriously and are currently investigating further.”

Einen Schutz gegen diese Lücke gibt es aktuell nicht. Ein vorinstalliertes SwiftKey lässt sich nicht von Samsung-Smartphones löschen. Auch wenn man eine andere Tastatur nutzt, kann SwiftKey weiterhin angegriffen werden. Es wäre maximal möglich, SwiftKey die Internetverbindung zu entziehen. Das ist zwar möglich, aber für den Durchschnittsnutzer keine Maßnahme, die er eben mal so nebenbei ausführt.

Warum Samsung allerdings einen Patch an die Netzbetreiber ausliefert, diese aber nicht bei den Nutzern ankommt, ist eine Frage, die noch geklärt werden will. Aktuell sieht es mehr danach aus als wären die Netzbetreiber Schuld an dem fehlenden Update, nicht Samsung. Im ungünstigsten Fall sind mehr als 600 Millionen Geräte betroffen.

(Quelle: Forbes)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

16 Kommentare

  1. Als langjähriger (und bis vor einiger Zeit auch noch durchaus zufriedener) Samsung Nutzer muss ich sagen, dass mir das mit den Updates in letzter Zeit gehörig auf den Nerv geht. Gerade bei sicherheitsrelevanten Updates sollte diese Praktik mit den Updates über die Netzbetreiber doch mal überdacht werden. Wofür hat Samsung denn einen eigenen App Store, den man nicht ein mal löschen kann und der einen des öfteren Mal mit irgendwelchen Benachrichtigungen nervt, wenn sie nicht mal sicherheitsrelevante Updates darüber ausrollen können. Gerade bei einer Tastatur sollte das doch möglich sein. Aber so hat man dann wohl immerhin einen Schuldigen, auf den man das abwälzen kann.

  2. Wisst Ihr, wie das bei nicht gebrandeten Geräten aussieht? Wird hier der Patch von Samsung ausgeliefert?

  3. Wenn man sein Gerät rooted, kann man auf jeden Fall die App deinstallieren. Ich würde hier den root explorer benutzen.

  4. Erwähnen könnte man vielleicht noch dass man sich dafür auch erst einmal in einem unsicheren Netzwerk des Angreifers befinden muss – sonst kann der auch nichts anrichten.

  5. gottseidank habe ich auf meinen ollen S2 und S3 CM12.1

  6. @10tacle: War da nicht eh Swype (statt SwiftKey) drauf?

  7. Was im Artikel leider nicht steht: Voraussetzung für einen solchen Angriff ist natürlich, dass das angegriffene Smartphone eine Verbindung in einem unverschlüsselten WLAN aufbaut, in dem der Angreifer mit entsprechenden Werkzeugen bereits wartet. Und es sollte bekannt sein, dass öffentliche unverschlüsselte WLANs unsicher sind.

  8. Meines Wissens sind keine deutschen Geräte betroffen. Swiftkey wird nur bei ein paar gebrandeten Versionen (Sptint, Verizon,..) mitgeliefert.

  9. Panikmache mit einer Falschmeldung.

    Betroffen ist nur eine spezielle SwiftKey-Version, die bei einigen gebrandeten Modellen von US-Betreibern wie Verizon oder Sprint vorinstalliert war. Nicht in Deutschland.

    Außerdem müsste man sich in einem unverschlüsselten öffentlichen WLAN befinden, in dem auch gleichzeitig der Angreifer mit speziellen Tools sitzt. Und selbst dann wäre man nur gefährdet, wenn man in diesem unverschlüsselten WLAN manuell eine Aktualisierung der SwiftKey-Sprachdateien anstößt.

  10. Spielt doch eigentlich keine Rolle, wo und mit welchem Provider.
    Dieses System ist einfach unpraktisch. Zumal die meisten Nutzer vermutlich nicht mal wissen, dass Updates ihrer per Mobilfunkvertrag subventionierten Geräte auch von ihrem Provider abgesegnet werden müssen. Wäre das den meisten Kunden bewusst, gäbe es da sicher auch mehr Druck auf die Provider. Was vielleicht dem ganzen Updatesystem und somit dem Kunden zugute käme.

  11. Zum Glück habe ich mich vor Jahren diesem Android Crap abgewandt!

  12. @PP: Bei iOS gibt es mehr Sicherheitslücken als bei Android. Gerade vor ein paar Tagen wurde eine neue Sicherheitslücke von iOS bekannt. Aber das hat uns Caschys Apfelblog natürlich verschwiegen.

  13. Nix ist sicher. Deal with it! Und Apple schon gar nicht. Siehe Keychain Security Bug. Seit halben Jahr Apple bekannt. Reaktion oder Kommentar von Apple: Null. Reaktion von Samsung auf diesen Bug: 1 Tag.

  14. @Theo: Welche Swiftkey-Version (und welche Geräte) betroffen sind, weiß ich nicht. Aber das mit den „öffentlichen unverschlüsselten WLANs“ ist Blödsinn. Ein Corporate-WLAN bzw. Hochschul-WLAN ohne Schutz gegen Roque DHCP reicht völlig. Dann kann man mit einfachen Mitteln den Leuten einen falschen DNS-Server unterjubeln und somit den Verkehr umleiten. Man kann damit natürlich das Update immer noch nicht triggern. Aber an anderer Stelle habe ich gelesen, dass es sporadisch alle paar Stunden passieren soll. Keine Ahnung welchem anonymen Internet-Kommentator ich da mehr vertrauen soll…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.