Galaxy S6 bis S4: Millionen Samsung-Smartphones könnten von gefährlicher SwiftKey-Sicherheitslücke betroffen sein

(Bild: Übergizmo)

In der von Samsung auf seinen Galaxy-Smartphones vorinstallierten Alternativ-Tastatur SwiftKey wurde eine schwerwiegende Sicherheitslücke entdeckt, die es Angreifern unter Umständen ermöglicht, per Remote-Zugriff die volle Kontrolle über ein betroffenes Gerät zu übernehmen. 

Auf die Schwachstelle haben die Sicherheitsepxerten von NowSecure aufmerksam gemacht. Samsung kooperiert seit dem Jahr 2013 mit SwiftKey und verwendet dessen Keyboard-Technologie auf seinen Smartphones. Auf dem Samsung Galaxy S4 wurde die alternative Android-Tastatur, die sich auch sehr großer Beliebtheit erfreut, erstmals ab Werk als Standard-Software zum Tippen aufgespielt. Auch auf dem Galaxy S4 mini, dem Galaxy S5 und dem neuen Samsung Galaxy S6 ist SwiftKey beispielsweise wieder ein Teil von Samsungs Software-Anpassungen. Auch auf Tablets wie dem Galaxy Tab 4 8.0 ist SwiftKey vorinstalliert.

Die Sicherheitslücke in SwiftKey hat der NowSecure-Experte Ryan Welton gefunden. Seiner Untersuchung zufolge nutzt die Update-Funktion der SwiftKey-Tastatur bei der Suche nach neuen Sprachpaketen eine unverschlüsselte Verbindung, über die sie Daten im Klartext empfängt. Mithilfe eines gefälschten Proxy-Servers ist es Welton gelungen, beliebige Dateien auf ein betroffenes Samsung-Smartphone einzuschleusen, die dann mit Systemrechten ausgeführt werden konnten.

Dadurch haben Angreifer nicht nur die Möglichkeit, Schadsoftware zu installieren, sondern auch vorhandene Apps zu verändern, eingehende und ausgehende Nachrichten sowie Sprachanrufe abzuhören und persönliche Daten wie Bilder und Textnachrichten auszulesen. Zudem erhielt Welton in seinem Test Zugriff auf Hardware-Komponenten wie GPS, die Kamera und das Mikrofon.

Samsung ist das Problem offenbar schon seit Dezember 2014 bekannt. Zudem hat NowSecure das US-Computer Emergency Response Team (US-CERT) und auch Googles Android Security Team informiert. Da Samsung auf seinen Geräten für die Updates der SwiftKey-Tastatur zuständig ist, muss es seinen Nutzern selbst einen Patch bereitstellen. Samsung habe dazu Anfang 2015 mit der Verteilung eines Patches an Mobilfunkbetreiber begonnen, heißt es von NowSecure. Es sei aber nicht bekannt, welche Provider das Update auch an ihre Kunden weitergegeben haben und wie viele Geräte immer noch für die Sicherheitslücke anfällig seien.

Das Unternehmen weist zudem darauf hin, dass die vorinstallierte SwiftKey-Tastatur nicht einfach deinstalliert werden kann und auch dann ein Sicherheitsrisiko darstellt, wenn sie nicht benutzt wird. Auf die Samsung-Tastatur oder eine andere alternative Tastatur-App zu wechseln, schafft demnach auf noch nicht gepatchten Galaxy-Geräten keine Abhilfe.

Nutzern empfiehlt das Unternehmen, bei ihrem Mobilfunkanbieter Informationen über den Patch einzuholen. Zudem sollten sie unsichere WLAN-Netzwerke meiden oder gar ein anderes Mobiltelefon benutzen. Eine Lösung könnte auch das Installieren eines Custom ROMs wie CyanogenMod sein.

Ob die Sicherheitslücke in SwiftKey nur auf Samsung-Smartphones oder auch auf Geräten anderer Hersteller besteht, die die Tastatur in ihre Software integrieren, ist nicht ganz klar. Beispielsweise wurde SwiftKey mit einem Update im Februar 2015 auch in die CyanogenMod-Software des OnePlus One integriert.

Update: 18.06.2015

Samsung hat inzwischen ein Update für die Sicherheitslücke angekündigt:

Lies auch: GALAXY S4 BIS S6: SAMSUNG BEREITET PATCH FÜR SWIFTKEY-LÜCKE VIA KNOX VOR

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising