Samsung stopft Spionage-Lücke in seinen Android-Geräten

Smartphones und Tablets von Samsung haben unter anderem Login-Daten ihrer Nutzer im Klartext übertragen. Mit den Zugangsdaten können die Nutzer der Geräte umfassend ausspioniert werden.

In Pocket speichern vorlesen Druckansicht 122 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Der Samsung-Dienst "Find your phone" spürt mit den im Klartext übertragenen Zugangsdaten auch fremde Phones auf.

Der Elektronikkonzern Samsung hat eine Schwachstelle in seinen Android-Geräten behoben, durch die man die Nutzer der Geräte umfassend ausspionieren kann. Wie c't in der aktuellen Ausgabe 01/14 berichtet, übertrugen Smartphones und Tablets des Herstellers die Registrierungsdaten für den sogenannten Samsung-Account im Klartext – darunter der Name, die Mail-Adresse und sogar das gewählte Passwort.

Einen Samsung-Account benötigt man, um essentielle Funktionen wie etwa das Aufspüren verlorener Smartphones zu nutzen. Geraten die Zugangsdaten in die falschen Hände, können damit aber auch Unbefugte den präzisen Aufenthaltsort des Account-Besitzers auskundschaften. Über die Samsung-Website kann man damit ferner sogar Bewegungsprofile erstellen, die einen Zeitraum von 12 Stunden abdecken, auf Anruflisten zugreifen, Umleitungen für Anrufe und SMS einrichten und sogar das Smartphone entsperren.

Im Traffic der Samsung-Geräte konnten Datenschnüffler fette Beute machen.

Das Mitlesen der Daten ist wahrlich kein Hexenwerk: Befindet sich der Schnüffler im gleichen lokalen Netz, bekommt er diese Daten fast auf dem Silbertablett serviert. Geht man davon aus, dass Geheimdienste wie GHCQ und NSA den Datenverkehr des Registrierungsservers präventiv mitschneiden, haben sie darüber sofortigen Zugang zu unzähligen Accounts.

Betroffen war unter anderem das Galaxy S4.

Entdeckt hat die Lücke die Firma mediaTest digital, die auf Sicherheitsbewertungen von Apps und Mobilgeräten spezialisiert ist. Das Unternehmen hat daraufhin heise Security eingeschaltet. Wir konnten das Problem mit einem Samsung Galaxy S4 und einem Galaxy Tab 3 reproduzieren und haben den südkoreanischen Hersteller Ende vergangener Woche informiert. Dort wurde offenbar der Ernst der Lage erkannt: Nach fünf Tagen ließ Samsung über seine Presseagentur verlauten, dass das Problem jetzt behoben sei – allerdings ohne Details zu nennen.

Unsere Tests bestätigen, dass bei der Registrierung nicht länger Daten im Klartext übertragen werden. Wer in der Vergangenheit bereits einen Samsung-Account über ein Android-Gerät des Herstellers angelegt hat, sollte besser das Passwort wechseln. Da Samsung bislang noch nicht bekanntgegeben hat, welche Modelle betroffen und auch schon abgesichert sind, sollte man auf die verschlüsselt übertragene Webseite https://account.samsung.com ausweichen, um das Passwort zu ändern oder bei Bedarf einen neuen Account anzulegen. (rei)