Immer Ärger mit Samsung-Dienst "Find My Mobile"
Erneut wurde ein Sicherheitsproblem in dem Dienst bekannt. Durch die Schwachstelle können Angreifer die Android-Geräte von Samsung unter Umständen aus der Ferne mit einem beliebigen Code sperren.
- Ronald Eikenberg
In dem Samsung-Dienst Find My Mobile klafft eine Schwachstelle, durch die Angreifer damit verknüpfte Smartphones und Tablets aus der Ferne sperren können. Laut dem Sicherheitsforscher Mohamed A. Baset ist der Dienst unzureichend vor Cross Site Request Forgery (CSRF) abgesichert. Das führt dazu, dass speziell präparierte Webseiten unter Umständen im Kontext des Nutzers die Samsung-Site steuern können, wenn der Nutzer die Angriffseite aufruft.
Wie der Forscher in zwei YouTube-Clips demonstriert, kann der Angreifer so das Samsung-Gerät seines Opfers in spe etwa mit einem beliebigen – dem Opfer unbekannten – Code sperren oder veranlassen, dass das Gerät ein Alarmsignal mit voller Lautstärke abspielt. Der Lücke wurde die CVE-Nummer CVE-2014-8346 zugewiesen. Das US-CERT bewertet sie mit einem CVSS-Score (Schweregrad) von 7,8 von 10.
Samsung hat sich noch nicht zu dem Problem geäußert. Eine Antwort auf unsere Anfrage steht bislang aus. Find My Mobile fällt nicht zum ersten Mal unangenehm auf. Ende 2013 kam heraus, dass die Samsung-Geräte das vom Nutzer gewählte Passwort im Klartext an den Hersteller übertrugen, kurz darauf wurde bekannt, dass Abzocker den Dienst missbrauchten, um SMS-Weiterleitungen für fremde Rufnummern einzurichten. Dadurch konnten sie Bestätigungscodes abfangen, mit denen sie schließlich Online-Zahlungen auf fremde Rechnungen autorisieren konnten. (rei)
