Samsung-Software auf Galaxy S6 Edge schafft Sicherheitslücken

Sicherheitsforscher von Googles Project Zero haben die Samsungs Zusatzsoftware untersucht, die der Hersteller mit der reinen Android-Version verrührt. Dabei kommt das Team zu einem besorgniserregenden Ergebnis.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
Galaxy S6 Edge+

(Bild: dpa, Teresa Dapp)

Lesezeit: 2 Min.

Googles Kryptologen vom Project Zero haben Samsungs Zusatzsoftware auf dem Galaxy S6 Edge eine Woche lang untersucht und elf Schwachstellen gefunden. Ausgangslage für die Untersuchung war laut Natalie Silvanovich, Autorin des Berichtes, die Frage, ob ein Android-Gerät mit Zusatzsoftware von Herstellern mehr Angriffspunkte als ein Nexus-Gerät mit einer unveränderten Android-Version bietet. Zudem wollte Google prüfen, wie schnell ein Gerätehersteller Updates parat hat, wenn in seiner Zusatzsoftware Lücken klaffen.

Google setzt auf seinen Geräten der Nexus-Serie die "reine" Betriebssystem-Version des Android Open-Source Projects (AOSP) ein. Samsung und Co. nehmen AOSP als Basis und verweben diese mit eigenem Code, um so Gerätehersteller-spezifische Funktionen anbieten zu können.

Den Sicherheitsforschern zufolge hat es der Code von Samsung in sich und über elf Schwachstellen konnten sie etwa Apps mehr Rechte verschaffen, beliebigen Code ausführen und E-Mails von Nutzern auslesen. Drei Sicherheitslücken sollen sich besonders leicht ausnutzen lassen. Googles Project Zero stuft alle gefundenen Lücken als ernst ein.

Silvanovich et al. erläutern aber auch, dass sie einige "effektive Sicherheitsmechanismen bei der Arbeit behindert haben". Die meisten Schwachstellen sollen in den Gerätetreibern und bei der Verarbeitung von Multimediainhalten zu finden sein.

In einem Zeitfenster von 90 Tagen hat Samsung acht Sicherheitslücken per Over-the-Air-Update gestopft, erklären die Kryptologen. Die drei ausstehenden Schwachstellen seien weniger bedrohlich. Samsung will die Updates so schnell wie möglich verteilen. (des)