Sicherheitslücke in Samsung-Android-Treiber wird angegriffen
Treiber für Samsungs Mobilprozessoren ermöglichen Angreifern das Ausweiten ihrer Rechte. Google warnt vor laufenden Angriffen darauf.
Sicherheitslücken bedrohen Android-Smartphones.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Googles TAG-Team hat eine in freier Wildbahn missbrauchte Sicherheitslücke in Android-Treibern zu Samsungs Mobilprozessoren entdeckt. Samsung schließt sie mit den Sicherheitsupdates für Smartphones im Oktober.
In ihrer Analyse schreiben Googles IT-Sicherheitsforscher, dass im Samsung-Treiber "m2m1shot_scaler0" eine Use-after-free-Sicherheitslücke klafft, die Angreifer bereits ausgenutzt haben. Der Treiber dient Hardware-beschleunigten Multimedia-Funktionen wie JPEG-Dekodierung und Bildgrößenänderungen. Bei einer Use-after-free-Lücke greift der Programmcode fälschlicherweise auf Ressourcen zu, die bereits freigegeben wurden und deren Inhalte daher nicht definiert sind. Das lässt sich oftmals zum Ausführen eingeschmuggelten Schadcodes missbrauchen.
Keine Details zu den Angriffen
Wie die Angriffe aussehen und wer sie auf wen verübt hat, geht aus Googles Analyse nicht hervor. Der Exploit der Schwachstelle ist jedoch Teil einer Kette zur Ausweitung der Rechte im System. Bösartige Akteure führen am Ende beliebigen Code in einem hoch privilegierten "cameraserver"-Prozess aus. Den Prozess hat der Exploit zudem in "vendor.samsung.hardware.camera.provider@3.0-service" umbenannt, vermutlich, um die forensische Analyse zu erschweren.
Die IT-Forensiker erörtern detailliert, wie der Exploit Speicherseiten aus dem Userspace in I/O-Speicherseiten zuordnet, einen Firmware-Befehl absetzt und schließlich die gemappten I/O-Speicherseiten "einreißt", um so Code im physischen Speicher zu erreichen. Wie die Angriffe auf die Smartphones jedoch konkret aussehen, ob sie etwa mit manipulierten Webseiten, mit präparierten Medienstreams oder gar bösartigen Apps erfolgen, erörtern Googles Mitarbeiter nicht. Sie schreiben jedoch, dass etwa das Galaxy S10 für den Exploit anfällig ist.
Samsung hat Informationen zur Schwachstelle mit dem CVE-Eintrag CVE-2024-44068 einer eigenen Mitteilung zufolge bereits am 19. Juli dieses Jahres erhalten. Betroffen sind demnach die Samsung-Mobilprozessoren Exynos 9820, 9825, 980, 990, 850 und W920. Im Oktober hat Samsung mit dem Security Maintenance Release (SMR) die Sicherheitslücke geschlossen. Wer auf dem Smartphone daher die Samsung-Oktober-Updates bereits installiert hat, ist vor den Angriffen geschützt. Die sind für zahlreiche Smartphone-Modelle – einschließlich des konkret untersuchten Modells Galaxy S10 – inzwischen verfügbar. Allerdings legte das Update zahlreiche Handys lahm – Zyniker könnten das auch als Lösung des Problems betrachten. Für die betroffenen Samsung Smartwatches 4 und 5 mit dem Prozessor Exynos W920 steht hingegen bislang keine Fehlerkorrektur bereit.
Wer Samsung-Smartphones einsetzt, sollte prüfen, ob ein Firmwareupdate vorhanden ist und dieses zügig installieren.
(dmk)
