Sicherheitslücken in einer komplexen Software wie einem Betriebssystem sind nicht neu und werden uns noch lange begleiten. Immer wieder steht Android dafür in der Kritik. Obwohl Google schon vor Jahren mit der Einführung der monatlichen Sicherheitsupdates adäquat darauf reagierte. Sicherheitslücken schließen, das scheint nicht immer die höchste Priorität zu haben. Trotz der heute vereinfachten Auslieferung entsprechender Updates. Samsung soll gerade ein schlechtes Beispiel hierfür sein.
MMS als Angriffsziel auf zahlreiche Samsung-Smartphones
Über den eigenen Kanal bei Twitter warnt das BSI davor, dass Samsung-Smartphones eine Sicherheitslücke aufweisen. Man rät dazu, das neueste Sicherheitspatch (Mai 2020) unbedingt zu installieren. Um das zu können, muss es dem Nutzer aber auch erst einmal zur Installation bereitstehen. Ein alternativer Weg für den Selbstschutz soll sein, den automatischen MMS-Empfang abzuschalten. In diesem Systembereich findet die Sicherheitslücke nämlich statt. Aber nur auf Geräten mit zusätzlicher Samsung-Software.
Sollte für ein Gerät noch kein Update zur Verfügung stehen, kann eine Deaktivierung des automatischen MMS-Empfangs in den Einstellungen die Angriffsfläche durch MMS begrenzen. (3/3) #DeutschlandDigitalSicherBSI
— BSI (@BSI_Bund) May 8, 2020
Warum ist Samsung ein schlechtes Beispiel, trotz Fix für diese Sicherheitslücke? Diese Sicherheitslücke soll schon seit sehr langer Zeit bestehen, außerdem habe ein Sicherheitsforscher bereits im Januar des aktuellen Jahres öffentlich darauf hingewiesen. Der angreifbare Bestandteil der Software ist auf Samsung-Smartphones sogar schon seit sechs Jahren im Einsatz. Enthaltende Fehler verursachten eine Schwachstelle, die wie beschrieben per MMS ausgenutzt werden konnte.
Der Sicherheitsforscher von Google will die Schwachstelle erfolgreich auf über 20 Modellen ausgenutzt haben. Darunter das Galaxy Note 10+, die Modelle S9, S8, S7 und andere populäre Samsung-Smartphones der letzten Jahre. In diesem Fall ist also nicht Android schuld, sondern die zusätzliche Hersteller-Software. Das spricht natürlich nicht gerade dafür, sich auf Geräte mit One UI, EMUI und Co. zu stürzen.