Googles Kryptologen vom Project Zero haben eine Woche lang Samsungs Zusatzsoftware auf dem Galaxy S6 Edge untersucht und dabei elf Schwachstellen gefunden. Laut Natalie Silvanovich, Autorin des Berichtes, war die Frage, ob ein Android-Gerät mit Zusatzsoftware von Herstellern mehr Angriffspunkte als ein Nexus-Gerät mit einer unveränderten Android-Version bietet, die Ausgangslage für die Untersuchung. Google wollte zudem prüfen, wie schnell ein Gerätehersteller, wenn in seiner Zusatzsoftware Lücken klaffen, Updates parat hat.

Auf seinen Geräten der Nexus-Serie setzt Google die "reine" Betriebssystem-Version des Android Open-Source Projects (AOSP) ein. Samsung und Co. nehmen AOSP als Basis und verweben diese, um so Gerätehersteller-spezifische Funktionen anbieten zu können, mit eigenem Code.

Der Code von Samsung hat es den Sicherheitsforschern zufolge in sich und über elf Schwachstellen, von denen sich drei besonders leicht ausnutzen lassen sollen, konnten sie etwa beliebigen Code ausführen, Apps mehr Rechte verschaffen und E-Mails von Nutzern auslesen. Alle gefundenen Lücken wurden von Googles Project Zero als ernst eingestuft. Bei der Verarbeitung von Multimediainhalten und in den Gerätetreibern sollen die meisten Schwachstellen zu finden sein.

Samsung hat acht Sicherheitslücken in einem Zeitfenster von 90 Tagen per Over-the-Air-Update gestopft, erklären die Kryptologen, während die drei ausstehenden Schwachstellen weniger bedrohlich seien. Die Updates will Samsung so schnell wie möglich verteilen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE