Schwere Sicherheitslücke in allen Samsung-Smartphones seit 2014 entdeckt

Sicherheitsforscher haben einen Android-Bug bei Samsung-Smartphones gefunden. Der ermöglicht Angreifern auf Handys zuzugreifen.

Konkret betrifft die Sicherheitslücke Smartphones des südkoreanischen Herstellers, die seit 2014 verkauft wurden. Die von Samsung modifizierte Android-Software verarbeitet das Bild-Format Qmage (.qmg) so, dass darüber – ohne das Zutun des Nutzers – schadhafter Code auf das Smartphone aufgespielt werden könnte.

100 Minuten für 300 MMS

Das Bildformat wird vor allem für MMS genutzt. Der Sicherheitsforscher Mateusz Jurczyk von Googles Project Zero konnte in einem Test über das Senden von MMS die Kontrolle über Smartphones erlangen. Für den Test-Angriff sendete er 50 bis 300 MMS-Nachrichten an die Geräte. Dafür brauchte er 100 Minuten, konnte aber verhindern, dass das Handy Benachrichtigungen anzeigte, wie Zdnet berichtet.

Somit hätten Angreifer die Möglichkeit gehabt, unentdeckt Massen an MMS an Nutzer zu versenden, ohne dass diese darüber informiert werden. Da die Samsung Smartphones die Bilder sofort bearbeiten, auch wenn Nutzer die MMS nicht aktiv öffnen, hätte sich Angreifer damit Zugriff auf das Gerät verschaffen können.

Jurczyk weist er daraufhin, dass die Sicherheitslücke theoretisch über jede App, die das Bildformat Qmage erlaubt, ausgenutzt werden könne. Samsung reagierte bereits und hat den Bug mit seinem Mai-Sicherheitsupdate behoben.