UPDATE: Samsung hat nach eigenen Angaben die Sicherheitslücke am 13. Oktober gesperrt.
Die berichtete Thematik trat nur in der Web-Nutzeroberfläche der „Find my Mobile“-Funktion auf und wurde durch ein Patch-Update am 13. Oktober bereits behoben.
Insofern kann man den Dienst wieder ohne Bedenken nutzen. Hier der ursprüngliche Artikel von Christian:
Die meisten von euch werden sicherlich schon einmal von Samsungs Find My Mobile Dienst gehört haben, mit dem man Android-Geräte von Samsung orten, klingeln und sperren lassen kann. Auch die letzten Anrufe lassen sich einsehen und eine Benachrichtigung beim SIM-Wechsel einrichten. Alles eigentlich nützliche Funktionen, doch im Find My Mobile Dienst ist eine schwere Sicherheitslücke, mit der Hacker Samsung-Smartphones aus der Ferne sperren können.
Um die Sperre aktivieren zu können, muss Samsungs Dienst Find My Mobile natürlich mit dem Gerät kommunizieren können. Das Sperrkommando wird allerdings inklusive der Entsperr-PIN ohne Authentifizierung gesendet, sodass das Galaxy-Gerät von jedem gesperrt werden kann, in dessen Netzwerk es sich befindet. Die Anzahl der angreifbaren Geräte ist groß: Find My Mobile wird beim Einrichten eines Samsung-Kontos automatisch aktiviert.
Wir empfehlen daher, den Dienst vorerst zu deaktivieren, bis die Sicherheitslücke geschlossen wurde. Die Lücke ermöglicht Erpressungsversuche ähnlich dem BKA-Trojaner für Windows, sodass man auf der Hut sein sollte.
Quelle: Hacker News
Pingback: Anonymous
was ist denn nun eigentlich mit der Gear S weiß jemand etwas zum release etc.?
Frage mich nur, was hat ein Hacker davon, wenn er mir von weitem mein Handy sperrt…
der BKA Trojaner war lustig.
Hatte auch mal was ähnliches einfach in einer schweizer Version, konnte dann aber einfach über einen anderen Acc. rein und es mit dem Anti Viren Programm entfernen =D
Das man mit PSC zahlen musste war aber schon seeeehr auffällig =D
Das wichtigste an der ganzen News ist mal wieder ambig ohne Ende – die Voraussetzung unter der man in Gefahr ist – nämlich dass das „Galaxy-Gerät von jedem gesperrt werden kann, in dessen Netzwerk es sich befindet“
Kann das Gerät nur gesperrt werden, wenn man sich tatsächlich im selben (WiFi-)Netzwerk befindet? Oder funktioniert es auch, über jede beliebige Verbindung wie z.B. 3G/4G-Internet oder einem Banner-Redirect auf einer Webseite, auf die von einem ansonsten „sauberen“ WLAN zugegriffen wird?
Die Quelle klingt da anders – aber auch nicht gerade eindeutig…
Grundsätzlich auch über 3G/4G/…, allerdings muss dafür eine direkte Verbindung zum Gerät aufgebaut werden können, es muss also die IP bekannt sein.
Im Galaxy Apps (store) hab ich gerade ein Update für die „SEAndroid Policy“ erhalten… (Note 4)
Vielleicht soll das die Lücke schließen?
Aus der App Beschreibung ein kleiner Auszug:
„Android Policy Update(SPD) Client is a system
applictation for updating the security policy fries to SE
for Android (Security Enhancements for Android).
Samsung devices protects the OS through SE for
Android, which is built on the SELinux technology.
Security Enhancements for Android (SE for Android)
prevents apps or processes from accessing data and
resources that they are not allowed to.“
Hab ich für das S5 auch bekommen.
Würde mich auch interessieren ob es gegen die „Lücke“ ist?
Ich lebe gefährlich weiter..
Aber wenn ich mich noch nie angemeldet habe brauch ich mir keine gedanken machen oder geschieht das automatisch mit der anmeldung vom samsung konto
Steht doch im Text… „Die Anzahl der angreifbaren Geräte ist groß: Find My Mobile wird beim Einrichten eines Samsung-Kontos automatisch aktiviert.“
Einstellungen, dann Sicherheit, Fernzugriff.
Und wie deaktiviert man find my mobile? Habe mich eingeloggt und keine Möglichkeit zum deaktivieren gefunden. Auch der Kundensupport konnte mir nicht sagen wie das gehen soll.
Hi
bei Samsung Link anmelden dann auf Find My Mobile
oben links siehst Du Registriertes Gerät dem Pfeil folgen Haken entfernen schon sollte alles auf off stehen
Passiert nix. Also habe es auf dem Smartphone deaktiviert, aber mir wäre lieber es ginge auch auf der Website. Na hoffen wir mal reicht über Smartphone. Danke trotzdem!
@Rainer So ein Blödsinn. Da deaktiviert man nur den Zugriff des Link Dienstes. Natürlich geht das nur über die Einstellungen des Gerätes wie Alex es beschreibt.