Durch den Sicherheitsforscher Sergey Toshin wurden mehrere Sicherheitslücken in den vorinstallierten Apps auf Samsung Geräten gefunden.
Insgesamt fand der Forscher 17 Sicherheitslücken von denen bereits alle bis auf drei behoben wurden. Bei diesen drei soll es sich dabei um schwerwiegende Schwachstellen handeln. Gemeldet wurden diese über das Bug-Bounty-Programm von Samsung.
Samsung zahlte Toshin bereits insgesamt 30.000 US-Dollar für die ersten 14 gefundenen Lücken. Bei diesen zeigte er etwa mit einem Exploit, wie eine App Administrator-Rechte erlangen konnte. Dabei wurden jedoch während des Vorgangs alle anderen Apps auf dem betroffenen Smartphone gelöscht. Diese explizite Sicherheitslücke (CVE-2021-25356) wurde bereits im April gepatcht.
Bei den drei noch nicht nicht behobenen Sicherheitslücken handele es sich jedoch um deutlich schwerere Exploits, weshalb der Sicherheitsforscher keine detaillierten Angaben dazu machen möchte. Demnach ist es möglich mit zwei dieser Lücken beliebige Dateien zu lesen und zu schreiben ohne irgendeine Art von Benutzerinteraktion. Bei der dritten handelt es sich um eine Möglichkeit SMS-Nachrichten zu stehlen. Hierfür muss der Nutzer jedoch erst ausgetrickst werden damit dies funktioniert. Bis diese schwerwiegenden Lücken geschlossen werden können jedoch noch einige Wochen vergehen.
Bereits im vergangen Jahr geriet Samsung in Kritik aufgrund der vorinstallierten App Device Care. Diese konnte nicht deinstalliert werden und übermittelte Daten an die chinesische Sicherheitsfirma Qihoo360. Samsung verteidigte sich jedoch und sprach von der Übermittlung generischer Daten, welche zur Optimierung des Speichers benötigt werden.
Quelle. Oversecured Via. Golem
