Sergey Toshin von Oversecured hat kürzlich einen Blogpost über mehrere Sicherheitslücken in vorinstallierten Apps von Samsung veröffentlich.
Sergey Toshin, der Gründer des IT-Security Startups Oversecured, hat kürzlich einen Blogpost über mehrere von ihm gefundene Sicherheitslücken in vorinstallierten Android Apps von Samsung veröffentlicht.
Diese Lücken erlauben es unter anderem Apps mit Geräteadminstrationsrechten zu installieren, beliebige Dateien als Systembenutzer zu verändern und Zugriff auf das Adressbuch, Anrufe und SMS zu erhalten.
Es handelt sich dabei um insgesamt sieben Schwachstellen, die Sergey Toshin schon im Februar 2021 an Samsung gemeldet hatte und dafür auch jeweils eine Bug Bounty einheimsen konnte. Alle Lücken wurden mit den letzten Patches von Samsung im April und Mai behoben.
Schon im Vorjahr hatte das BSI vor einer schweren Sicherheitslücke bei Samsung Geräten gewarnt und zur Installation von Updates geraten. Daher ist es empfehlenswert diese Patches schnellstmöglich zu installieren, auch weil im Blogpost konkrete Beispiele zum Ausnutzen der Sicherheitslücken zu finden sind.
GDPR Relevanz
Dieser Fehler hätten es einem Angreifer ermöglichen können, auf die Kontakte, Anrufe, SMS/MMS des Opfers zuzugreifen und diese zu bearbeiten, beliebige Apps mit Geräteadministratorrechten zu installieren oder beliebige Dateien im Namen eines Systembenutzers zu lesen und zu schreiben, wodurch die Einstellungen des Geräts hätten geändert werden könnten.
Diese Schwachstellen hätten zu einer GDPR-Verletzung führen können. Wir freuen uns, dass wir Samsung dabei helfen konnten, diese Schwachstellen rechtzeitig zu identifizieren und zu beheben.
Zitat Sergey Toshin (übersetzt)
Schwachstellen in der Übersicht
Die folgende Tabelle gibt einen Überblick über die Schwachstellen, inklusive Verweis auf die CVEs (Abkürzung für Common Vulnerabilities and Exposures, eindeutige IDs für Sicherheitslücken).
| CVE | SVE | Betroffene App | Beschreibung | Belohnung |
|---|---|---|---|---|
| CVE-2021-25388 | SVE-2021-20636 | Knox Core | Installation beliebiger Apps, geräteübergreifender Diebstahl beliebiger Dateien | $1720 |
| CVE-2021-25356 | SVE-2021-20733 | Managed Provisioning | Installieren von Drittanbieter-Apps und Erteilen von Geräteadministrationsberechtigungen |
$7000 |
| CVE-2021-25391 | SVE-2021-20500 | Secure Folder | Zugriff auf beliebige Content-Provider erlangen | $1050 |
| CVE-2021-25393 | SVE-2021-20731 | SecSettings | Der Zugriff auf beliebige* Content-Provider führt zu Lese-/Schreibzugriff auf beliebige Dateien als Systembenutzer (UID 1000) |
$5460 |
| CVE-2021-25392 | SVE-2021-20690 | Samsung DeX System UI | Möglichkeit, die Konfiguration der Benachrichtigungsrichtlinien zu stehlen | $330 |
| CVE-2021-25397 | SVE-2021-20716 | TelephonyUI | (Über-)Schreiben beliebiger Dateien als UID 1001 | $4850 |
| CVE-2021-25390 | SVE-2021-20724 | PhotoTable | Intent-Umleitung führt zum Zugriff auf beliebige Content-Provider | $280 |
Bug Bountys sind lohnenswert
Da Samsung ein Bug Bounty Programm anbietet, konnte Sergey Toshin über 20.000$ als Dankeschön erhalten. Es ist daher immer lohnenswert bei entdeckten Sicherheitslücken einmal zu prüfen ob das „Opfer“ ein solches Programm offeriert, wie es viele große Firmen wie Facebook, Microsoft oder Sony auch tun.
Tarnkappe.info
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
