Kritische Sicherheitslücken in vorinstallierten Apps von Samsung

Sergey Toshin von Oversecured hat kürzlich einen Blogpost über mehrere Sicherheitslücken in vorinstallierten Apps von Samsung veröffentlich.

Samsung, Smartphone
Bildquelle: Khiet Tam, thx!

Sergey Toshin, der Gründer des IT-Security Startups Oversecured, hat kürzlich einen Blogpost über mehrere von ihm gefundene Sicherheitslücken in vorinstallierten Android Apps von Samsung veröffentlicht.

Diese Lücken erlauben es unter anderem Apps mit Geräteadminstrationsrechten zu installieren, beliebige Dateien als Systembenutzer zu verändern und Zugriff auf das Adressbuch, Anrufe und SMS zu erhalten.

Es handelt sich dabei um insgesamt sieben Schwachstellen, die Sergey Toshin schon im Februar 2021 an Samsung gemeldet hatte und dafür auch jeweils eine Bug Bounty einheimsen konnte. Alle Lücken wurden mit den letzten Patches von Samsung im April und Mai behoben.

Schon im Vorjahr hatte das BSI vor einer schweren Sicherheitslücke bei Samsung Geräten gewarnt und zur Installation von Updates geraten. Daher ist es empfehlenswert diese Patches schnellstmöglich zu installieren, auch weil im Blogpost konkrete Beispiele zum Ausnutzen der Sicherheitslücken zu finden sind.

GDPR Relevanz

bug vulnerability lab Logo

Dieser Fehler hätten es einem Angreifer ermöglichen können, auf die Kontakte, Anrufe, SMS/MMS des Opfers zuzugreifen und diese zu bearbeiten, beliebige Apps mit Geräteadministratorrechten zu installieren oder beliebige Dateien im Namen eines Systembenutzers zu lesen und zu schreiben, wodurch die Einstellungen des Geräts hätten geändert werden könnten.

Diese Schwachstellen hätten zu einer GDPR-Verletzung führen können. Wir freuen uns, dass wir Samsung dabei helfen konnten, diese Schwachstellen rechtzeitig zu identifizieren und zu beheben.

Zitat Sergey Toshin (übersetzt)

Lesen Sie auch

Schwachstellen in der Übersicht

Die folgende Tabelle gibt einen Überblick über die Schwachstellen, inklusive Verweis auf die CVEs (Abkürzung für Common Vulnerabilities and Exposures, eindeutige IDs für Sicherheitslücken).

CVESVEBetroffene AppBeschreibungBelohnung
CVE-2021-25388SVE-2021-20636Knox CoreInstallation beliebiger Apps, geräteübergreifender Diebstahl beliebiger Dateien$1720
CVE-2021-25356SVE-2021-20733Managed ProvisioningInstallieren von Drittanbieter-Apps und Erteilen
von Geräteadministrationsberechtigungen
$7000
CVE-2021-25391SVE-2021-20500Secure FolderZugriff auf beliebige Content-Provider erlangen$1050
CVE-2021-25393SVE-2021-20731SecSettingsDer Zugriff auf beliebige* Content-Provider führt zu Lese-/Schreibzugriff auf
beliebige Dateien als Systembenutzer (UID 1000)
$5460
CVE-2021-25392SVE-2021-20690Samsung DeX System UIMöglichkeit, die Konfiguration der Benachrichtigungsrichtlinien zu stehlen$330
CVE-2021-25397SVE-2021-20716TelephonyUI(Über-)Schreiben beliebiger Dateien als UID 1001$4850
CVE-2021-25390SVE-2021-20724PhotoTableIntent-Umleitung führt zum Zugriff auf beliebige Content-Provider$280

Bug Bountys sind lohnenswert

Da Samsung ein Bug Bounty Programm anbietet, konnte Sergey Toshin über 20.000$ als Dankeschön erhalten. Es ist daher immer lohnenswert bei entdeckten Sicherheitslücken einmal zu prüfen ob das „Opfer“ ein solches Programm offeriert, wie es viele große Firmen wie Facebook, Microsoft oder Sony auch tun.

Tarnkappe.info

Honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.