Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Samsung Galaxy: Schwere Sicherheitslücke in „Find my Mobile“-Funktion

Samsung Find My Mobile. (Bild: Samsung)

Eine schwere Sicherheitslücke in der Funktion „Find My Mobile” von Smartphones und Tablets der Samsung-Galaxy-Reihe ermöglicht es Angreifern, die Geräte per Fernzugriff zu kontrollieren. Einen Patch gibt es noch nicht.

Sicherheitslücke ermöglicht Angreifern Fernzugriff auf Galaxy-Geräte

Eigentlich soll die Funktion „Find My Mobile” es Besitzern von Smartphones und Tablets der Samsung-Galaxy-Reihe ja ermöglichen, das Gerät klingeln oder sperren zu lassen, wenn es verloren gegangen ist. Experten des National Institute of Standards and Technology (NIST) haben jetzt aber eine schwere Sicherheitslücke in dem Feature festgestellt, die es auch Angreifern ermöglicht, das Samsung-Galaxy-Gerät fernzusteuern.

Galaxy-Geräte: Sicherheitslücke ermöglicht Angreifern Fernzugriff (Bild: Samsung)
Galaxy-Geräte: Sicherheitslücke ermöglicht Angreifern Fernzugriff (Bild: Samsung)

Ein Angreifer könnte betroffene Smartphones oder Tablets orten, sie sperren oder den Speicher löschen, ohne das Gerät in den Händen zu halten. Dieser unerwünschte Fernzugriff ist möglich, weil der Verursacher der Sperrbefehle nicht korrekt validiert wird. Noch hat Samsung kein Patch zum Stopfen der Sicherheitslücke bereitgestellt. Bis es soweit ist, sollten Nutzer die Funktion deaktivieren. „Find My Mobile” ist zwar nicht auf allen Galaxy-Geräten von Samsung voreingestellt, wird aber beim Einrichten eines Samsung-Accounts aktiviert.

Find My Mobile: Schon die zweite Sicherheitslücke bei Samsung?

Zuvor hatte ein Sicherheitsforscher bereits von einer Lücke in Samsungs Sicherheitslösung Knox berichtet. Demnach wird eine PIN, die zur Einrichtung der Security-App vergeben wird, angeblich im Klartext auf dem Gerät gespeichert, womit die Sicherheitslösung kompromittiert würde. Samsung hat das Leck allerdings bestritten. Knox-Passwort und das Schlüssel-Management sind Samsung zufolge „nach den besten Sicherheitsmethoden implementiert” worden, wie es bei ZDNet heißt.

via www.chip.de

Bitte beachte unsere Community-Richtlinien

4 Reaktionen
Jens

Korrektur:

Setzen, 6! @usabilityDepartmentGoogle :-P

^^

Jens

Habe es eben mit dem Galaxy S4 selbst mal getestet.
Das CSRF funktioniert nicht mehr. Samsung hat schon reagiert.
Man wird sofort nach dem Submit abgemeldet von findmymobile.samsung.com (sofern man zuvor schon angemeldet war) und die Action wird auch nicht ausgeführt. Es gibt nur einen Redirect auf die Login-Seite.

Saubere und schnelle Arbeit seitens Samsung. Daumen hoch.

Ich habe anschließend den Fernzugriff jedoch trotzdem wieder deaktiviert (hatte ich vorher gar nicht verwendet) und auch das Samsung-Konto unter Konten wieder entfernt, da ich das ebenfalls nicht nutze.

Hinweis: Um das Samsung-Konto wieder entfernen zu können, muss man links unten den Hotkey -> EInstellungen -> Konten -> Samsung wählen -> Synchro.. -> dort findet man dann die Checkboxen zur Abwahl diverser Syncs UND auch endlich den Button "Konto entfernen"

Setzen, 6! @usabilityDepartmentSamsung :-P

YDesCo

Einstellungen -> Gerät -> Sicherheit -> Fernzugriff

So auf jeden Fall bei meinem Note 3!

Ich

Wie und wo kann ich 'Find my mobile' an einem Samsung Galaxy S3 mini deaktivieren?

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst