Gadgets & Lifestyle

Samsung Galaxy: Schwere Sicherheitslücke in „Find my Mobile“-Funktion

Samsung Find My Mobile. (Bild: Samsung)

Eine schwere Sicherheitslücke in der Funktion „Find My Mobile” von Smartphones und Tablets der Samsung-Galaxy-Reihe ermöglicht es Angreifern, die Geräte per Fernzugriff zu kontrollieren. Einen Patch gibt es noch nicht.

Sicherheitslücke ermöglicht Angreifern Fernzugriff auf Galaxy-Geräte

Eigentlich soll die Funktion „Find My Mobile” es Besitzern von Smartphones und Tablets der Samsung-Galaxy-Reihe ja ermöglichen, das Gerät klingeln oder sperren zu lassen, wenn es verloren gegangen ist. Experten des National Institute of Standards and Technology (NIST) haben jetzt aber eine schwere Sicherheitslücke in dem Feature festgestellt, die es auch Angreifern ermöglicht, das Samsung-Galaxy-Gerät fernzusteuern.

Galaxy-Geräte: Sicherheitslücke ermöglicht Angreifern Fernzugriff (Bild: Samsung)

Galaxy-Geräte: Sicherheitslücke ermöglicht Angreifern Fernzugriff (Bild: Samsung)

Ein Angreifer könnte betroffene Smartphones oder Tablets orten, sie sperren oder den Speicher löschen, ohne das Gerät in den Händen zu halten. Dieser unerwünschte Fernzugriff ist möglich, weil der Verursacher der Sperrbefehle nicht korrekt validiert wird. Noch hat Samsung kein Patch zum Stopfen der Sicherheitslücke bereitgestellt. Bis es soweit ist, sollten Nutzer die Funktion deaktivieren. „Find My Mobile” ist zwar nicht auf allen Galaxy-Geräten von Samsung voreingestellt, wird aber beim Einrichten eines Samsung-Accounts aktiviert.

Find My Mobile: Schon die zweite Sicherheitslücke bei Samsung?

Zuvor hatte ein Sicherheitsforscher bereits von einer Lücke in Samsungs Sicherheitslösung Knox berichtet. Demnach wird eine PIN, die zur Einrichtung der Security-App vergeben wird, angeblich im Klartext auf dem Gerät gespeichert, womit die Sicherheitslösung kompromittiert würde. Samsung hat das Leck allerdings bestritten. Knox-Passwort und das Schlüssel-Management sind Samsung zufolge „nach den besten Sicherheitsmethoden implementiert” worden, wie es bei ZDNet heißt.

via www.chip.de

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Ich
Ich

Wie und wo kann ich ‚Find my mobile‘ an einem Samsung Galaxy S3 mini deaktivieren?

Antworten
YDesCo
YDesCo

Einstellungen -> Gerät -> Sicherheit -> Fernzugriff

So auf jeden Fall bei meinem Note 3!

Antworten
Jens
Jens

Habe es eben mit dem Galaxy S4 selbst mal getestet.
Das CSRF funktioniert nicht mehr. Samsung hat schon reagiert.
Man wird sofort nach dem Submit abgemeldet von findmymobile.samsung.com (sofern man zuvor schon angemeldet war) und die Action wird auch nicht ausgeführt. Es gibt nur einen Redirect auf die Login-Seite.

Saubere und schnelle Arbeit seitens Samsung. Daumen hoch.

Ich habe anschließend den Fernzugriff jedoch trotzdem wieder deaktiviert (hatte ich vorher gar nicht verwendet) und auch das Samsung-Konto unter Konten wieder entfernt, da ich das ebenfalls nicht nutze.

Hinweis: Um das Samsung-Konto wieder entfernen zu können, muss man links unten den Hotkey -> EInstellungen -> Konten -> Samsung wählen -> Synchro.. -> dort findet man dann die Checkboxen zur Abwahl diverser Syncs UND auch endlich den Button „Konto entfernen“

Setzen, 6! @usabilityDepartmentSamsung :-P

Antworten
Jens
Jens

Korrektur:

Setzen, 6! @usabilityDepartmentGoogle :-P

^^

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.