Aktualisiert am

Ein Galaxy Note 10+ von Samsung in einem Showroom in Südkorea. Bild: AFP

Wenn eine Sicherheitslücke über eine lange Zeit nicht mit einem Update geschlossen wird, ist das in der Regel ein veritables Problem. Der südkoreanische Samsung-Konzern, größter Smartphone-Hersteller der Welt, ist in dieser Hinsicht offenbar noch einmal mit einem blauen Auge davongekommen. Wie mehrere Fachmedien berichteten, wurde mit dem turnusgemäßen Mai-Update des Betriebssystems einer Reihe von Samsung-Handys eine Sicherheitslücke geschlossen, die seit mindestens 2015 Hackern die Komplettübernahme der Smartphones gestattete.

Die Schwachstelle lag in der Art und Weise, wie die angepasste Android-Version für Samsung-Smartphones Bilder verarbeitet. Mit Schadcode enthaltenden MMS konnte ein Programmierfehler in dem Verfahren ausgenutzt werden und so beliebiger Code auf den Geräten ausgeführt werden. Das Verfahren der Bildverabeitung haben sämtliche Samsung-Smartphones seit mindestens Anfang 2015, möglicherweise aber auch schon seit Mitte 2014, wie es hieß.

Einem Bericht des Google-Sicherheitsforschers Mateusz Jurczyk zufolge, der die Lücke entdeckte und in einem umfassenden Bericht dokumentierte, mussten Angreifer eine hohe Anzahl von zwischen 50 und 300 MMS schicken, um ein Gerät zu kapern. Allerdings habe gebe es einen Weg, den Benachrichtigungston für neu eingehende Nachrichten aus der Ferne abzuschalten, sodass der Inhaber des Smartphones davon nichts habe mitbekommen müssen. Ein öffnen der präparierten MMS durch ihn sei auch nicht nötig gewesen.

BSI ruft dringend zum Update auf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet auf seinem Twitter-Kanal dringend dazu, das neueste Sicherheitsupdate zu installieren. Sollte für das eigene Gerät noch kein Update zur Verfügung stehen, könne der automatische MMS-Empfang ausgeschaltet werden, sodass das Smartphone sich die Multimedia-Nachrichten nicht mehr automatisch herunterlädt.

Wie das Fachmagazin Heise schreibt, könnte das für eine Reihe von Nutzern auch notwendig werden. Denn Samsung zufolge erhielten nur die „Flagschiff-Modelle“ des Konzerns das monatlich Sicherheitsupdate. Nutzer von niederpreisigeren Handys müssen möglicherweise noch etwas auf das Update warten. Welche Modelle jetzt noch keinen Patch bekommen, hat Samsung Heise zufolge noch nicht mitgeteilt.

Vor zwei Wochen hatte das BSI schon vor einer kritischen Sicherheitslücke in Apple-Smartphones gewarnt. Die standardmäßig auf allen iPhones und iPads installierte E-Mail-App „Mail“ berge ein leicht ausnutzbares Einfallstor für Hacker. Einen Patch für die Schwachstelle hat Apple bislang noch nicht veröffentlicht.