Logo von Security

Suche
Martin Holland 627

Android: Kritische Lücke in Samsung-Smartphones

Durch eine Schwachstelle kann man auf Android-Smartphones, die von den Samsung-CPUs Exynos 4210 und 4412 angetrieben werden, Code mit Kernel-Rechten ausführen. So können einerseits Besitzer der betroffenen Smartphones an Root-Rechte kommen – andererseits eignet sich die Lücke aber auch zum Einschleusen von Schadcode durch bösartige Apps.

Der User alephzain hat im Xda-Developers-Forum dokumentiert, dass alle Nutzer über die Gerätedatei /dev/exynos-mem sowohl lesend als auch schreibend auf den gesamten Speicher der Smartphones zugreifen können. Das betrifft auch die kritischen Speicherbereiche des Kernels. Laut dem Bericht wird die Gerätedatei unter anderem von der Kamera-App und für die HDMI-Ausgabe benutzt.

Die Lücke soll einfach auszunutzen sein. Betroffen sind offenbar die Samsung-Geräte Galaxy S3, Galaxy S2 und Galaxy Note 2 sowie das Meizu MX. Weiterhin könnten auch alle anderen Geräte mit den beiden Exynos-Prozessoren betroffen sein.

Es gibt auch schon eine erste App, die den Speicherzugriff im Sinne des Smartphone-Besitzers ausnutzt: Sie verschafft ihm Root-Rechte und ermöglicht dann das Schließen der Lücke, woraufhin jedoch die Kamera nicht mehr genutzt werden kann. Ein weiterer Fix aus dem gleichen Forum soll die Lücke ebenfalls schließen, in diesem Fall soll die Kamera aber nutzbar bleiben. Andere mögliche Einschränkungen schließt der verantwortliche Nutzer nicht aus.

[Update 17.12.2012 14:20]:

Betroffen sind das Galaxy S2 und S3, Note, Note 2 und Note 10.1, und Galaxy Tab 7.7 sowie die hierzulande nicht verbreiteten Lenovo K860 und Meizu MX-4 – jedenfalls laut Wikipedia-Eintrag zu den Exynos-SOCs. Nicht betroffen sind Smartphones mit älteren Exynos-Varianten wie das Nexus S und Galaxy S sowie die Geräte mit der A15-Variante 5250 wie das Chromebook und das schlecht lieferbare Tablet Nexus 10 (mho)

627 Kommentare

Themen:

Anzeige
  1. Android-Framework Xposed unterstützt Android 5.0 und 5.1

    Xposed Framework

    Xposed funktioniert jetzt auch ohne Umwege auf Android-Lollipop-Smartphones. Allerdings kann es vor allem bei Samsung- und Sony-Geräten zu Problemen kommen.

  2. Hickhack um Virtual-Reality-Apps für Samsungs Gear VR

    Hickhack um Virtual-Reality-Apps für Samsungs Gear VR

    Einige Gear-VR-Apps sind nur für das Samsung Galaxy S6 (Edge) erhältlich, Besitzer des Note 4 schauen in die Röhre - und sind sauer. Einer der Gründe dafür: Performance-Probleme mit Android 5.0 und Adreno-Grafikprozessor.

  3. Samsung Galaxy S6 im Test: das beste Smartphone zum höchsten Preis

    Samsung Galaxy S6 im Test: Das beste Smartphone für den höchsten Preis

    Verkaufsstart für Samsung Galaxy S6 und Galaxy S6 Edge: Samsung verkauft ab Freitag seine neuen Highend-Smaprthones. Bis auf das abgerundete Display beim Edge sind sie fast baugleich. Sie gehören zum Besten, was es bislang an Smartphones gab.

  4. Stagefright: Android-Smartphones über Kurznachrichten angreifbar

    Android-Lücke

    95 Prozent aller Android-Smartphones sollen sich durch "die Mutter aller Android-Schwachstellen" attackieren lassen. Angreifer können die Geräte unbemerkt durch eine MMS-Nachricht in eine Wanze verwandeln.

  1. c't uplink 3.9: Smartphones reparieren, Daten retten, Nexus 9

    In c't uplink haben wir diese Woche iPhones und Android-Smartphones repariert. Wir sprechen darüber, wie man verloren geglaubte Daten auf Festplatten, USB-Sticks und Telefonen rettet. Außerdem haben wir das Nexus 9 getestet.

  2. In eigener Sache: Die Top-Kameras der heise Foto Galerie

    In eigener Sache: Top-Kameras der heise Foto Galerie

    Ausgewertet: Wir wollten wissen, mit welchen Kameras die meisten Bilder in unserer Galerie entstehen. Dazu haben wir alle auf Heise Foto veröffentlichten Aufnahmen analysiert und eine lange Liste mit 1600 Modellen durchgearbeitet.

  3. c't uplink 3.6: Neue Nexus-Geräte, neue iPads, Sicherheitslücken und 3D-Drucken

    Apple und Google haben neue Gadgets präsentiert: Wer hatte die besseren im Gepäck? Wir sprechen außerdem über 3D-gedruckte Mini-Ichs und haufenweise. Sicherheitslücken

  1. Neue Preview von Windows 10 schaut zweimal hin

    Neue Preview von Windows 10 schaut zweimal hin

    Mit der nächsten Insider Preview im Fast Ring lernt Windows 10 zwei Virenscanner zu beschäftigen, macht Umstiege von Pro auf Enterprise noch einfacher und optimiert die digitale Tinte.

  2. Leak: AMDs Polaris-NDA läuft Ende Juni aus

    NDA zu AMDs Polaris-GPUs fällt Ende Juni

    AMD wird seine neuen Polaris-GPUs wohl nicht auf der Computex vorstellen. Das legt ein Bild von einem NDA-Text nahe.

  3. AMC Pacer: Bohemian Schnapsidee

    Klassiker

    Verneigen wir uns vor einem Auto, das es nie hätte geben dürfen: der AMC Pacer war ein ganzheitlicher Fehlgriff. Er ging so schief, dass man ihn schon wieder gern haben muss. Die Geschichte eines Kleinwagens mit sehr großen Motoren

  4. Display Week: Samsung zeigt 4K-Smartphone-Display

    Display Week: Samsung zeigt 4K-Smartphone-Display

    Samsung hat in San Francisco den Prototyp eines 5,5-Zoll-AMOLED-Dispalys mit 4K-Auflösung vorgestellt. Durch die hohe Pixeldichte wäre es ideal für VR-Anwendungen, wenn es schnell genug ist.

Anzeige