Samsung hat ein dickes Problem: Seine Android-Smartphone-Flagsschiffe wie das Galaxy S III, Galaxy S II und das Note II besitzen eine massive Sicherheitlücke. Diese lässt sich ausnutzen, um Root-Rechner aus installierten Apps zu erlangen und der Benutzer kann nichts dagegen tun.
Anzeige
Hintergrund ist der Umstand, dass das Verzeichnis /dev/exynos-mem mit R/W-Berechtigungen versehen ist. Dadurch können Apps auf den physikalischen Speicher des Systems zugreifen und Root-Rechte erlangen. Der Download einer App aus dem Google Play Store mutiert damit zum Risiko.
Die Details hat ein Benutzer am Wochenende bei xda-developers.com in diesem Beitrag gepostet. Im Beitrag wird auch ein Patch angeboten, um die Berechtigungen zu reduzieren. Allerdings ist unklar, welche Nebenwirkungen der Patch hat – und die Installation ist wohl auch nur für erfahrene Bastler durchführbar. Zwischenzeitlich habe aber andere Benutzer eine APK zum Deaktivieren der Sicherheitslücke bereitgestellt.
Äußerst unschön, das Ganze. Bei heise.de findet sich hier ein Artikel und auch Spiegel Online berichtet hier über das Thema.
Anzeige
Nachtrag: Einem Bericht bei heise.de [1] nach hat Samsung die Sicherheitslücke bestätigt und arbeitet an deren Beseitigung. Interessant ist im Bericht der Hinweis eines Linux-Kernel-Entwicklers, der diese Sicherheitslücke mehr oder weniger als "mutwillige Schlamperei von Samsung" bezeichnet.
1: http://www.heise.de/newsticker/meldung/Samsung-verspricht-Patch-fuer-kritische-Smartphone-Luecke-1773159.html
Laut heise.de [1] beginnt Samsung jetzt in Großbritannien mit der Auslieferung eines Patches.
1: http://www.heise.de/newsticker/meldung/Bericht-Samsung-liefert-ersten-Patch-fuer-Sicherheitsluecke-aus-1777944.html