Galaxy S6 und S6 Edge: anfällig für Freak-Lücke

Die Schwachstelle Freak lässt sich nicht mit der im Google Play Store erhältlichen WebView-Komponente schließen. Betroffen von der Sicherheitslücke sind auch Smartphones von LG. Nutzer sollten zu einem alternativen Browser greifen. Schlecht ist es auch um die Sicherheit des Galaxy Note Edge bestellt.

Einer von ZDNet durchgeführte Überprüfung mittels der Sicherheitstests von Qualys zufolge sind die aktuellen Samsung-High-End-Smartphones Galaxy S6 (SM-G920F) und S6 Edge (SM-G925F) für die Anfang März entdeckte SSL-Sicherheitslücke Freak anfällig. Noch schlimmer ist es um die Sicherheit bei Galaxy Note Edge (SM-N915FY) bestellt. Dessen integrierter Browser weist sogar noch die 2014 entdeckte Poodle-Schwachstelle auf.

Die beiden Modelle S6 und S6 Edge arbeiten mit dem aktuellen Android-Betriebssystem 5.0.2 Lollipop, für das Google in Form der aktualisierten WebView-Komponente, das es über den Play Store vertreibt, die Freak-Lücke geschlossen hat. Allerdings sind beide Samsung-Smartphones dazu nicht kompatibel. Offenbar verwendet Samsung eine eigene Entwicklung dieser Komponente in Verbindung mit dem integrierten Browser, der auf Chrome 38 basiert. Wie ein weiterer Test mit dem LG G Flex 2 zeigt, verwendet auch LG für ihren integrierten Browser nicht WebView. Zwar lässt sich die aktualisierte Variante aus dem Play Store installieren, die Lücke besteht aber weiterhin. Auch beim LG G3 ist dies der Fall.

Samsung und LG haben die Freak-Lücke noch nicht geschlossen (Screenshot: ZDNet.de)

Samsung und LG haben die Freak-Lücke noch nicht geschlossen (Screenshot: ZDNet.de)

Eine Aktualisierung auf Android 5.0 steht für das Galaxy Note Edge noch aus, sodass WebView gar nicht installiert werden kann, da es bisher nicht zu Android 4.4.4 kompatibel ist. Und selbst wenn Samsung das Lollipop-Update für das Galaxy Note Edge ausliefert, steht zu befürchten, dass das Phablet wie die S6-Modelle dazu nicht kompatibel ist.

Dass für manche Smartphone-Hersteller das Schließen von Sicherheitslücken nicht von großer Bedeutung ist, zeigen die Beispiele. Neben Samsung und LG gehört leider auch Microsoft zu dieser Gruppe. Auch für Windows Phone gibt es noch keinen Patch. Hingegen haben Apple, Blackberry und Google kurz nach Bekanntwerden der Lücke entsprechende Updates für ihre Geräte bereitgestellt.

Ist ein Smartphone noch von der Freak-Lücke betroffen ist, was sich sehr einfach über den SSL-Client-Test von Sicherheitsanbieter Qualys überprüfen lässt, sollten Nutzer einen sicheren alternativen Browser wie Chrome oder Firefox nutzen. Leider ist dadurch die Gefahr unter Android nicht gänzlich gebannt. Sehr viele Anwendungen nutzen zur Darstellung von Webinhalten die in Android integrierte WebView-Komponente. Die meisten Apps, die sich über Einblendung von Werbung finanzieren, verwenden diese beispielsweise. WebView basiert seit Android 4.4 auf Chrome und kann prinzipiell als eigenständige Applikation über den Google Play Store aktualisiert werden. Derzeit steht sie allerdings nur für Android 5.0 zur Verfügung. Dadurch sind beispielsweise alternative Browser, die WebView nutzen, automatisch geschützt oder eben nicht – je nachdem, ob Google WebView mit Sicherheitsaktualisierungen absichert. Die Beispiele Samsung und LG zeigen allerdings, dass deren integrierte Browser offenbar nicht auf Googles WebView basieren, sondern auf einer eigenen Entwicklung. In diesem Fall müssten die Hersteller selbst die Freak-Schwachstelle schließen.

Googles aktualisierte WebView-Komponente ist nicht kompatibel zu Samsung-Geräten (Screenshot: ZDNet.de)

Googles aktualisierte WebView-Komponente ist nicht kompatibel zu Samsung-Geräten (Screenshot: ZDNet.de)

Android-4.3-Anwender sollten zudem die Nutzung von werbefinanzierten Apps meiden. Einige Anwendungen wie Facebook erlauben in den Einstellungen Links in einem externen Browser zu öffnen. Diese Option sollte aktiviert weren, sofern Firefox oder ein anderer sicherer Browser als Standard festgelegt ist. Alternativ sollte man Dienste deren App diese Option nicht bietet, per Browser nutzen.

Freak ist eine mehr als zehn Jahre alte kryptografische Schwachstelle. Entdeckt hat sie ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys”. Er bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Die Einschränkungen seien allerdings Ende der Neunzigerjahre aufgehoben worden, die schwache Verschlüsselung findet sich aber immer noch in zahlreichen Anwendungen, die zum Teil unbemerkt auch ihren Weg zurück in die USA gefunden hätten, schrieben die Pariser Forscher. Es war ihnen nach eigenen Angaben gelungen, Browser wie Safari für iOS und Chrome für Android dazu zu zwingen, die schwächere Verschlüsselung zu nutzen. Sie hätten sie anschließend innerhalb weniger Stunden geknackt und seien dann in der Lage gewesen, persönliche Informationen und Passwörter abzufangen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

[Mit Material von Kai Schmerer, ZDNet.de]

 

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Galaxy S6 und S6 Edge: anfällig für Freak-Lücke

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *