Eine schwere Sicherheitslücke wurde in der Swiftkey-App von Samsung entdeckt. Die Schwachstelle solle es Hackern ermöglichen, sich Zugriff auf das System zu verschaffen. User sollten bis zu einer offiziellen Lösung bei der Verwendung von offenen Netzwerken wachsamer sein oder ganz darauf verzichten.
Eine Tastatur-App sollte eigentlich das Schreiben mit dem Smartphone einfacher und komfortabler machen. Doch wer hätte schon daran gedacht, dass eine solche App tatsächlich eine so immense Sicherheitsmängel aufweisen könnte, dass Hacker im Handumdrehen den Zugriff auf deine Dateien erhalten, während du ganz entspannst Texte tippst. So ist es momentan der Fall bei der Standard-Tastatur von Samsung.
Dem Sicherheitsunternehmen NowSecure ist es gelungen, einige Samsung Galaxy Smartphones über die vorinstallierte Standard-Tastatur, das von SwiftKey mitentwickelt wurde, zu hacken. Durch die mangelhafte Verschlüsselung des Update-Mechanismus konnte NowSecure eine unsichere Verbindung aufbauen, um über diesen Weg Schadsoftware auf das Gerät zu übertragen und letzten Endes auf die sensiblen Daten des Users zugreifen zu können. Gerade die Nutzung von offenen WLAN-Netzwerken würde es den Hackern um einiges einfacher machen, sich Zugriff auf das Device zu verschaffen. Und potenzielle Ziele stehen dem Hacker einige zur Verfügung, denn von diesem Sicherheitsproblem seien über 600 Millionen User betroffen. Viele Optionen haben die Nutzer, um sich gegen mögliche Angriffe zu wehren nicht unbedingt, denn wenn auch die Tastatur nicht benutzt wird, kann laut NowSecure trotzdem die Lücke ausgenutzt werden. Diese Methode konnte schon auf den Modellen Galaxy S6, Galaxy S5 und Galaxy S4 mini jeweils mit Branding erfolgreich angewendet werden. Samsung soll von dieser Sicherheitslücke bereits im Dezember 2014 vom NowSecure-Sicherheitsexperten Ryan Welton informiert worden sein. Die Meldung wurde aber erst jetzt publik gemacht.
In einer Mitteilung informierte SwiftKey darüber, dass die im Google Play Store erhältliche Tastatur-App von dieser Sicherheitsmängel nicht betroffen ist. Auch Samsung hat sich bereits zu dieser Thematik gemeldet und bekanntgegeben, dass das Unternehmen von dieser Sicherheitslücke wisse und man gemeinsam mit SwiftKey an einem Fix-Update arbeite. Dieses soll in ein paar Tagen Over-The-Air (OTA) an die betroffenen Smartphones verteilt werden. Bis zum baldigen Release des Updates solltest du dich am besten von offenen WLANs fernhalten. Falls du ein Root-User bist, dann kannst du dir selbst helfen und die SamsungIME.apk aus dem System entfernen. Nicht vergessen, vorher eine alternative Tastatur einzurichten ;-)
Quellen: nowsecure.com, arstechnica.com, sammobile.com