Sicherheitslücke in Samsung-Handys: BSI rät zur Deaktivierung von MMS

Sicherheitslücke in Samsung-Handys: BSI rät zur Deaktivierung von MMS

Eine Schwachstelle in Samsung-Smartphones ermöglicht es Angreifern, Zugriff auf das Gerät zu erhalten. Das hatte ein Google-Mitarbeiter im Rahmen eines Hackaton herausgefunden. Das BSI rät zur Installation des Mai-Sicherheitspatches für Samsung-Handys. 

Mit dem massenhaften Versand von MMS können Angreifer Zugriff auf das Android-System von Samsung-Smartphones erhalten. Via Twitter warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend zur Installation des Security Patches für Mai, dessen Rollout Samsung bereits gestartet hat. Wer keine Aktualisierung auf seinem Samsung-Handy vorfindet, solle den Empfang von MMS vorsorglich abschalten, schreiben die Sicherheitsexperten. 

Konkret sind Samsung-Smartphones betroffen, die seit Ende 2014 erhältlich sind. Entdeckt wurde die Schwachstelle bereits im Januar durch den Sicherheitsexperten Mateusz Jurczyk, einem Google-Mitarbeiter. Demnach sei der Eintritt auf das System in zahlreichen Samsung-Handys mit dem Versand von MMS möglich. Dabei müssten zwischen 50 und 300 MMS an den Empfänger gesendet werden; das Öffnen der Nachrichten für einen Systemzugriff sei dabei nicht Voraussetzung für den Zugriff. 

Samsung konnte seit Januar an der Schließung der Sicherheitslücke arbeiten, die kürzlich an die Öffentlichkeit kommuniziert wurde. Mit dem Mai-Update schließt Samsung die Schwachstelle zwar. Bis der Sicherheitspatch alle kompatiblen Geräte erreicht hat, dürfte jedoch noch Zeit vergehen. 

Sicherheitslücke: Betroffene Samsung-Handys

Der Sicherheitsforscher gibt auf seinem Blog an, die Schwachstelle auf den folgenden Samsung-Geräten identifiziert zu haben: 

MMS-Empfang auf Samsung-Handys deaktivieren: So geht’s

Auf den meisten Samsung-Handys findet sich die Konfiguration von MMS direkt innerhalb der Nachrichten-App. Je nach System gehen Besitzer von Samsung-Handys folgendermaßen vor, um den MMS-Empfang zu deaktivieren: 

  1. Nachrichten-App öffnen
  2. Einstellungen öffnen
  3. "Nachrichten" auswählen 
  4. "MMS" auswählen
  5. Haken bei "Automatisch abrufen" entfernen

Wer nicht fündig wird, sollte die Textsuche auf dem Samsung-Smartphone verwenden, um alle Einstellungsmöglichkeiten zu "MMS" anzuzeigen. Mittlerweile wurde der Sicherheitspatch auch von der Deutschen Telekom für seine Kunden ausgerollt. Zahlreiche Samsung-Geräte (Liste) erhalten seit gestern das Update.

Quelle: Mateusz Jurczyk

Neueste Artikel bei NextPit

Empfohlene Artikel bei NextPit

19 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Was Ihr euch eine Panik schiebt 🤣

    Weil einer eine bestimmte Lücke entdeckte.
    Es wurde glücklicherweise nicht verraten wie es ging.
    Der Angreifer muss deine Nummer kennen.

    Unbegründete Panik eigentlich gerade zu denken Opfer zu werden.

    Und größtenteils wurde die Lücke doch schon Geschlossen.

    Nicht jede endeckte Lücke wird auch wirklich bekannt und ausgenutzt und wie ich denke wurd das in diesem Fall auch so sein.

    Kenne auch eine Coole Lücke, wer will das ich ihm Sage wo er sich befindet, der soll mir mal seine Handynr geben.

    Ich finde heraus wo die Person ist, nahezu egal welches Phone.

    Gibt ernstere Lücken um die Ihr euch Gedanken machen solltet, die meisten im Playstore, google und Regierungen selber.


    • Wozu auch die Haustüre abschließen? Der Einbrecher müsste ja erstmal die Adresse kennen. Und außerdem haben Einbrecher nur einen Promilleanteil in der Bevölkerung. Ergo lohnt sich das Abschließen nicht. So wäre es, wenn man deiner Interpretation folgt.


      • Nicht ganz.
        Wie die Lücke genau funktioniert wurde ja zum glück geheim gehalten.

        Die Reale Gefahr ist jedenfalls derzeit unglaublich niedrig.


  •   9
    Gelöschter Account vor 4 Monaten Link zum Kommentar

    hier gelöscht


  • Tusch, Applaus! Mein S8+ hat derzeitige bekannte Sicherheitslücken:
    - Bluetooth (s. auch https://www.spiegel.de/netzwelt/gadgets/samsung-galaxy-s8-sicherheitsluecke-ermoeglicht-gezielte-ueberwachung-a-69408790-fd1e-4e6e-8f37-db6e3b339a9a )
    - MMS (siehe dieser Artikel)
    Und ständig wird davon geredet, dass man "das Update" sofort installieren soll, dabei gibt es derzeit kein neueres als von 1. April 2020 und das nächste wird wohl noch ein paar Monate dauern (s. https://www.connect.de/news/samsung-galaxy-s8-plus-sicherheitsupdate-quartal-3200750.html ).
    Ich bin begeistert - nehme aber zur Kenntnis, dass es andere Hersteller im Bereich Android nicht viel anders machen.
    Die Update-Politik bei Android-Endgeräten ist und bleibt ein Trauerspiel.


    • C. F.
      • Blogger
      vor 4 Monaten Link zum Kommentar

      "Die Update-Politik bei Android-Endgeräten ist und bleibt ein Trauerspiel."

      Mitunter dessen habe ich gewechselt.


      •   9
        Gelöschter Account vor 4 Monaten Link zum Kommentar

        Das ist leider keine Option.


      • Aries vor 4 Monaten Link zum Kommentar

        Was Apple sich gerade leistet ist auch alles andere als vorbildlich. Drei (!!!) offene, bereits ausgenutzte Lücken, die in der Beta behoben sind, aber es kommt seit Wochen kein Update.


      • C. F.
        • Blogger
        vor 4 Monaten Link zum Kommentar

        Aber es kommt. Und dann für alle Geräte und nicht nur eine Hand voll


  • Das ist schon seit letzter Woche bekannt.

    Ich würde MMS komplett entfernen. Hierzu löscht man den für MMS zuständigen Zugangspunkt (APN). MMS braucht man m.E. ohnehin nicht.


    • @René H
      Und wie macht man das?


      • In die Einstellungen gehen (Verbindungen=>Mobile Netzwerke=>Zugangspunkte), Zugangspunkt anklicken, auf die drei Punkte klicken und "APN löschen" wählen. Wichtig ist, dass Du den richtigen APN nimmst, nicht das Du den Zugangspunkt für das Internet entfernst.

        Timbo


      • Da habe ich genau 1 Zugangspunkt (internet.telekom) und wenn ich den lösche, habe ich auch kein mobiles Internet resp. VoLTE mehr.
        Nichtsdestotrotz kann ich MMS empfangen, nehme dafür aber die Signal - und da lässt sich der MMS-Empfang nicht unterbinden.


      • Da gibt's bei mir nur o2 Internet.


      • <<< Da habe ich genau 1 Zugangspunkt >>>
        Dann könnten die MMS-Einstellungen auch in der Standard-Nachrichten-App hintelegt sein.

        <<< und wenn ich den lösche, habe ich auch kein mobiles Internet >>>
        Ich sagte doch, dass man den richtigen APN löschen soll, nicht den für Internet.


      • BartBart guck Dir die Details mal an, ich habe auch o2. Und in meinem zugangspunkt sind die daten für MMS gut sichtbar, und leicht zu entfernen, das Internet funktiniert dann weiter ganz normal.


      •   9
        Gelöschter Account vor 4 Monaten Link zum Kommentar

        @BartBart

        Warum deaktivierst du nicht das Automatische abrufen und gut ists?


      • Hab ich gemacht.


      • Aber wenn ich da APN löschen drücke, müsste doch alles weg sein, oder wie lösche ich MMS?

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!