Sicherheitslücke bei Samsung Handys: Schwachstelle in Swiftkey-Tastatur

Die oft genutzte Swiftkey Tastatur ist eigentlich sehr praktisch: Statt zu tippen muss man damit nur kurz über die Buchstaben wischen, die man schreiben möchte: Die Tastatur erkennt dann automatisch das Wort, das man eigentlich schreiben wollte – und damit ist man in vielen Fällen deutlich schneller als beim Tippen auf einer herkömmlichen Bildschirm-Tastatur. Samsung hat daher die Swiftkey-Tastatur auch vorinstallier: Allerdings mit einer Sicherheitslücke.

 
Update: Samsung verspricht Patch „in den nächsten Tagen“

 
Anders als die Version, die über den Google PlayStore oder den Apple App-Store für iOS Geräte herunterladebar ist, lädt die von Samsung auf seinen Smartphones bereits vor-installierte Tastatur ihre Updates über eine unsichere, unverschlüsselte Verbindung. Angreifer können hier ansetzen und die Updates mit Schadcode versehen, der direkt und unbemerkt mit installiert – und dann direkt gestartet wird. So lassen sich heimlich Viren oder Trojaner installieren, die zum Beispiel sämtliche Tastatur-Eingaben wie Namen, Kontonummern oder Passwörter mitprotokollieren können. Dafür muss sich der Angreifer am Besten im gleichen Netzwerk befinden – zum Beispiel in einem öffentlich, frei zugänglichen WLAN von einem Hotel oder Restaurant.

Gefunden hat diese Sicherheitslücke das Unternehmen NowSecure – laut eigenen Angaben hat man sowohl Google als Hersteller des Android-Betriebssystems als auch das US-Computer Emergency Response Team (US-CERT) über die gefundene Schwachstelle informiert. Auch der Handy-Hersteller Samsung weiß laut NowSecure bereits seit Dezember von der Sicherheitslücke – Samsung habe bereits Updates an die Mobilfunkbetreiber verteilt, trotzdem haben die meisten Nutzer noch keinen Patch für die Sicherheitslücke erhalten.

Anders als bei den Apple Handys werden bei Android die neuen Versionen und Updates des Betriebssystems nämlich nicht direkt von Entwickler Google, sondern von den einzelnen Handy-Herstellern und teilweise auch den Mobilfunkanbietern bereitgestellt, da zahlreiche Anbieter das Android-System mit eigenen Erweiterungen versehen haben. In einem solchen Fall, in dem möglichst schnell ein Sicherheits-Update veröffentlicht werden soll, kann dies aber auch ein Nachteil sein.