Handy & Smartphone

Sicherheitslücke bei Samsungs Dienst "Find my Mobile"

Sicherheitslücke bei Samsungs Ortungsdienst “Find my Mobile”

„Find my Mobile“, der Ortungsdienst von Samsung, erfreut sich unter Nutzern großer Beliebtheit, weist aber noch einige Sicherheitslücken auf. Erst vor kurzem wurde bekannt, dass Passwörter unverschlüsselt zu Samsung übertragen werden, was Missbrauch ermöglichte. Nun fanden Sicherheitsforscher eine weitere Lücke.

Wie jetzt bekannt wurde, fand der Sicherheitsforscher Mohamed A. Baset eine ernstzunehmende Sicherheitslücke, die ausgenutzt werden kann um Smartphones von Samsung aus der Ferne mit einem Passwort zu sperren, das der Nutzer selber nicht kennt.

Dies ist möglich, da der Dienst nicht ausreichend vor Cross Site Request Forgery (CSRF) abgesichert ist. Diese Sicherheitslücke erlaubt es speziellen Webseiten die Samsung-Site quasi fremdzusteuern und alle Aktionen ausführen zu können, ohne das der Nutzer dies merkt oder etwas dagegen tun kann.

Vom US-CERT wurde ein CVSS-Score (Schweregrad) von 7,8 von 10 vergeben, ein recht hoher Wert, der zeigt, dass diese Sicherheitslücke möglichst schnell durch Samsung geschlossen werden muss.

In einem Youtube-Video zeigt Mohamed A. Baset welche Konsequenzen es für den Nutzer haben kann, wenn jemand diese Sicherheitslücke ausnutzt. Samsung hat sich zu den Vorfällen bisher noch nicht geäußert.