Datenleck in SwiftKey Unsichere Tastatur bedroht über 600 Millionen Samsung-Smartphones
Millionen von Samsung-Smartphones lassen sich über die vorinstallierte Tastatur-App SwiftKey kapern. Davor warnt das Sicherheitsunternehmen NowSecure. Da sich die unsichere App nicht löschen lässt, stehen den Betroffenen vorerst nur wenig erbauliche Schutzmaßnahmen zur Wahl.
SwiftKey ist eine beliebte Alternative zu den üblichen virtuellen Tastaturen auf Smartphones. Wenn ein Nutzer zügig über die SwiftKey-Tastatur wischt, erkennt die App, welches Wort er tippen wollte. Wischen geht schneller als Tippen, dachte sich auch Samsung und spendierte die App zum Beispiel dem Galaxy S6, S5 und S4.
Doch leider nutzte Samsung für die App eine unverschlüsselte Update-Funktion, erklärt NowSecure-Mitarbeiter Ryan Welton. Angreifern stehen damit viele Möglichkeiten offen. So können sie Schadcode einschleusen, Sprachanrufe, SMS-Nachrichten und Datenübertragungen ausspähen und persönliche Daten, Bilder und Videos stehlen. Sie können sogar andere auf dem Smartphone installierte Apps verändern. Im Test konnte Welton außerdem auf die GPS-Ortung zugreifen und Kamera samt Mikrofon aktivieren, womit ein Nutzer belauscht und beobachtet werden könnte.
So lassen sich Samsung-Smartphones kapern
Welton erklärt auch, wie der Angriff funktioniert. Die App SwiftKey fragt in unregelmäßigen Abständen nach Updates, die neue Sprachpakete enthalten. Das passiert unauffällig im Hintergrund, auch wenn ein Smartphone-Besitzer die App gar nicht verwendet.
Da die Update-Anfrage unverschlüsselt erfolgt, kann sich ein Hacker zwischen das Smartphone und den Update-Server schalten – ein sogenannter Man-in-the-Middle-Angiff. Die Update-Dateien vom Server kann er anschließend abfangen und mit Schadcode infizieren. Zudem kann er sich System-Rechte erschleichen, die ihm fast die gesamte Kontrolle über das Smartphone gewähren.
Der Angriff lässt sich am leichtesten ausführen, wenn sich der Hacker und sein Ziel im selben Netzwerk befinden. Das kann entweder ein öffentlicher WLAN-Hotspot oder das unzureichend gesicherte heimische Netzwerk sein. Die Sicherheitslücke in Samsungs SwiftKey lässt sich aber auch über das Internet ausnutzen. Hierzu muss der Angreifer das Smartphone zuvor jedoch mit einem anderen Schadprogramm infiziert haben, dass den Internetverkehr entsprechend umleitet.
Weltons Beschreibung der Sicherheitslücke zeigt, dass die Attacke einiges an Knowhow und Aufwand voraussetzt. So muss etwa der Schadcode für jedes Smartphone-Modell angepasst werden.
Zahlreiche Samsung-Smartphones betroffen
Neben den neuen Geräten Samsung Galaxy S6 und S6 Edge sind auch deren Vorgängerbaureihen bis hinunter zum Galaxy S4 Mini von der Sicherheitslücke betroffen. Geräte anderer Hersteller sind laut Swiftkey-Hersteller TouchType nicht gefährdet. Der Hersteller schreibt zudem: "Wir können versichern, das SwiftKey-Tastatur-Apps auf Google Play und in Apples App Store nicht von dieser Schwachstelle betroffen sind."
So können Sie sich schützen
NowSecure hat sowohl Google (als Hersteller des Betriebssystems Android) als auch das US-Computer Emergency Response Team (US-CERT) über seine Entdeckung informiert. Samsung wisse laut NowSecure seit Dezember letzten Jahres über die Sicherheitslücke Bescheid und habe begonnen, die Mobilfunknetzanbieter mit entsprechenden Sicherheits-Updates zu versorgen.
Die , für welche Betriebssysteme der Hersteller Samsung bereits ein Update zur Verfügung gestellt hat.
Da sich die vorinstallierte SwiftKey-Variante nicht deinstallieren lässt, bleiben bis zur Auslieferung der Sicherheitsupdates nur wenige Schutzmaßnahmen übrig. NowSecure rät den Betroffenen, entweder nur vertrauenswürdige WLAN-Verbindungen zu nutzen oder ganz auf den Einsatz ihres Samsung-Smartphones zu verzichten.