Samsung-Smartphones sind von sechs Sicherheitslücken betroffen
Sechs Sicherheitslücken, die Samsung-Mobilgeräte betreffen, wurden in den Katalog der bekannten ausgenutzten Sicherheitslücken der U.S. Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen. Samsung hat alle Schwachstellen im Jahr 2021 behoben, allerdings wurden sie höchstwahrscheinlich von einem kommerziellen Spyware-Anbieter ausgenutzt.
Zu den Schwachstellen gehört CVE-2021-25487, ein Out-of-bounds-Read im Modem-Schnittstellentreiber, der zur Ausführung von beliebigem Code führen kann. Die Warnung der National Vulnerability Database (NVD) der CISA stuft diese Schwachstelle auf der Grundlage des CVSS-Scores als "hochgradig" ein, während Samsung sie als "mittelschwer" einstuft. CVE-2021-25489 ist eine weitere beschriebene Schwachstelle, ein Format-String-Fehler im Modem-Schnittstellentreiber, der zu einem Denial-of-Service-Ereignis (DoS) führen kann und einen geringen Schweregrad aufweist.
Zu den anderen gehören CVE-2021-25394 und CVE-2021-25395, mittelschwere Use-after-free-Fehler im MFC-Ladetreiber. Diese wurden von Samsung im Mai 2021 behoben. Die beiden verbleibenden Schwachstellen CVE-2021-25371 und CVE-2021-25372, beide von mittlerem Schweregrad, betreffen den DSP-Treiber und betreffen das Laden beliebiger ELF-Dateien bzw. den Out-of-Bounds-Zugriff. Samsung hat diese Schwachstellen im März 2021 behoben.
Es gibt keine öffentlichen Berichte darüber, dass die Schwachstellen ausgenutzt werden, aber es ist wahrscheinlich, dass ein kommerzieller Spyware-Anbieter sie bereits ausgenutzt hat, wobei Google diese Behauptung unterstützt und Beweise dafür hat, dass die Schwachstellen von einem kommerziellen Spyware-Anbieter ausgenutzt wurden.
Google zitierte einen Tweet von Maddie Stone, einer Google Project Zero-Forscherin, die bestätigte, dass alle Samsung-Schwachstellen im Rahmen derselben Studie identifiziert und in Googles Zero-Day Exploitation Tracker für 2021 eingetragen wurden. Google hatte zuvor Informationen über drei vergleichbare Sicherheitslücken in Samsung-Telefonen mit CVEs aus dem Jahr 2021 veröffentlicht, die von einem unbekannten Spyware-Anbieter gegen Android-Geräte ausgenutzt wurden, obwohl sie noch als Zero-Day-Schwachstellen eingestuft waren. Diese drei Schwachstellen wurden im März 2021 behoben.
Dies ist nicht das erste Mal, dass Malware-Händler Samsung-Handys ins Visier nehmen. Google veröffentlichte im November 2022 die Details von drei verwandten Sicherheitslücken in Samsung-Handys mit 2021 CVEs, die von einem unbekannten Spyware-Anbieter ausgenutzt wurden.
Die Quellen für diesen Artikel sind unter anderem ein Artikel in der SecurityWeek.