Neben Apple und seinen iPhones gehören die Samsung Galaxy-Handys zu den bekanntesten und erfolgreichsten auf dem Markt. Die Produktreihe nahm bereits 2009 und damit vor zwölf Jahren ihren Anfang und seitdem sind zahlreiche neue Modelle erschienen. Die weite Verbreitung birgt aber auch ein hohes Sicherheitsrisiko, wie es jetzt heißt.
Samsung Galaxy: „Schwerwiegende Fehler“
Forscher:innen an der Universität Tel Aviv in Israel haben für ihre neue Untersuchung genau bei Samsung Galaxy-Handys hingeschaut, insbesondere bei den Modellen S8, S9, S10, S20 und S21. Dabei entdeckten sie ein Problem im System zur Speicherung von kryptografischen Schlüsseln. Das ermöglicht Fremdzugriffe. Von den genannten Smartphones sind an die 100 Millionen Exemplare an den weltweiten Markt ausgeliefert worden und sie alle weisen diesen Sicherheitsfehler auf.
Der Studie nach gebe es in den Samsung Galaxy-Handys „schwerwiegende Designfehler“, die einen Angriff erleichtern könnten. Ganz konkret geht es um das sogenannte TrustZone Keymaster Design des südkoreanischen Herstellers, das bei Geräten auf ARM-Prozessorbasis zum Einsatz kommt. Damit können sicherheitsrelevante Funktionen eingefügt werden.
Während Android in Betrieb ist, wird nebenbei in einer sicheren Umgebung namens TEE (Trusted Execution Environment) das TrustZone Operating System (TZOS) ausgeführt. Das kümmert sich um wichtige, sicherheitsrelevante Aufgaben. Die Implementierung des TZOS ist jedem Gerätehersteller selbst überlassen, in der Studie habe man sich ausschließlich auf eine Variante von Samsung konzentriert.
Gefährdete Galaxy-Handys: Das musst du jetzt tun
Nichtsdestotrotz sind die Erkenntnisse auch relevant für die gesamte Smartphone-Branche. Es ist ersichtlich, dass Standards für derlei kryptografische und sicherheitsrelevante Designs ganz allgemein notwendig sind.
Das Gute: Die Untersuchung erschien zwar jetzt erst Ende Februar 2022, doch das Problem ist schon länger bekannt. Das Forscherteam habe Samsung bereits im Mai 2021 darüber in Kenntnis gesetzt, im August desselben Jahres erschien ein erster Patch, im Oktober ein zweiter.
Damit sollte das Problem eigentlich aus der Welt sein. Trotzdem musst du jetzt dringend überprüfen, ob du nicht vielleicht doch noch einen veralteten Sicherheitspatch benutzt oder nicht. Falls ja, ist es jetzt allerhöchste Zeit, Updates durchzuführen. Solltest du noch über ein älteres Modell besitzen, für das Samsung aber keine Updates mehr herausgibt, solltest du dir Firmware-Updates von Drittanbietern, sogenannte Custom ROMs, suchen. Da der aktuelle Trend dahin geht, immer seltener neue Handys zu kaufen, ist es trotz der Patches sehr wahrscheinlich, dass noch immer viele Besitzer:innen das Problem haben könnten.
Natürlich sollten neue Handys in Zukunft dieses Problem von vornherein nicht mehr aufweisen. Dafür hat das Galaxy S22 ein anderes Problem – und das noch vor Verkaufsstart.
Quelle: „ Trust Dies in Darkness: Shedding Light on Samsung’s TrustZone Keymaster Design” (2022, Cryptology ePrint Archive)