Samsung versichert Sicherheit seiner Android-Smartphones

DVB-T

Der Elektronikkonzern Samsung hat eine Schwachstelle in seinen Android-Geräten behoben, durch die man die Nutzer der Geräte umfassend ausspionieren kann.

Wie c’t in der aktuellen Ausgabe 01/14 berichtet, übertrugen Smartphones und Tablets des Herstellers die Registrierungsdaten für den sogenannten Samsung-Account im Klartext – darunter der Name, die Mail-Adresse und sogar das gewählte Passwort.

Der Elektronikkonzern Samsung äußert sich dazu mit einer offiziellen Stellungnahme. Darin versichert das Unternehmen seinen Kunden, „dass es zu keinem Zeitpunkt Datendiebstähle oder -verluste gab“.

Diese Aussage ist durchaus gewagt, schließlich haben Android-Smartphones und -Tablets des Herstellers bis vor Kurzem vertrauliche Nutzerdaten im Klartext übertragen. Wie Samsung sichergestellt haben will, dass nicht etwa ein Datenspion diese Pakete an einem öffentlichen Hotspot mitgelesen hat, verrät der Hersteller nicht.

Eine gezielte Auswertung des möglicherweise von NSA und GCHQ am Backbone mitgeschnittenen Netzwerk-Verkehrs kann Samsung schon technisch nicht ausschließen. Daran ändert auch die Feststellung des Herstellers nichts, dass „dieser Vorgang der Datenübertragung etwa eine Sekunde dauert“.

Statt die Kunden in falscher Sicherheit zu wiegen, sollte der Hersteller ihnen besser dazu raten, ihre Passwörter vorsichtshalber zu ändern. Denn diese wurden gemeinsam mit persönlichen Informationen wie Vor- und Zuname, Geburtsdatum und Mail-Adresse vermutlich bereits seit längerer Zeit im Klartext übertragen.

Mit den Zugangsdaten kann man unter anderem Bewegungsprofile erstellen, die einen Zeitraum von 12 Stunden abdecken, auf Anruflisten zugreifen, Umleitungen für Anrufe und SMS einrichten und sogar das Smartphone entsperren.
Die einzige Möglichkeit sicherzustellen, dass diese Funktionen nicht missbraucht werden, ist, das Passwort zu ändern.

Dazu, welche Geräte betroffen sind, hat sich das Unternehmen bislang ebenfalls nicht geäußert. Unklar ist auch, ob man ein Update installieren muss, um sein Samsung-Gerät zur Verschlüsselung der Registrierungsdaten zu bewegen. Bis Samsung diese Informationen liefert, sollte man vorsichtshalber davon ausgehen, dass schlimmstenfalls sämtliche Android-Smartphones und Tablets des Herstellers betroffen waren – und das vielleicht sogar schon seit Jahren.