Update: Samsung hat sich mit einer Erklärung zu diesem Problem gemeldet:
„Samsung nimmt die Sicherheit seiner Produkte sehr ernst. Wir haben bereits die notwendigen Schritte unternommen, um diese potenziellen Exploit-Ketten zu verhindern, indem wir im Dezember 2022 Patches für die Samsung Internet-App veröffentlicht haben. Die Dezember-Updates der Samsung Internet-App deaktivieren Einstiegspunkte für die verbleibenden Schwachstellen und stellen sicher, dass Geräte geschützt sind.
Wir arbeiten aktiv mit unseren Partnern zusammen, um Patches für die verbleibenden Schwachstellen so früh wie möglich, ab April, zu veröffentlichen, und empfehlen allen Benutzern, ihre Geräte mit der neuesten Software zu aktualisieren, um den höchstmöglichen Schutz zu gewährleisten.“
Googles Threat Analysis Group (TAG) hat enthüllt, dass Samsung eine große Zero-Day-Sicherheitslücke in Galaxy-Geräten seit über einem Jahr ungepatcht lässt. Der Fehler besteht in der Mali-GPU von ARM, die in den Exynos-Prozessoren von Samsung zu finden ist, die Millionen von Galaxy-Geräten weltweit mit Strom versorgen. ARM hat in der Ausgabe Januar 2022 einen Patch veröffentlicht, aber die koreanische Firma hat ihn noch nicht in ihre Sicherheitsversionen aufgenommen.
Das besagte Problem, identifiziert durch die Common Vulnerabilities and Exposures (CVE) Nummer CVE-2022-22706, ist eine Schwachstelle im Mali-GPU-Kerneltreiber. Der von Sicherheitsforschern des Project Zero-Teams von Google entdeckte Fehler wurde im November letzten Jahres zusammen mit vielen anderen kritischen Zero-Day-Schwachstellen veröffentlicht, die Millionen von Android-Smartphones weltweit betreffen. Seit ARM den Patch im Januar veröffentlichte und seine Ausnutzung in freier Wildbahn bestätigte, hatten Telefonhersteller etwa acht Monate Zeit, um den Fix nachgelagert zu implementieren.
Zum Zeitpunkt der Veröffentlichung sagte Ian Beer von Project Zero, dass Geräte von Samsung, Google , Oppo, Xiaomi und weitere Marken sind gefährdet. Schließlich existierte die Schwachstelle in so ziemlich jedem Android-Gerät mit Mali-GPU. In einem neuen Update am Mittwoch enthüllte der TAG, dass Samsung noch keine Lösung für diese Schwachstelle veröffentlicht hat. Und das trotz Berichten von Bedrohungsakteuren, die den Fehler ausnutzen, um ahnungslose Benutzer dazu zu verleiten, auf bösartige Links im Samsung-Internetbrowser auf Galaxy-Geräten zu klicken.
Samsung lässt seit Januar 2022 eine große GPU-Sicherheitslücke in Mali ungepatcht.
Laut TAG wurde diese Exploit-Kette im Dezember letzten Jahres entdeckt. Es könnte „eine voll ausgestattete Android-Spyware-Suite liefern, die in C++ geschrieben ist und Bibliotheken zum Entschlüsseln und Erfassen von Daten aus verschiedenen Chat-und Browseranwendungen enthält“. Da Samsung die Schwachstelle nicht gepatcht hat, nutzten Bedrohungsakteure Samsung Internet, um Galaxy-Benutzer auszutricksen. „Diese Schwachstelle gewährt dem Angreifer Systemzugriff“, Clement Lecigne von TAG erklärt. Sie fügten hinzu, dass Version 19.0.6 oder neuer der Browser-App vor diesem Exploit sicher ist.
Der Fehler bleibt jedoch auf Systemebene ungepatcht. Das bedeutet im Wesentlichen, dass Bedrohungsakteure neue Exploits entwickeln könnten, um Systemzugriff auf Millionen von Galaxy-Geräten zu erhalten. Mit Ausnahme der Galaxy S22-Serie ist jedes andere Galaxy-Modell mit Exynos-Antrieb anfällig. Der Exynos 2200-Chipsatz, der letztes Jahr die Galaxy S22-Serie antreibt, verfügt über AMDs RDNA 2-basierte Xclipse 920-GPU. Dies ist ein massives Versehen von Samsung. Hoffentlich wird das Unternehmen früher oder später einen Patch für diese Schwachstelle veröffentlichen. Wir werden Sie informieren, wenn es eine offizielle Erklärung zu dieser Angelegenheit veröffentlicht.