Die besten Sicherheitsfunktionen bringen nichts, wenn sie nicht vernünftig implementiert werden. Dies müssen nun Besitzer von Samsung-Smartphones zur Kenntnis nehmen. Stellt sich doch heraus, dass die Geräte des südkoreanischen Hardwareherstellers über Jahre hinweg mit groben Sicherheitsdefiziten an zentraler Stelle ausgeliefert wurden.

Kein effektiver Schutz

Eine Untersuchung von Forschern an der Universität von Tel Aviv zeigt mehrere Probleme in Samsungs Implementation der ARM TrustZone auf. Dabei handelt es sich um eine Art Hochsicherheitsbereich, in dem besonders sensible Aufgaben abgewickelt werden – etwa der Schutz des Lock-Screens oder auch der Verschlüsselungs-Keys. Dafür läuft in dieser Trustzone sogar ein vollständig unabhängiges Betriebssystem.

Eine Sicherheitsmaßnahme, die im Smartphone-Bereich mittlerweile gang und gäbe ist, in der Variante von Samsung aber wenig bringt. Das liegt daran, dass die Umsetzung grobe Schwächen aufweist, oder wie es der angesehene Kryptografie-Experte Matthew Green wenig diplomatisch formuliert: Die Umsetzung sei "beschämend schlecht". Die Konsequenz: Die Entschlüsselung der Daten sei geradezu "trivial", der versprochene Zusatzschutz also non-existent.

Fehlerhafte Implementierung

Paul Ducklin, leitender Forscher bei der Sicherheitsfirma Sophos wird kaum weniger deutlich, was Samsung hier angestellt habe, sei eine "Kardinalsünde der Kryptographie". Das Unternehmen habe einen an sich guten Verschlüsselungsalgorithmus komplett falsch benutzt. Dadurch sei es außerhalb der Trustzone laufenden Apps möglich gewesen, das Geschehen innerhalb zu beeinflussen und schlussendlich auch Daten abzugreifen.

Fast alle betroffen, aber...

Was die Sache besonders unerfreulich macht: Von dieser Schwäche sind zahlreiche Samsung-Smartphones der vergangenen Jahre betroffen – vom Galaxy S8 bis zum Galaxy S21. Die Forscher sprechen von mehr als hundert Millionen Geräten.

Es gibt aber auch gute Nachrichten: Samsung wurde bereits im Vorjahr über die Defizite informiert, und hat die Probleme zumindest auf allen aktuell noch gewarteten Geräten mittlerweile behoben. Wer alle aktuellen Sicherheitsaktualisierungen eingespielt hat, sollte also nicht mehr betroffen sein. (Andreas Proschofsky, 26.2.2022)