Sicherheitslücken

Google & Samsung: Schwere Sicherheitslücken in Modems

Google deckt gefähr­liche Sicher­heits­lücken in Exynos-Modems von Samsung auf. Neben den Pixel-6- und Pixel-7-Reihen sind auch einige Samsung-Tele­fone und Geräte anderer Hersteller wie Vivo betroffen.
Von Claudia Krüger

Das Project-Zero-Team von Google hat zwischen Ende 2022 und Anfang 2023 schwer­wie­gende Schwach­stellen in Exynos-Modems von Samsung entdeckt, die unter anderem das Pixel 6 und Pixel 7, einige Samsung-Smart­phones und -Weara­bles sowie Geräte weiterer Hersteller betreffen.

Vier beson­ders schwer­wie­gende Sicher­heits­lücken

Google Pixel 7 Google Pixel 7
Bild: Google

Datenblätter

Vier der insge­samt acht­zehn Sicher­heits­lücken ermög­lichen es Angrei­fern, ein Telefon auf Basis­ban­debene ohne Benut­zer­inter­aktion aus der Ferne zu steuern. Hierzu muss dem Hacker ledig­lich die Tele­fon­nummer des Opfers bekannt sein.

Die anderen vier­zehn Schwach­stellen und neun weitere, denen noch CVE-IDs zuge­wiesen werden müssen, gelten laut Project Zero als nicht so schwer­wie­gend, da der Angreifer in diesen Fällen einen lokalen Zugriff auf das Handy haben oder der Mobil­funk­betreiber mit im Boot sitzen muss.

Folgende Geräte sollen den Angaben nach gefährdet sein:

  • Mobil­geräte von Samsung, einschließ­lich der Serien S22, M33, M13, M12, A71, A53, A33, A21,a13, A12 und A04
  • Mobil­geräte von Vivo, einschließ­lich der Serien S16, S15, S6, X70, X60 und X30
  • die Gerä­tese­rien Pixel 6 und Pixel 7 von Google
  • alle Weara­bles, die den Exynos-W920-Chip­satz verwenden, darunter die Galaxy Watch 4 und Watch 5
  • alle Fahr­zeuge mit einem Exynos-Auto-T5123-Chip­satz

Zu den bis zum Januar dieses Jahres gemel­deten betrof­fenen Modems gehören außerdem das Exynos Modem 5123, Exynos Modem 5300 und Exynos 1080. Die Sicher­heits­lücken sind mögli­cher­weise auch der Grund für die im März verzö­gerte Ausrol­lung der Sicher­heits­updates von Google. Das Pixel 6, Pixel 6 Pro und Pixel 6a haben das März-2023-Update zum Arti­kel­zeit­punkt noch nicht erhalten und sind derzeit anfällig.

So können Sie ihr Gerät schützen

Das Project-Zero-Team rät Nutzern, die ihr Gerät bereits vor der Auslie­ferung des entspre­chenden Sicher­heits-Patches schützen möchten, Voice-over-LTE (VoLTE) und WiFi-Calling in den Gerä­teein­stel­lungen zu deak­tivieren, da hier­durch das Risiko der Ausnut­zung dieser Schwach­stellen besei­tigt werden soll.

Nach Aussage der Sicher­heits­experten von Google wird ein Fix für die Schwach­stellen im Sicher­heits­patch für März enthalten sein. Besitzer von betrof­fenen Geräten anderer Hersteller müssen sich gedulden, bis diese mit einem entspre­chenden Update nach­ziehen.

Das Samsung Galaxy S23 FE könnte wider Erwarten doch noch auf den Markt kommen. Mehr darüber erfahren Sie in einem anderen Artikel.

Mehr zum Thema Sicherheit