Eine schwere Sicherheitslücke in Qualcomm-Modems – oder genauer gesagt den sie ansprechenden Schnittstellen – sorgt derzeit für einiges Aufsehen in der Smartphone-Welt. Sind dadurch doch potenziell hunderte Millionen Geräte gefährdet. Das entscheidende Wort ist dabei allerdings "potenziell", immerhin war zunächst nicht klar, bei welchen Geräten die Lücke bereits beseitigt ist – und bei welchen nicht. Qualcomm gab sich in dieser Hinsicht vage, und betonte nur, dass man Patches schon vor einigen Monaten an die eigenen Partner geschickt hat. In den offiziellen Android Security Bulletins tauchte das Ganze hingegen noch nicht auf, was alle Möglichkeiten offen ließ.

Samsung meldet sich zu Wort

Nun verschafft der größte Smartphone-Hersteller der Welt Klarheit – zumindest ein bisschen. In einer kurzen Sicherheitsnotiz betont Samsung, dass die betreffende Lücke bereits mit dem aktuellen Mai-Update in den meisten der eigenen Smartphones geschlossen sein sollte. Details dazu, von welchen Modellen man hier redet – und von welchen nicht – lässt man allerdings vermissen.

Generell als – zumindest in dieser Hinsicht – sicher angenommen können insofern nur jene Samsung-Geräte werden, die kein Qualcomm-Modem verwenden. Dies gilt vor allem für in Europa verkaufte Smartphones im oberen Preissegment, die als Teil des Exynos-SoC ein eigenes Modem verbaut haben.

Zuvor hatte es von Qualcomm geheißen, dass der Fehler Teil des kommenden Android Security Bulletin für Juni 2021 sein soll. Die meisten Android-User können sich also erst danach sicher sein, dass ihr Gerät nicht mehr verwundbar ist. iPhones, die zum Teil auch Qualcomm-Chips verwenden, sind nach aktuellen Informationen offenbar nicht gefährdet.

Hintergrund

Entdeckt wurde die Lücke von den Sicherheitsforschern bei Check Point. Theoretisch könnten darüber Anrufe abgehört oder auch SMS eingesehen werden, warnten die Forscher. Was die Angelegenheit besonders unerfreulich macht. Der Fehler liegt hier in den proprietären Bestandteilen von Qualcomm und nicht im offenen Code des eigentlichen Android-Systems. Insofern sind die Hersteller von der Update-Lieferung durch Qualcomm abhängig, außerdem können solche Fehler auch nicht durch Community-Firmware nach dem Supportende eines Geräts nachgereicht werden. (apo, 11.5.2021)