Die von den Sicherheitsforschern bei Armis bekanntgegebene Bluetooth-Schwachstelle mit dem Namen “BlueBorne” stellt weiterhin ein Sicherheitsrisiko für Unternehmen dar, welche Samsung-Geräte betreiben. Samsung selbst hat sich noch nicht offiziell zu der Sicherheitslücke geäussert (auch nicht auf der eigenen Website), allerdings sind nach wie vor viele Android-Geräte des Herstellers betroffen.
Dabei ist es jedoch gängige Praxis, dass bestehende Sicherheitsprobleme nicht öffentlich von den Herstellern kommentiert werden. Für IT-Abteilungen ist dies nicht wirklich zufriedenstellend – denn ohne eine Aussicht auf einen Patch ist keine komplette Risikoabwägung möglich. Administratoren werden dadurch gezwungen, Bluetooth auf betroffenen Geräten per Richtlinie abzuschalten, wenn man sich nicht auf die Nutzer verlassen möchte.
Lediglich das Note 8 in einigen US-Carrier-Varianten sowie das Note 4 bei Verizon in den USA haben bisher Sicherheitsupdates erhalten, welche das Problem beheben sollen.
Für alle anderen Samsung-Geräte warten Kunden weiterhin vergeblich auf den Patch. Hier zeigt sich wieder, dass eine Carrier-Abhängigkeit bei Betriebssystemen Probleme schafft – Google selbst hat den Bug bereits in einem Sicherheitsupdate vom 5. September für die eigenen Geräte behoben.
Samsung lässt dies leider wieder in schlechtem Licht dastehen, zumal Google seine Android-Partner bereits einen Monat zuvor informiert haben soll. Dabei hebt der Hersteller gerne seine Eigenentwicklungen im Security-Bereich und eine OS-Update-Policy für Enterprise-Kunden hervor.
Auf der Samsung-eigenen Security-Informationsseite ist ersichtlich, dass das September-Update die Fehler noch nicht behebt. Die Geräte, welche laut Hersteller Updates erhalten, werden dort ebenfalls aufgeführt. Demzufolge besteht zumindest Hoffnung, dass die aktuellen Geräte entweder im Rahmen von monatlichen oder quartalsweisen Updates im Oktober einen Patch erhalten.
Update: Samsung hat laut eigenen Aussagen die CVE-2017-0781 sowie CVE-2017-0782 im September-Update gepatcht, diese beiden CVEs behandeln das Risiko einer entfernten Code-Ausführung. Das Update ist jedoch in Europa zuerst in den Niederlanden am 24. September auf Provider-freien Geräten gesichtet worden. Es sollte somit bald über die meisten Carrier verfügbar sein. Laut Samsung erhalten die folgenden Modelle das Update im Rahmen von Monthly Updates:
Galaxy S series (S8, S8+, S8 Active, S7, S7 edge, S7 Active, S6 edge+, S6, S6 edge, S6 Active)
Galaxy Note series (Note 8, Note 5, Note 4, Note edge)
Galaxy A series (A5 (2016), A5 (2017))