Acht Jahre alte KNOX-Schwachstelle betraf Millionen Samsung-Galaxy-Geräte

Zusammenfassung

Eine hochriskante Schwachstelle in Samsungs Sicherheitsframework KNOX hat nach Angaben von LucidBit Labs über Jahre hinweg nahezu alle Galaxy-Geräte vom S9 bis zum S25 betroffen. Die Lücke mit der Kennung CVE-2026-20971 und einem CVSS-Wert von 7,8 saß im Kernel-Zusammenspiel der Komponenten PROCA und FIVE und konnte unter bestimmten Bedingungen zu einer Use-after-free-Situation führen. Laut den Forschern ließ sich das Problem von einer nicht vertrauenswürdigen App aus auslösen; möglich waren dabei Speicherbeschädigungen im Kernel, die einem Angreifer einen Weg zu tiefergehender Kontrolle über das Gerät eröffnen konnten. Samsung hat die Schwachstelle nach Offenlegung durch die Forscher mit dem Update vom Januar 2026 behoben. Betroffen waren mehrere Gerätegenerationen, darunter Galaxy-S9- bis Galaxy-S25-Modelle, Geräte der A-Serie sowie Varianten mit Exynos- und Qualcomm-Chips. In Samsungs Hinweis sind Android 13, 14, 15 und 16 als betroffene Versionen aufgeführt.

Im Zentrum der Schwachstelle steht die Interaktion zwischen PROCA und FIVE. PROCA ist auf Samsung-Geräten ein proprietäres Subsystem im Kernel, das die Ausführung nicht autorisierter Prozesse verhindern soll. Die Authentizität eines Prozesses prüft es mit Hilfe von FIVE, einem kernelseitigen Integritätssystem auf Basis des Linux-Modells zur Integritätsmessung, das von Samsung erweitert wurde.

FIVE verwaltet den Vertrauensstatus laufender Prozesse über ein task_integrity-Objekt, das den Sicherheitszustand festhält. Ändert sich ein Prozess, etwa durch das Starten eines Kindprozesses, löst dessen execve()-Aufruf eine neue Integritätszuordnung aus, während die alte verworfen wird. Genau an dieser Stelle entdeckten die Forscher ein Rennen im präemptiven Android-Kernel: Zwischen dem Lesen eines Zeigers und dessen Nutzung kann ein Thread unterbrochen werden.

LucidBit Labs beschreibt den Ablauf so: „Die Zielaufgabe führt execve() aus, insbesondere task_integrity_put(old_tint), wodurch die ursprüngliche Struktur freigegeben wird. proc_integrity_value_read() wird fortgesetzt und ruft task_integrity_user_read() mit einem Zeiger auf bereits freigegebenen Speicher auf.“ Daraus entsteht eine klassische Race-Condition mit Use-after-free-Eigenschaften.

Die Forscher betonen, dass die Ausnutzung nicht einfach gewesen sei. Die im Kernel eingebaute Kontrollfluss-Integrität KCFI habe willkürliche Funktionsaufrufe als besonders gefährlichen Ausnutzungspfad weitgehend unterbunden, die Use-after-free-Schwachstelle aber nicht beseitigt. LucidBit Labs fand dennoch einen Weg: Der Prozess wurde dazu gebracht, eine nicht ausführbare Datei zu „laden“, also keine ELF-Datei. Nach Darstellung der Forscher entfiel damit die Hürde „reset_file refcount > 1“. Mit weiteren Techniken sei es dann möglich gewesen, den freigegebenen Speicherbereich vollständig kontrolliert neu zu belegen.

Nach Einschätzung von LucidBit Labs ließ sich die Schwachstelle aus einer nicht vertrauenswürdigen App heraus anstoßen. Das konnte zu Speicherbeschädigungen im Kernel führen und Angreifern einen Pfad zu weitergehender Kontrolle über das Gerät eröffnen. Samsung wurde über die Ergebnisse informiert und schloss die Lücke mit dem Update vom Januar 2026.

Samsung führt in seinem Hinweis als betroffene Versionen Android 13, 14, 15 und 16 auf. Die Schwachstelle betraf laut Artikel mehrere Generationen von Samsung-Geräten, darunter die Galaxy-S9- bis Galaxy-S25-Reihe, Geräte der A-Serie sowie Modelle auf Basis von Exynos- und Qualcomm-Plattformen.

In Samsungs Beschreibung heißt es: „Eine fehlerhafte Eingabevalidierung in SecSettings vor SMR Jan-2026 Release 1 erlaubt einem lokalen Angreifer den Zugriff auf Dateien mit Systemrechten. Für das Auslösen dieser Schwachstelle ist eine Benutzerinteraktion erforderlich.“

Acht Jahre alte KNOX-Schwachstelle betraf Millionen Samsung-Galaxy-Geräte

Ähnliche Artikel

Neueste Artikel