Thought Leadership
Eine jahrelang unentdeckte Sicherheitslücke im KNOX-Framework von Samsung gefährdete Millionen Galaxy-Geräte durch potenzielle Kernel-Angriffe.
Sicherheitsforscher von LucidBit Labs haben eine acht Jahre alte Schwachstelle mit hohem Schweregrad im Sicherheits-Kernel von Samsung KNOX identifiziert. Der Fehler wird unter der Kennung CVE-2026-20971 geführt und weist einen CVSS-Basiswert von 7,8 auf. Die Schwachstelle resultiert aus einer fehlerhaften Interaktion zwischen den internen Teilsystemen PROCA (Process Authenticator) und FIVE (Integrity Subsystem). PROCA überwacht im Kernel die Authentizität laufender Prozesse und nutzt dafür die Sicherheitszustände, die von FIVE verwaltet werden. Wenn ein Prozess eine Änderung durchläuft, beispielsweise beim Abspalten eines Kindprozesses, wird die alte Integritätsstruktur freigegeben.
Aufgrund der präemptiven Natur des Android-Kernels entsteht dabei ein kurzes Zeitfenster für eine Race-Condition, die zu einem Use-After-Free-Fehler führt. Ein Thread kann genau zwischen dem Auslesen eines Zeigers und dessen Verwendung angehalten werden. Die Forscher beschreiben den technischen Ablauf wie folgt:
„Der Ziel-Task führt execve() aus, speziell task_integrity_put(old_tint), was die ursprüngliche Struktur freigibt. proc_integrity_value_read() wird fortgesetzt und ruft task_integrity_user_read() mit einem Zeiger auf freigegebenen Speicher auf.“
Sicherheitsforscher von LucidBit
Betroffene Modellreihen von Samsung Galaxy und Sicherheitsupdates
Obwohl die im Kernel integrierte Kontrollfluss-Integrität (KCFI) beliebige Funktionsaufrufe erschwerte, fanden die Analysten einen weg, den freigegebenen Speicher durch das Laden einer nicht ausführbaren Datei gezielt zu manipulieren. Dies hob die bestehenden Beschränkungen des Referenzzählers auf und erlaubte eine kontrollierte Reallokation des Speichers. Dadurch konnte eine nicht vertrauenswürdige Anwendung eine Beschädigung des Kernel-Speichers auslösen, was potenziell die Übernahme tiefergehender Systemrechte ermöglichte.
Von der Schwachstelle waren über mehrere Gerätegenerationen hinweg Millionen von Mobilgeräten betroffen. Dazu gehören die Modellreihen Galaxy S9 bis Galaxy S25, verschiedene Geräte der A-Serie sowie Modelle mit Exynos- und Qualcomm-Prozessoren unter den Android-Versionen 13, 14, 15 und 16. Samsung hat das Problem mit dem Sicherheitsupdate im Januar 2026 behoben. Da die Ausnutzung primär lokale Interaktionen voraussetzt, betonen die Experten, dass physischer Zugriff auf vorübergehend unbeaufsichtigte Geräte das primäre Angriffsrisiko darstellte.
(red)
