Blueborne Sicherheitslücke Samsung Gear S3

[O.]

Hallo Community,
Die Blueborne Lücke (BlueBorne) wird ja mit dem Security Patch Level September auf den Mobiltelefonen geschlossen.
Was aber ist mit der Gear S3 (respektive den anderen Gear S Smartwatches)?
Ein Update ist hier wohl Pflicht und zwar zeitnah.

Linux Linux is the underlying operating system for a wide range of devices. The most commercial, and consumer-oriented platform based on Linux is the Tizen OS. All Linux devices running BlueZ are affected by the information leak vulnerability (CVE-2017-1000250). All Linux devices from version 3.3-rc1 (released in October 2011) are affected by the remote code execution vulnerability (CVE-2017-1000251). Examples of impacted devices: Samsung Gear S3 (Smartwatch) Samsung Smart TVs Samsung Family Hub (Smart refrigerator) Information on Linux updates will be provided as soon as they are live.

Ich bitte um Rückmeldung, bezüglich des schließens der Lücke auf den Gear Geräten, da sie ohne das Patchen ein Sicherheitsrisiko darstellen.

 

[D.]

Hallo Onslaught,
Samsung nimmt Sicherheitsprobleme sehr ernst. Die BlueBorne-Lücke war uns bereits bekannt. Nachdem wir von Google informiert wurden, haben wir bereits am 30. August begonnen, Sicherheits-Updates auszurollen. Wir empfehlen unseren Kunden, stets die neuesten Software-Updates für ihr Gerät zu installieren.

 

[O.]

Hallo DavidB,
du hast mir zwar die Antwort gegeben, die ich erwartet habe. Jedoch habe ich gehofft eine etwas detalliertere zu bekommen. :smileywink:
Wie hier ersichtlich: Samsung Mobile Security werden ja die Lücken bei den Mobiltelefonen mit dem Septemberpatch geschlossen.
Ich rechne mal damit, das der auch in den nächsten Tage ausgerollt wird. Zumindest für das S8/S8+.
Bei den Wearbales liegt die Update-Häufigkeit ja nunmal leider niedriger.
Würde ich nun zwar mein S8+ gepatcht bekommen, hätte aber meine S3 gekoppelt, so habe ich ja eine Verwundbarkeit.
Ich erwarte jetzt auch kein genaues Datum von dir. Aber kann man noch diesen Monat damit rechnen, dass die Wearables gepatcht werden?
Oder will Samsung gleich Tizen 3.0 ausrollen (wobei hier ja dann das selbe Problem bestünde, falls dieses noch nicht den Patch beinhaltet).
Es soll ja durchaus Leute geben, die ihr S8 geschäfltlich nutzen und so evtl. sensible Daten auf den Smartphones haben.
Und eine Antwort im Sinne dann nutzt die S3 nicht, wäre auch nicht im Sinne des Nutzers. :smileyvery-happy:

 

[S.]

Ich finds ein Unding dass ausgerechnet Samsung, einer der größten Hersteller von Smartphones und anderen Devices, bei den Sicherheitsupdates für Blueborne so hinterher hinkt, und laut verfügbaren Informationen nichtmal auf den Kontaktversuch von Armis reagiert hat. Die Kommunikation ist auch furchtbar, erst nach langer Zeit gab es überhaupt eine Antwort, und dann nur diese vage Copy&Paste Antwort, in der aber nicht erklärt wird, warum das Ausrollen eines so kritischen Sicherheitsupdates nach 2-3 Wochen immer noch nicht durch ist. Andere Hersteller haben es ja schließlich auch geschafft, pünktlich vor der Veröffentlichung der Lücke ihre Geräte zu patchen.
Stattdessen sitzt man als Samsung Besitzer hier mit 0 Informationen, meine Gear S3 ist jetzt seit fast einer Woche dank abgeschaltetem Bluetooth beinahe nutzlos (außer um die Uhrzeit abzulesen, aber dafür brauch ich keine Smartwatch). Dazu kommt dann noch ein Samsung TV, bei dem ich das Bluetooth anscheinend in den Einstellungen nichtmal deaktivieren kann (oder die Einstellung ist gut versteckt, ich lasse mich gerne korrigieren). Jetzt kann ich entweder meinen Fernseher nicht benutzen, oder ich muss mir Sorgen machen, dass jemand ihn kapert und dadurch Zugriff auf ein Gerät in meinem internen Netzwerk hat, was wieder ganz andere potentielle Probleme mit sich bringt.
So langsam bin ich doch sehr angenervt, weil ich nichtmal einen groben Zeitraum kenne, in dem ich mit Updates rechnen kann. Zwar find ich die Produkte an sich gut, aber ich werde mir nach dieser Geschichte drei mal überlegen, ob ich mir in Zukunft nochmal Samsung Geräte kaufe.
Nimm es nicht persönlich, ich weiß dass du persönlich nichts für diese Entscheidungen kannst, aber ich hege ja immer die Hoffnung, dass Feedback auch manchmal zufällig von den richtigen Leuten innerhalb der Firma gelesen wird.

 

[S.]

\@DavidB kannst du uns vielleicht sagen, welche Versionsnummer es ist, auf die wir warten?

 

[O.]

Ich erinnere hier nochmal an das von mir geschilderte Problem!
Bisher ist kein BlueBorne Fix auf dem S8(+) ausgerollt worden. Zumindest nicht mit CSC DBT. Die Vodafone gebrandeten wurden ja letzte Woche mit einem Update versorgt.
Auch die Gear S3 wurde nicht gepatcht.
Wir haben mittlerweile mitte Oktober.
Security Patch Level ist immer noch der 1. August. Softwarestand AQH3.
Das ist nicht der Weg wie man seine Kunden behandelt, wenn es eine bekannte Sicherheitslücke gibt. Erst recht nicht bei den Top Geräten.
Ich erwarte nun einen konkreten Zeitraum, wann ein Update zur Verfügung gestellt wird und nicht den Standard Copy und Paste Text. Das ist langsam schon ein wenig lächerlich, wenn die Provider die Firmware vor den ungebrandeten verteilen. Auch wurden mittlerweile andere Länder Europas mit dem Patch versorgt. Hat Samsung am größten europäischen Absatzmarkt kein Interesse mehr? Oder wie soll man das verstehen? Hauptsache das Gerät an die Kunden gebracht, der Rest ist egal?
Ihr habt Geräte im umlauf die unsicher sind. Diese werden auch geschäftlich genutzt. Samsung sollte seiner Pflicht langsam aber sicher mal nachkommen.

 

[s.]

Ihr seid in guter Gesellschaft. Das S7 wartet auch noch auf sein Update.