Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 106, views: 38.832 •

Ontwikkelaars hebben een potentieel gevaarlijk lek gevonden in alle telefoons met een Samsung Exynos-processor, waaronder de Galaxy S III, Galaxy S II, Galaxy Note en Galaxy Note II. Het lek kan door elke applicatie misbruikt worden om toegang te krijgen tot al het geheugen.

Samsung Galaxy S III Daardoor zou een aanvaller met malware, die gebruiktmaakt van het lek, toegang kunnen krijgen tot alle gegevens op de telefoon. De aanvaller zou dat kunnen doen zonder dat de gebruiker veel doorheeft: een app installeren kan genoeg zijn om het lek te misbruiken. Op dit moment is die malware er nog niet, omdat er pas zondag voor het eerst over het lek is gepubliceerd.

Het lek zit in de file /dev/exynos-mem, schrijft Alephzain op XDA-Developers. Iedere gebruiker heeft read/write-toegang tot het device-bestand, dat op zijn beurt toegang geeft tot al het werkgeheugen. Daardoor kan een gebruiker vanuit daar al het geheugen benaderen op de telefoon. Het bestand /dev/exynos-mem wordt gebruikt voor grafische toepassingen, zoals de camera en hdmi-output.

Samsung is afgelopen weekeinde op de hoogte gesteld van het lek, maar het bedrijf heeft nog geen reactie gegeven. Een fix kan enige tijd in beslag nemen: zelfs als Samsung binnen enkele dagen een fix heeft, kan het weken tot maanden duren voordat alle getroffen toestellen die fix kunnen ontvangen. Het beveiligingsgat kan ook gebruikt worden om op makkelijke wijze root-toegang te verkrijgen tot een toestel met Exynos-processor.

Er zijn al enkele fixes online verschenen voor de exploit. Ontwikkelaar SuperCurio heeft een fix die geen root-toegang vereist en enkel het lek dicht, terwijl de Nederlandse ontwikkelaar Chainfire een tool online heeft gezet die het toestel root en vervolgens het lek dicht.

Reacties (106)

Reactiefilter:-11060103+166+27+30
Ik hoop dat Samsung die update gaat pushen of je hebt binnenkort geweldige smartphones :(
Zolang je geen vage apps download zie ik geen probleem.

Net als met een pc, als je bewust internet haal je ook geen virussen binnen. Maar even de telefoon aan de kids uitlenen en je mobiel/tablet staat vol met troep...
Vage apps..... Als ik een piano app wil, of een wekker app, een weer app, een ip-radio app etc. Dat zouden allemaal eenvoudige apps kunnen zijn die alleen vanwege malware zijn gemaakt. Misschien heb jij een tip voor mij hoe ik vage apps herken in de officiŽle google Play Store die AVAST over het hoofd ziet?

[Reactie gewijzigd door pmeter op 17 december 2012 12:09]

kun je niet. de oplossing is om zolang je toestel kwetsbaar is GEEN ENKELE app (die niet van een zeer vertrouwde uitgever komt) te installeren of zelfs maar te updaten
Het helpt veel om even de rating en de reacties te bekijken. Een app met 2 sterren en reacties als "DON'T DOWNLOAD, MALWARE" is natuurlijk waarschijnlijk niet bepaald de moeite waard. Daarnaast kun je kijken of de app een goed ontworpen interface en logo heeft, de meeste malware-developers spenderen daar amper tijd aan.

Je moet er een beetje een oog voor zien te ontwikkelen.

[Reactie gewijzigd door ThePendulum op 17 december 2012 13:28]

Verkeerd knopje, excuses.

[Reactie gewijzigd door ThePendulum op 17 december 2012 13:28]

Je zou alleen apps kunnen installleren van bekende of top ontwikkelaars (aangegeven in de Play Store). Die hebben een reputatie en zullen geen malware verspreiden.
Ook met bewust internetten kan je een virus/troep oplopen, of vindt je onderstaande websites onverantwoordelijk?Dit zijn maar wat recente voorbeelden, het is daarentegen schering en inslag. Het zijn populaire toestellen met enorm veel gebruikers. Interessant doelwit dus.

[Reactie gewijzigd door Floor op 17 december 2012 13:13]

Dan kunt ge beter helemaal geen smart Phone kopen dan heb ge nergens last van.
Hoe kan het nou dat dit systeem met die Exynos-mem map al sinds de Galaxy SII wordt gebruikt en nu pas wordt ontdekt dat je hiermee je gehele geheugen kunt prijsgeven..?
Zelfs de ontwikkelaar van het toestel ziet het over het hoofd. Dan kun je er miljoenen doorsnee gebruikers mee laten werken maar die zullen het nooit ontdekken. Je hebt iemand nodig die aan het graven slaat, en dit toevallig tegenkomt. Die kans is niet zo gek groot en daarom heeft het even geduurd ;)
Wellicht wordt dit allang "stil" misbruikt. Niet iedereen hangt zulke dingen meteen aan de grote klok.

Ook erg dom om een lek als deze te publiceren in het openbaar.

Het is net als met media... je brengt er een hoop mensen mee op verkeerde ideeen. En er zijn een hoop mensen die deze fixes nooit installeren. dus wanneer kwaadwillende nu lezen hoe je bij het geheugen moet komen zal er binnen enkele dagen de eerste malware voor verschijnen... een fix van samsung laat nog weken/maanden op zich wachten.

je kunt een lek beter bekend maken "nadat" het gepatched is... beetje vreemd dat mensen dit zelf niet snappen!
Het werkt dikwijls andersom ook, ze hebben in dit geval inderdaad Samsung weinig/geen tijd gegeven om te reageren, maar dikwijls als ze dat wel doen doen zo'n bedrijven gewoon niets, totdat zo'n lek in de media gezet wordt, dan is er plots urgentie.
Dit soort dingen onder de pet houden is niet de oplossing.

De kans dat het lek alsnog gevonden wordt door kwaadwillenden is inderdaad groter dan dat iedereen zijn telefoon van de nieuwste patches voorziet, maar de kans dat samsung met security patches uit komt is uitermate klein.

Ik heb persoonlijk slechte ervaringen met samsung en reageren op security issues. Van de helpdesk kreeg ik te horen dat er geen patch voor het remote whipe issue gaat komen voor mijn sgs+. De reden is dat er niet genoeg over geklaagd wordt. Misschien dat andere mensen dat anders zien, maar voor mij moet een leverancier altijd pro-actief op security issues reageren. Nu is ook het remote whipe issue wel weer op te lossen met tooltjes of custom roms maar beiden is gedoe en de leverancier heeft hier in, mijns inziens, een verantwoordelijkheid.

De enige manier op Samsung duidelijk te maken dat ze hierin een taak hebben is het in het openbaar brengen. Aan de ene kant houden leveranciers niet van negatieve publiciteit en aan de andere kant maakt dat iets meer gebruikers duidelijk dat smartphones kwetsbaar zijn. Telefoons krijgen steeds meer taken en er komt steeds meer persoonlijke en kostbare data op. Mensen moeten zich gaan realiseren dat ze dit moeten beschermen.

En Samsung moet zich gaan realiseren dat ze eens wat aan beveiliging moeten gaan doen. Vorige week werd al duidelijk dat hun smart tv's zo lek als een mandje zijn en nu hun telefoons weer (en niet voor de eerste keer). Het enige wat misschien helpt is massaal de helpdesk mailen (en geen samsung meer kopen, maar dat is mijn persoonlijke oplossing en mag verder iedereen lekker voor zichzelf uitmaken)

[Reactie gewijzigd door elbo op 17 december 2012 09:16]

Het enige wat misschien helpt is massaal de helpdesk mailen (en geen samsung meer kopen, maar dat is mijn persoonlijke oplossing en mag verder iedereen lekker voor zichzelf uitmaken)
Nee dan ga je Apple gebruiken waar 100 000 exploits voor zijn die niet publiekelijk bekend zijn gemaakt. Of Microsoft waar hetzelfde voor geldt. Je moet jezelf beseffen dat geen enkel systeem vrij is van exploits, das gewoon een onmogelijkheid en dat is jezelf beschermen met een wassen neus :P

Ik vind het daarom ook een heel kortzichtige reactie op het niveau van een standaard gebruiker... Net zoals dat je veel mensen hoort die een mac kopen omdat die veel "veiliger" zijn... het is niet veiliger, je hoort er gewoon minder van
Ik heb het helemaal niet over Apple of iets anders. Ik heb het over Android.

Waarschijnlijk kan je hier niet tegen maar het is niet allemaal rozegeur en maneschijn met Android. Sorry dat ik het zeg, maar niet alles is positief aan Android.

Het uitrollen van patches gaat niet goed in Android. Op de een of andere manier accepteren we dat als gebruikers (en daar hoor ik bij he. ik heb ook een android telefoon!!!) maar. Het wordt tijd dat we wat lawaai gaan maken. Met name richting Samsung. Niet alleen is dat de grootste leverancier (en eigenlijk de enige die er in aantallen toe doet) Ook is samsung notair slecht in het uitrollen van patches.
Eens. Maar ook Google gaat niet vrijuit. Een groot probleem met Android is dat de drivers niet gescheiden zijn van het OS. Iedere OS-upgrade vereist kennelijk een nieuwe telefoon-specifieke build. Dit is echt een ontwerpfout.

Als de driver voor het Exynos-geheugen los gedistribueerd kan worden zou je hem zelf van Samsung kunnen downloaden en kunnen installeren.

Omdat nu alle updates specifiek zijn voor een bepaald toestel en/of provider moet alles opnieuw gepackaged worden en gedistribueerd worden. Dit maakt Android op dit moment een risico omdat je hiermee nooit tijdig een lek kan dichten. Ook is er geen garantie dat het uberhaupt gefixed wordt. Bij end-of-life verdwijnt de software support ook gewoon. Waar is de Android 2.3.7 upgrade voor de Galaxy S bijvoorbeeld?
Het is maar een hypothese, maar kan dat niet veel nadelen met zich meebrengen? Als de drivers los zijn, dan heeft de een een telefoon met Android 4.2 en driver versie 1.0, de ander 2.3.7 met driver versie 4.0, etc. Je kan dat mogelijk behoorlijk wat fragmentatie hebben, maar ondertussen wordt wel verwacht dat elke driver met elke Android versie werkt. Misschien dat dit niet zo lastig is als wat ik illustreer, op Windows lukt het ze ook ondanks soortgelijke fragmentatie de boel werkend te houden, maar ik kan me voorstellen dat het moeilijk is.
Nee het enige wat ik zeg is dat het overall een ramp is en dat alleen bepaalde systemen/fabrikanten meer aandacht krijgen en daardoor slechter uit het "nieuws" komen
Het zijn vooral de fabrikanten zoals Samsung en HTC die niet of slecht de patches doen uitrollen. Dit komt met name door de custom roms die dan niet compatible zijn met deze patch
"Nee dan ga je Apple gebruiken waar 100 000 exploits voor zijn die niet publiekelijk bekend zijn gemaakt."

Yeah, wright. Als dit soort aannames jou beter doen slapen over je Samsung toestel, dream on.
Echter is er nog weinig noodzaak beter over een ander toestel te slapen dan over een Samsung, want dat er in elke andere telefoon, ongeacht merk, ook flinke fouten zit is en blijft een feit. Als je een beetje geavanceerde telefoon hebt loop je per definitie risico op dit soort dingen.
geen Samsung = Apple (!) , tuurlijk :+ daar gaat het al verkeerd, er bestaan meer merken dan alleen Apple en Samsung voor als je het nog niet wist..
@Elbo
Ik heb persoonlijk slechte ervaringen met samsung en reageren op security issues. Van de helpdesk kreeg ik te horen dat er geen patch voor het remote whipe issue gaat komen voor mijn sgs+. De reden is dat er niet genoeg over geklaagd wordt
Dat is exact hoe grote bedrijven reageren. Een bug moet traction krijgen vooraleer het kosten/baten plaatje het rechtvaardigd om dit op te lossen. Is niet helemaal correct naar de eindklant toe maar het zijn bedrijven die winst als oogmerk hebben...
Ik denk dat je gelijk hebt. Samsungs tactiek om heel veel net wat verschillende modellen uitbrengen helpt ook niet, denk ik. Voor Samsung zal dat best een commercieel aantrekkelijk model zijn, voor mij als consument is het wat minder aantrekkelijk. Ik zie persoonlijk liever dat ze meer tijd in software stoppen en wat minder in technisch bijna identieke toestellen in een ander jasje stoppen. Maar goed, andere mensen hebben minder interesse in de software en weer meer in de vormgeving.
Voor mij een reden om als software voornamelijk community-based systemen te gebruiken. Linux, custom ROMs, etc. Is meer een geval "door gebruikers, voor gebruikers". Uiteraard is het niet zo dat het dan op magische wijze wel veilig is.
Van de helpdesk kreeg ik te horen dat er geen patch voor het remote whipe issue gaat komen voor mijn sgs+. De reden is dat er niet genoeg over geklaagd wordt.
Boffen we nu dan even dat het op de Exynos 4 enkel in de topmodellen zit (iit SGS+ wat natuurlijk geen excuses mag zijn maargoed, niet echt relevant), die wel allemaal (nog steeds) van updates voorzien worden!

Vervelend voor jouw ervaring met een mid-end toestel (toen die uitkwam), maar de high-end toestellen (toen ze uitkwamen) hebben veel betere support. Dus jouw ervaring voor de SGS+ zegt gelukkig weinig over de SGS2/3/Note/Note2...

Denk zelf dat het nog wel even kan duren voordat de update er is, maar hij komt er wel gewoon itt wat jij ons wijs probeert te maken...

[Reactie gewijzigd door watercoolertje op 17 december 2012 12:20]

Er is wel meer aan de hand. In korte tijd is er het remote whipe issue (wat niet geheel terecht vooral bij samsungs de aandacht kregen), vorige week de smart tv's van samsung en deze week de high-end toestellen van samsung.

Nog even en Samsung is synoniem voor 'zo lek als een mandje'. Moet je eens aan Microsoft vragen hoe lang zo'n vooroordeel blijft hangen. Samsung zal meer moeten doen om een veilig imago te krijgen.
Maarja, hackers met slechte bedoelingen gaan wel graven. En als je een mogelijkheid zoekt om het geheugen te benaderen, dan is dit wellicht niet heel moeilijk te vinden. Ik weet niet of de source van Samsung ook beschikbaar is?
Omdat niemand er op lette? Hetzelfde kan namelijk gezegd worden van de bugs in Windows, OSX, .... Er zijn vast nog hopen andere bugs en fouten in een hele reeks toestellen maar omdat ze niet "interessant" genoeg zijn, worden de fouten niet gevonden tot iemand zich er echt op focust of per toeval op de fout uitkomt.

Bugs zijn er altijd, de vraag is gewoon: is het interessant genoeg om er naar te zoeken.
Misschien was het te simpel?
Het lek zit in de map /dev/exynos-mem, schrijft Alephzain op XDA-Developers. Iedere gebruiker heeft read/write-toegang tot die map,
Map? Dat is wel een hele brakke vertaling van device.. :)
Het gaat hier volgens mij om een "memory map". Deze staat dan blijkbaar in de /dev folder, maar je vind ze ook onder bijvoorbeeld /proc.

Meer info over memory maps (mmap):
http://www.makelinux.net/alp/037
http://lwn.net/images/pdf/LDD3/ch15.pdf (pdf)

[Reactie gewijzigd door GJR - Squarc op 17 december 2012 09:10]

Leuk gevonden, maar nee. Je kunt mmap weliswaar gebruiken op die device, maar daarmee wordt het zelf nog geen "map". Wat er staat klopt gewoon niet.
Beetje spijkers op laag water zoeken dit. Het is inderdaad geen 'map' in de betekenis van 'directory' of 'folder', maar het is wel een 'map' in de vorm van een blok geheugen dat op een file descriptor is 'gemapped'. Terminologie die al gebruikt werd voordat Windows de namen 'map' en 'folder' introduceerde voor wat in Unix en DOS altijd 'directory' genoemd werd.
Binnen Linux is alles een file of een directory, die in /dev zijn directe verwijzingen naar devices. Zoals /dev/sda voor een harddisk en /dev/cfrom voor een cd drive. Deze worden bij startup aangemaakt al naar gelang de gevonden hardware.

Het met map vertalen is inderdaad wat verwarringwekkend, want het is geen directory, maar een verwijzing naar het device exynos-mem.
Wat is de reden precies waarom het enkele maanden zou kunnen duren voordat gebruikers een fix kunnen ontvangen?

Je zou zeggen dat dat veel sneller moet kunnen?

Klein foutje overigens:

'De aanvaller zou dat kunnen doen zonder dat de gebruikers veel door heeft'

'De aanvaller zou dat kunnen doen zonder dat de gebruikers veel door hebben'
of
'De aanvaller zou dat kunnen doen zonder dat de gebruiker veel door heeft'
voor de eigenaren van het standaard model(internationale versie) kan het redelijk snel, maar bij provider gebonden telefoons moet de provider eerst de update goedkeuren en dat kan best lang duren.
en veel mensen negeren die update meldingen gewoon.
ah, weer wat opgestoken, bedankt!
Ik ben het met PcComm eens, vindt het vreemd dat dit nu pas aan het licht komt. Wellicht is het al gebruikt maar heeft niemand er weet van?
de psp is al veel langer uit, en er worden alsnog regelmatig grote beveiliging lekken gevonden.

niet iedereen denkt overal aan dus duurt het soms een tijdje voordat een lek gevonden is.
Uit het artikel:
Op dit moment is die malware er nog niet, omdat er pas zondag voor het eerst over het lek is gepubliceerd.
Dus malware bestaat nog niet zolang nog niets gepubliceerd is over het lek waarvan het gebruik maakt? Dit klopt niet en is een gevaarlijke aanname. Immers kan iets wel bestaan zonder er openlijk over te communiceren. Dit geldt ook voor het misbruik van veiligheidslekken met behulp van malicious software.

Overigens is het onmogelijk om te bewijzen dat iets niet bestaat, waardoor deze uitspraak in het artikel niet getoetst kan worden.

[Reactie gewijzigd door The Zep Man op 17 december 2012 09:00]

wat een kwalijke zaak zeg, vooral de tijdsduur voordat elke telefoon een fix heeft ondergaan vindt il behoorlijk hoog
Dat mag je uiteraard vinden maar gezien het updateproces is dat niet zo heel wonderlijk. Zoals hierboven al door iemand gesteld kun je niet garanderen dat iedereen een aangeboden update (direct, of op welke termijn dan ook) installeert. Tevens zijn er toestelvarianten waarbij de provider nog tussen de fabrikant en de eindgebruiker inzit, en daarmee de update vaak vertraagt.

Het maakt het niet minder kwalijk, hooguit begrijpelijker :)
Het draadje onder 'tool' geeft een 404.

De link moet waarschijnlijk zijn: http://forum.xda-developers.com/showthread.php?t=2050297

[Reactie gewijzigd door ttb_82 op 17 december 2012 09:55]

http://forum.xda-developers.com/showthread.php?t=2050297

is de link die je nodig hebt

ttb_82 jou link had http://http:// in...
Op mijn S2, draaiend op een custom LSJ (Jelly Bean) ROM, werkt de camera na de fix overigens nog zoals hij moet.

Kleine aanvulling want de offtopic scores geven aan dat de post klaarblijkelijk niet begrepen is/wordt:

Het toepassen van deze beide 'fixes' (liever: work arounds) zorgt er voor dat bij bepaalde toestellen / firmware de (front)camera niet meer functioneert. Dit is sowieso al bevestigd voor verschillende SIII en Note II toestellen.

[Reactie gewijzigd door AllSeeyinEye op 17 december 2012 10:05]

"De amp /dev/exynos-mem wordt gebruikt voor grafische toepassingen, "... map*
Gisteren een Note 10.1 gekocht, hoor ik dit vandaag.
Hopellijk herkent Avast die malware...
Tja had het je anders weerhouden iets te kopen? Alles is bij voorbaat al lek alleen niet alle lekken zijn bekend (en velen zullen dat zelfs nooit worden), geen 1 product zou dus aan je eisen kunnen voldoen, immers in theorie zou voor elke tablet of OS morgen een exploit gevonden kunnen worden...

Anyway hier kan je het gevaar iig wel mee verhelpen, als je er echt mee zit:
http://forum.xda-developers.com/showthread.php?t=2050297

[Reactie gewijzigd door watercoolertje op 17 december 2012 09:44]

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Apple Games AMD Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013