Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 59, views: 20.940 •

Samsung heeft in een reactie aangegeven dat het beveiligingslek dat in verscheidene Galaxy-telefoons zit zal repareren met een software-update. Wel is vooralsnog onduidelijk op welke termijn gebruikers de fix kunnen verwachten.

De Koreaanse fabrikant heeft in een verklaring die naar verscheidene media is gestuurd laten weten dat het bestaan van een beveiligingslek in de Exynos-processors die voor de Galaxy S II, Galaxy S III, Galaxy Note en Galaxy Note II worden gebruikt, is bevestigd door zijn software-ontwikkelaars. Deze zullen zo snel mogelijk een fix ontwikkelen om het lek te dichten, zo belooft Samsung.

Het lek werd kortgeleden ontdekt door een ontwikkelaar van het XDA-forum en zit alleen in de Exynos-processors van Samsung. Het probleem is dat iedere gebruiker read/write-toegang heeft tot het /dev/exynos-mem-bestand, dat op zijn beurt toegang geeft tot het gehele werkgeheugen.

Inmiddels zijn er al onofficiële methodes om het lek te dichten. Het is nog niet duidelijk wanneer de officiële fix precies wordt vrijgegeven: Samsung heeft hier geen details over vrijgegeven.

Reacties (59)

Grappig. Direct nadat op tweakers.net bekend was dat er een beveiligingslek was, was het al door ontwikkelaars gedicht (niet door Samsung). Pas enkele dagen later bericht Samsung (oftewel captain obvious) dat ze het lek zullen dichten (ow echt? Had ik niet verwacht...), maar onduidelijk in welke termijn. Zucht. Ook daarom: open source. Community.

[Reactie gewijzigd door Nas T op 19 december 2012 20:08]

dus je vindt het bijna slecht dat ze het melden dat ze het gaan dichten? ze kunnen ook gewoon niks zeggen, dan gaan er meer mensen zeuren.
Ze gaan niet niks doen. Een ernstig beveiligingslek niet dichten is ongeveer hetzelfde als dat Toyota de problemen met hun remmen zouden negeren. Het gaat om veiligheid.

Ik vind het jammer dat de community in staat is om direct een fix te hebben terwijl Samsung pas later met alleen berichtgeving komt, niet eens een fix. Ik zou het pas goed vinden als Samsung vandaag ook met een fix komt.
Je gaat hier wel heel kort door de bocht en ik denk dat jij ook niet bijzonder veel verstand hebt van software ontwikkeling. Het patchen van dit soort 'lekken' kan een stroom aan nieuwe problemen introduceren. Om te voorkomen dat er nieuwe lekken of problemen geintroduceerd worden, is het belangrijk dat een mogelijke oplossing uitvoerig getest wordt.

Die XDA developers hoeven geen kwaliteit te garanderen, en kunnen op die manier veel sneller fixes uitbrengen.
Daar heb je een punt. Maar toch zou ik liever zien dat er snel een lek gedicht werd, met eventueel het risico dat er een nieuw lek ontstaat. Dat lek zou dan snel bekend zijn en eventueel ook snel gedicht kunnen worden of anders de update ongedaan gemaakt worden. Mijn ervaringen met open-source en commmunity zijn beter dan met "officiële" updates. Zo ervaar ik regelmatig crashes (elke 2 dagen) met de stock-browser van Android. Daarom heb ik een custom-rom geïnstalleerd en helaas blijven de crashes.
Dit probleem had ik niet bij Maemo, daar had ik ook af en toe een crash of een complete reboot, maar hier zat ik ook veel meer aan te tweaken.

Kortom: mijn punt blijft dat de community zich voor mij toch bewezen heeft ten opzichte van de officiële weg, omdat de ontwikkeling vaak meer baat heeft bij een dynamische ontwikkeling dan ontwikkeling door een logge bureaucratie.
TheBigB86 heeft helemaal gelijk. Zoals al eerder gemeld in de comments hier op Tweakers is de "community fix" helemaal niet waterdicht.

Bedrijven kunnen niet op die manier op hun bek gaan en moeten nieuwe software eerst testen.
Sterker nog, de community fix zorgt ervoor dat je front camera niet meer werkt, omdat deze gebruik maakt van dat bestand.
heb de fix van ChainFire nu op 6 toestellen geinstalleerd:

- S2
- note 1, wit
- note 1, zwart
- S3, pebble blue
- note 2, grey (2 keer)

en op géén van allen is de camera functionaliteit aangetast.


er zijn ondertussen al 2 of 3 'community fixes' maar ChainFire heeft het gewoon weer helemaal voor elkaar.
Dat komt puur en alleen omdat Chainfire echt een baas is, die ook al heeft hij zijn aversie tegen samsung duidelijk gemaakt, alsnog met fixes komt. Ja, Chainfire is een baas.
Van de patch-site van Chainfire: "Please note that patching the exploit may break camera functionality, depending on device and firmware"

Ik waardeer de kunde en snelheid van Chainfire enorm, maar met een dergelijk voorbehoud kan Samsung natuurlijk geen patch uitbrengen.
Voor samsung geldt dan ook maar één versie per toestel, de laatst officieel uitgebrachte firmware.

Dat gebruikers niet updaten, of een 'custom rom' geinstalleerd hebben is niet hun verantwoording.

Samsung test de patch op de laatste versie, en als die werkt, wordt het uitgebracht.

( ik ben vóór de community roms, maar heb wel begrip voor de werkwijze van Samsung hierin )
Op mijn note 1 met firmware 4.04 XXLRK deed de gehele camera het niet als ik Chainfire's fix enable.
Je vergeet alleen 1 ding: een open source community ontwikkelt voor een bepaalde doelgroep. Dat concept van een community gaat niet werken voor de doorsnee smartphone gebruiker.
Of je benaderd gewoon een gemiddelde XDA-Tweaker die het gat gedicht heeft, geeft hem 10.000 dollar voor de oplossing ( zoals google dat doet als beloning ) en iedereen is tevreden.
En vervolgens kom je er achter dat zijn fix 50% van je testen omgooit en je 100.000 dollar verspijkerd om dit weer goed te krijgen.

Makkelijker gezegd dan gedaan dus.
Je zegt wel "Ook daarom: open source. Community" maar juist daarom duurt het zolang voordat een ontwikkelaar voor al zijn toestellen en alle software die het daarop laat draaien een patch kan maken waar ze redelijk achter kunnen staan. Android is zo gefragmenteerd dat het bijzonder lastig is. Als het closed source zoals iOS was, dan was 1 nieuwe versie voldoende geweest.
Het is geen fout in Android, het is een fout van Samsung. Fragmentatie speelt hier geen rol.
Iets met klok en klepel?

Of Android open of closed source is heeft niets te maken met hoeveel verschillende devices Samsung moet ondersteunen. Dit is geen Android-issue, maar een Samsung-issue (specifiek, een Exynos4-issue).
Als we op deze patch nét zo lang moeten wachten als op de Jelly Bean update, wordt het nog een gezellige boel.
samsung doet mer en meer moeite voor hun klanten wat ik wel zeer mooi vind.
Ik was vandaag in de winkel Saturn en tot mijn grote verbazing had samsung praktisch een hele muur met zijn accessoires, niet enkel voor de gs3 maar ook voor de goedkope.
Vroeger moest je universele accessoires kopen voor samsung.
Wat me het hardste verbaasde was dat je iphone spullen ergens anders moest gaan zoeken
(een muur in de buurt van de kassa en niet zoals de rest duidelijk in het zicht bij de smartphones)
Ik vind het niet heel professioneel dat een behoorlijk potentieel beveiligingslek wat al enkele dagen bekend is alleen een persbericht krijgt: "We zullen het dichten". Wanneer? Geen idee.
dat wel waar maar soms worden bij merken problemen gewoon niet opgelost
beter laat dan nooit.
Had sowieso niet mogen gebeuren, nu hopen dat het wordt gedicht voordat er met malware geïnfecteerde apps er misbruik van gaan maken, dat zou niet best zijn.

Zal nog wel een tijd duren voordat alle kwetsbare telefoons geüpdate zijn.


//offtopic

Mogen ze wel heel leuk Apple gaan mocken met Galaxy S3 reclames (eerst al met 'next big thing' en nu ook eentje over 'apple maps'), maar zelf hebben ze de zaakjes (ook?) niet op orde.

Ik kende meerdere mensen (ongeveer 10) met een Galaxy S2 destijds waarvan de accu er plots mee ophield, mochten ze 'm opsturen.

Nu al enkele mensen met een GS3 waarvan de oplader 's nachts tijdens het opladen is gaan vast smelten aan de telefoon...

Het moet eens ophouden met dat moddergooien, word er onderhand wel een beetje moe van
yep, mijn eigen S3 is ook anderhalve week 'op vakantie' naar meneer dynafix voor een nieuw moederbord voor deze reden. Ben benieuwd of ze hem nog voor de kerst terug bij het servicepunt krijgen...

anyways.. ik hoorde vandaag op de radio een reclame van samsung mobile over beveiliging. Mobile Security - Standaard bij de toestellen van Samsung Mobile (of zo iets!)
Dacht bij mezelf natuurlijk gelijk "yeah -- RIGHT!!" :D hahaha slechte timing jongens.
@cgers : Probeer bij de Media Markt maar eens een fatsoenlijk geluidsdock te vinden voor telefoons met een micro-USB aansluiting. Veel keus heb je niet.

Al die docks die daar staan zijn voor de iPhone; zeker de premium merken als Bang en Olufsen / Bose / Harman Kardon.

Volgens mij geloven deze fabrikanten dat iedereen zo'n waardeloze Apple-prul in huis heeft. Wat mij betreft mogen er heel wat meer accessoires uit komen voor Android-telefoons.
Handig om even het bronartikel te linken:
http://forum.xda-developers.com/showthread.php?t=2053824

En fix van Chainfire: http://forum.xda-developers.com/showthread.php?t=2050297

[Reactie gewijzigd door n00bs op 19 december 2012 20:23]

Daarom hou ik net van Android: daar kun je gemakkelijk zelf mee aan de slag.
Ik heb sinds kort ook een SII en de dag dat het artikel over het beveiligingslek hier op Tweakers.net verscheen, heb ik het nog gefixt m.b.v. de .apk van jullie landgenoot Chainfire (ik ben een Belg :p)

http://forum.xda-developers.com/showthread.php?t=2050297

Lekker downloaden, openen en iets aanvinken :)

Ik kan me voorstellen dat er op iOS en WP bij bugs minder vlotte manieren zijn om eventuele fouten/lekken te repareren.


edit: typo

[Reactie gewijzigd door skrall op 19 december 2012 20:46]

De camera werkt nog wel op de s3 na de fix? Op de note niet, dus er is geen (goede) fix.
Hmm de developers vinden snel genoeg een fix daarvoor, die er niét voor zorgt dat de camera het laat afweten.
Anderzijds heb ik bij m'n SII geen problemen ondervonden. De camera werkt nog uitstekend.
Maar dat zijn toch alleen maar oplossing voor hobbyisten? Een normale gebruiker heeft hier toch niks aan?
Waardoor denk je dat alle jailbreaks op iOS mogelijk zijn? Juist, door security issues. ;)
Had Apple die niet steeds moeten dichten, dan hadden ze nu nog op iOS 3 of zo gezeten :P

En voor WP7 had je heel snel WP Chevron 7, die je telefoon kon unlocken zodat je kon sideloaden en zo (gewoon een jailbreak dus ook). Hoe denk je dat die mogelijk was?

Dus misschien eerst wat verder kijken voordat je kritiek geeft op Android.

[Reactie gewijzigd door Fire69 op 19 december 2012 21:38]

Ik denk dat je zelf iets verder moet kijken. Voor WP en iOS zijn eigenlijk geen virussen omdat de gebruikers alles uit de gecontroleerde store halen. Android gebruikers doen dat niet en halen zelf dus malware binnen. Dit gaat voor zover bekend niet bij WP en iOS. Mijn ervaring is dat WP en iOS in de praktijk waterdicht zijn en Android niet. Zelf vind ik het echt een lachertje dat er een botnet is op Android telefoons. Wat wel zo is: iedereen met verstand van Android heeft ook echt een heel leuke telefoon waar veel mee mogelijk is.

Ieder OS zo zijn voor en nadelen?
De meeste android gebruikers zullen ook gewoon alles uit de store halen . Met een beetje gezond verstand kom je een heel eind . Eigenlijk net zoals met Windows op de PC . Idioten zullen altijd een manier vinden om alles in de soep te draaien . Zolang je een beetje normaal doet zijn er maar weinig problemen.
Security issue's op iOS zijn allang niet meer van dit knullige niveau. Zo is er nog steeds geen unthetered jailbreak van iOS 6 voor de iPhone 5.
Waarschijnlijk hebben ze het niet gefixt, maar is het gewoon geen bug in de nieuwe firmware. Begin januari komt namelijk de jelly bean update voor het gros van de vatbare toestellen.

nieuws: Samsung brengt Android 4.1 ook naar goedkopere Galaxy's
Helaas, op de tot nu toe gelekte Jelly Bean firmwares is het probleem wel degelijk aanwezig. Er is toch wel wat kans dat wanneer die update officieel uitkomt daarin het probleem nu wel verholpen is, maar dat is allerminst zeker.

De bug uplossen is niet zo'n probleem, grote kans dat de bug in de source code bij Samsung ondertussen verholpen is - maar een update is niet zo snel uitgebracht als je zou denken. Na Samsung QA (ondanks alle grappen hebben ze wel degelijk een QA afdeling) is er in verschillende landen ook nog een aantal instanties die allemaal afgelopen moeten worden, en ook de carriers mogen niet vergeten worden (voor diegene die geen unbranded hebben).

Als Samsung de fix vandaag kon uitrollen op alle telefoons wereldwijd, zouden ze dat vast doen ...
offtopic... maar volgende keer schermafdruk erbij doen? is nu aangepast en dan modden ze me op -1? naja...
En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is. Hier nog een gesprekje geplukt uit een andere post van mij.
Zo zie je maar dat Samsung er alles voor doet om potentiële klanten tevreden te houden, nadat je hun product hebt gekocht verlenen ze nog amper service.
Ik zal hem morgen aan de tand voelen over de onzin die hij heeft uitgekraamd.
Wordt vervolgd...

Stef602 in 'nieuws: Ontwikkelaars vinden lek in Samsung Galaxy S III en S II'

[Reactie gewijzigd door Frozen op 19 december 2012 21:36]

Dat Samsung er alles aan doet lijkt me een moeilijke klus, aangezien zij de software op de telefoons niet zelf ontwikkelen. (uitgezonderd 'de schil') Ze zijn daarom niet 100% in control en afhankelijk.
Maar Samsung is natuurlijk wel zodanig groot dat ze behoorlijk wat druk op hun leveranciers kunnen uitoefenen...
deze leak is ontstaan door codeerwerk van Samsung engineers.

dus druk op leveranciers?? not relevant.
ik weet niet of iedereen hier de magnitude van die 'bug' snapt, maar volledig toegang tot het physieke geheugen is nogal wat!

bedoel, als je kernelspace memory kunt benaderen, kun je alles, keyboards uitlezen, de hele rattenplan...

dus tja, ze moeten deze bug wel heel goed fixen, want als er regressie op treedt zijn ze helemaal f*cked kwa reputatie
+1

'Spijker op de kop slaan' lijkt me de juiste uitdrukking.
En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is.
Nou ja, technisch gezien is dat laatste ook zo. Je privacy is niet (meer) in het geding dan hij al was met alle Google-ware erop. Dat wil zeggen, zolang je maar geen malware installeert die van het lek gebruik maakt -- want daarna kan de auteur daarvan letterlijk alles met je telefoon doen, inclusief het uploaden van alles wat erop staat naar zijn eigen site, en dat is dan nog vrij fantasieloos. Maar het is geen vulnerability die data van buitenaf toegankelijk maakt, zonder lokale exploit -- dat zou een privacylek zonder meer zijn.

Zolang je nooit software installeert buiten de store, en Google 100% correct is in het afvangen van software die deze exploit gebruikt, zit je in theorie goed. Uiteraard is dat ongeveer net zoiets als zeggen dat koorddansen over de Niagarawaterval zonder vangnet OK is, zolang je maar let op je evenwicht -- schrale troost.

Ik ben toevallig erg tevreden met de exploit omdat de fix van Chainfire mijn nieuwe Note II nu zonder gedoe geroot heeft samen met een patch voor de exploit zelf. Twee vliegen in één klap. Maar was die fix er niet geweest, dan zou ik domweg geen software geïnstalleerd hebben tot het lek gedicht was, ook niet uit de store. (Technisch gezien, als de fix van Chainfire zelf een bug bevat of Chainfire achteraf evil blijkt te zijn heb ik natuurlijk nog steeds pech gehad.)

Het had Samsung gesierd (maar is commercieel vast niet interessant) om zijn klanten aan te raden geen apps en geen updates voor apps te installeren tot het gefixt is, en auto-updates voor apps uit te zetten. Zo ernstig is het namelijk wel.

[Reactie gewijzigd door MneoreJ op 19 december 2012 22:22]

je vergeet wel 1 ding stef, ik zeg niet dat Sansung gelijk heeft. Maar de lek kan idd veel eerder zijn ontdekt. Niet iedereen die iets ontdekt meld t aan de media.

Soms wordt t direct gemeld bij samsung en soms blijft zo iets staan tussen tig andere berichten op een forum, voordat iemand t oppikt. Daarnaast is t moeilijk voor samsung om precies dezelfde dag te melden of t al gefixed is. Hun database voor fixes is nogal groot met waarschijnlijk veel dubbele requests. Als men t zelfde probleem anders formuleert levert dat ook problemen op. De specialist heeft t probleem mogelijk eerder voorbij zien komen en mogelijk t juiste antwoord weten te geven.

Consumenten snappen soms niet hoe hard er voor hun wordt gewerkt achter de schermen.

PS: Je had beter kunnen vragen om t probleem voor te lezen uit t systeem om te checken of jullie t over hetzelfde probleem hadden.
Samsung is nooit zo snel met updates, dus kan dit nog wel even duren.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013