Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 59, views: 21.054 •

Samsung heeft in een reactie aangegeven dat het beveiligingslek dat in verscheidene Galaxy-telefoons zit zal repareren met een software-update. Wel is vooralsnog onduidelijk op welke termijn gebruikers de fix kunnen verwachten.

De Koreaanse fabrikant heeft in een verklaring die naar verscheidene media is gestuurd laten weten dat het bestaan van een beveiligingslek in de Exynos-processors die voor de Galaxy S II, Galaxy S III, Galaxy Note en Galaxy Note II worden gebruikt, is bevestigd door zijn software-ontwikkelaars. Deze zullen zo snel mogelijk een fix ontwikkelen om het lek te dichten, zo belooft Samsung.

Het lek werd kortgeleden ontdekt door een ontwikkelaar van het XDA-forum en zit alleen in de Exynos-processors van Samsung. Het probleem is dat iedere gebruiker read/write-toegang heeft tot het /dev/exynos-mem-bestand, dat op zijn beurt toegang geeft tot het gehele werkgeheugen.

Inmiddels zijn er al onofficiële methodes om het lek te dichten. Het is nog niet duidelijk wanneer de officiële fix precies wordt vrijgegeven: Samsung heeft hier geen details over vrijgegeven.

Reacties (59)

Je gaat hier wel heel kort door de bocht en ik denk dat jij ook niet bijzonder veel verstand hebt van software ontwikkeling. Het patchen van dit soort 'lekken' kan een stroom aan nieuwe problemen introduceren. Om te voorkomen dat er nieuwe lekken of problemen geintroduceerd worden, is het belangrijk dat een mogelijke oplossing uitvoerig getest wordt.

Die XDA developers hoeven geen kwaliteit te garanderen, en kunnen op die manier veel sneller fixes uitbrengen.
TheBigB86 heeft helemaal gelijk. Zoals al eerder gemeld in de comments hier op Tweakers is de "community fix" helemaal niet waterdicht.

Bedrijven kunnen niet op die manier op hun bek gaan en moeten nieuwe software eerst testen.
Sterker nog, de community fix zorgt ervoor dat je front camera niet meer werkt, omdat deze gebruik maakt van dat bestand.
heb de fix van ChainFire nu op 6 toestellen geinstalleerd:

- S2
- note 1, wit
- note 1, zwart
- S3, pebble blue
- note 2, grey (2 keer)

en op géén van allen is de camera functionaliteit aangetast.


er zijn ondertussen al 2 of 3 'community fixes' maar ChainFire heeft het gewoon weer helemaal voor elkaar.
Van de patch-site van Chainfire: "Please note that patching the exploit may break camera functionality, depending on device and firmware"

Ik waardeer de kunde en snelheid van Chainfire enorm, maar met een dergelijk voorbehoud kan Samsung natuurlijk geen patch uitbrengen.
Voor samsung geldt dan ook maar één versie per toestel, de laatst officieel uitgebrachte firmware.

Dat gebruikers niet updaten, of een 'custom rom' geinstalleerd hebben is niet hun verantwoording.

Samsung test de patch op de laatste versie, en als die werkt, wordt het uitgebracht.

( ik ben vóór de community roms, maar heb wel begrip voor de werkwijze van Samsung hierin )
Je vergeet alleen 1 ding: een open source community ontwikkelt voor een bepaalde doelgroep. Dat concept van een community gaat niet werken voor de doorsnee smartphone gebruiker.
En vervolgens kom je er achter dat zijn fix 50% van je testen omgooit en je 100.000 dollar verspijkerd om dit weer goed te krijgen.

Makkelijker gezegd dan gedaan dus.
Je zegt wel "Ook daarom: open source. Community" maar juist daarom duurt het zolang voordat een ontwikkelaar voor al zijn toestellen en alle software die het daarop laat draaien een patch kan maken waar ze redelijk achter kunnen staan. Android is zo gefragmenteerd dat het bijzonder lastig is. Als het closed source zoals iOS was, dan was 1 nieuwe versie voldoende geweest.
Het is geen fout in Android, het is een fout van Samsung. Fragmentatie speelt hier geen rol.
Iets met klok en klepel?

Of Android open of closed source is heeft niets te maken met hoeveel verschillende devices Samsung moet ondersteunen. Dit is geen Android-issue, maar een Samsung-issue (specifiek, een Exynos4-issue).
Handig om even het bronartikel te linken:
http://forum.xda-developers.com/showthread.php?t=2053824

En fix van Chainfire: http://forum.xda-developers.com/showthread.php?t=2050297

[Reactie gewijzigd door n00bs op 19 december 2012 20:23]

Daarom hou ik net van Android: daar kun je gemakkelijk zelf mee aan de slag.
Ik heb sinds kort ook een SII en de dag dat het artikel over het beveiligingslek hier op Tweakers.net verscheen, heb ik het nog gefixt m.b.v. de .apk van jullie landgenoot Chainfire (ik ben een Belg :p)

http://forum.xda-developers.com/showthread.php?t=2050297

Lekker downloaden, openen en iets aanvinken :)

Ik kan me voorstellen dat er op iOS en WP bij bugs minder vlotte manieren zijn om eventuele fouten/lekken te repareren.


edit: typo

[Reactie gewijzigd door skrall op 19 december 2012 20:46]

De camera werkt nog wel op de s3 na de fix? Op de note niet, dus er is geen (goede) fix.
Hmm de developers vinden snel genoeg een fix daarvoor, die er niét voor zorgt dat de camera het laat afweten.
Anderzijds heb ik bij m'n SII geen problemen ondervonden. De camera werkt nog uitstekend.
Maar dat zijn toch alleen maar oplossing voor hobbyisten? Een normale gebruiker heeft hier toch niks aan?
Ik denk dat je zelf iets verder moet kijken. Voor WP en iOS zijn eigenlijk geen virussen omdat de gebruikers alles uit de gecontroleerde store halen. Android gebruikers doen dat niet en halen zelf dus malware binnen. Dit gaat voor zover bekend niet bij WP en iOS. Mijn ervaring is dat WP en iOS in de praktijk waterdicht zijn en Android niet. Zelf vind ik het echt een lachertje dat er een botnet is op Android telefoons. Wat wel zo is: iedereen met verstand van Android heeft ook echt een heel leuke telefoon waar veel mee mogelijk is.

Ieder OS zo zijn voor en nadelen?
De meeste android gebruikers zullen ook gewoon alles uit de store halen . Met een beetje gezond verstand kom je een heel eind . Eigenlijk net zoals met Windows op de PC . Idioten zullen altijd een manier vinden om alles in de soep te draaien . Zolang je een beetje normaal doet zijn er maar weinig problemen.
Security issue's op iOS zijn allang niet meer van dit knullige niveau. Zo is er nog steeds geen unthetered jailbreak van iOS 6 voor de iPhone 5.
Waarschijnlijk hebben ze het niet gefixt, maar is het gewoon geen bug in de nieuwe firmware. Begin januari komt namelijk de jelly bean update voor het gros van de vatbare toestellen.

nieuws: Samsung brengt Android 4.1 ook naar goedkopere Galaxy's
Helaas, op de tot nu toe gelekte Jelly Bean firmwares is het probleem wel degelijk aanwezig. Er is toch wel wat kans dat wanneer die update officieel uitkomt daarin het probleem nu wel verholpen is, maar dat is allerminst zeker.

De bug uplossen is niet zo'n probleem, grote kans dat de bug in de source code bij Samsung ondertussen verholpen is - maar een update is niet zo snel uitgebracht als je zou denken. Na Samsung QA (ondanks alle grappen hebben ze wel degelijk een QA afdeling) is er in verschillende landen ook nog een aantal instanties die allemaal afgelopen moeten worden, en ook de carriers mogen niet vergeten worden (voor diegene die geen unbranded hebben).

Als Samsung de fix vandaag kon uitrollen op alle telefoons wereldwijd, zouden ze dat vast doen ...
En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is. Hier nog een gesprekje geplukt uit een andere post van mij.
Zo zie je maar dat Samsung er alles voor doet om potentiële klanten tevreden te houden, nadat je hun product hebt gekocht verlenen ze nog amper service.
Ik zal hem morgen aan de tand voelen over de onzin die hij heeft uitgekraamd.
Wordt vervolgd...

Stef602 in 'nieuws: Ontwikkelaars vinden lek in Samsung Galaxy S III en S II'

[Reactie gewijzigd door Frozen op 19 december 2012 21:36]

Dat Samsung er alles aan doet lijkt me een moeilijke klus, aangezien zij de software op de telefoons niet zelf ontwikkelen. (uitgezonderd 'de schil') Ze zijn daarom niet 100% in control en afhankelijk.
ik weet niet of iedereen hier de magnitude van die 'bug' snapt, maar volledig toegang tot het physieke geheugen is nogal wat!

bedoel, als je kernelspace memory kunt benaderen, kun je alles, keyboards uitlezen, de hele rattenplan...

dus tja, ze moeten deze bug wel heel goed fixen, want als er regressie op treedt zijn ze helemaal f*cked kwa reputatie
En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is.
Nou ja, technisch gezien is dat laatste ook zo. Je privacy is niet (meer) in het geding dan hij al was met alle Google-ware erop. Dat wil zeggen, zolang je maar geen malware installeert die van het lek gebruik maakt -- want daarna kan de auteur daarvan letterlijk alles met je telefoon doen, inclusief het uploaden van alles wat erop staat naar zijn eigen site, en dat is dan nog vrij fantasieloos. Maar het is geen vulnerability die data van buitenaf toegankelijk maakt, zonder lokale exploit -- dat zou een privacylek zonder meer zijn.

Zolang je nooit software installeert buiten de store, en Google 100% correct is in het afvangen van software die deze exploit gebruikt, zit je in theorie goed. Uiteraard is dat ongeveer net zoiets als zeggen dat koorddansen over de Niagarawaterval zonder vangnet OK is, zolang je maar let op je evenwicht -- schrale troost.

Ik ben toevallig erg tevreden met de exploit omdat de fix van Chainfire mijn nieuwe Note II nu zonder gedoe geroot heeft samen met een patch voor de exploit zelf. Twee vliegen in één klap. Maar was die fix er niet geweest, dan zou ik domweg geen software geïnstalleerd hebben tot het lek gedicht was, ook niet uit de store. (Technisch gezien, als de fix van Chainfire zelf een bug bevat of Chainfire achteraf evil blijkt te zijn heb ik natuurlijk nog steeds pech gehad.)

Het had Samsung gesierd (maar is commercieel vast niet interessant) om zijn klanten aan te raden geen apps en geen updates voor apps te installeren tot het gefixt is, en auto-updates voor apps uit te zetten. Zo ernstig is het namelijk wel.

[Reactie gewijzigd door MneoreJ op 19 december 2012 22:22]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013