Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties

Mogelijk 600 miljoen Samsung-smartphones zijn vatbaar voor een beveiligingsprobleem in het standaardtoetsenbord van de meegeleverde software. Ook gebruikers van het huidige vlaggenschip, de Galaxy S6, lopen risico.

Door een fout in het bijwerken van de toetsenbordsoftware van onder meer de Galaxy S4, S5 en S6 kunnen kwaadwillenden verschillende handelingen uitvoeren. Dankzij een man-in-the-middle-aanval kunnen zij onder meer de camera, de microfoon en de gps-sensor op afstand bedienen. Daarnaast kunnen ze malafide apps installeren zonder dat de gebruiker ervan weet.

En daar blijft het niet bij, waarschuwt de Canadese beveiligingsfirma NowSecure dinsdag na eigen onderzoek. Zo kunnen criminelen verder de werking van de apps op de telefoon beïnvloeden, gesprekken en berichten afluisteren en gevoelige informatie, zoals afbeeldingen en tekstberichten, buitmaken.

Het omvangrijke beveiligingsprobleem treft mogelijk 600 miljoen smartphones. NowSecure zegt eind vorig jaar Samsung al te hebben ingelicht. Ook de Amerikaanse beveiligingsinstantie US-CERT en Googles Android-beveiligingsteam zijn op de hoogte gebracht 'gezien de schaal van het probleem', aldus de firma.

Samsung is begin dit jaar begonnen met het uitrollen van een patch, maar NowSecure meent dat niet alle providers de patch al hebben aangeboden via hun netwerk. Dit is wel noodzakelijk voor de bezitters van een Samsung-toestel om beveiligd te zijn, omdat het toetsenbord niet kan worden uitgezet en niet eenvoudig kan worden verwijderd.

NowSecure, dat beweert dat het virtuele toetsenbord ook kan worden misbruikt als het niet als standaard keyboard wordt gebruikt, publiceerde dinsdag een lijst van telefoons en providers die in ieder geval kwetsbaar zijn. Daar staan geen Nederlandse en Belgische telco's tussen, hoewel het niet is uit te sluiten dat die niet kwetsbaar zijn. Volgens NowSecure speelt het beveiligingsprobleem namelijk wereldwijd.

Samsung-gebruikers die willen uitsluiten dat hun standaardtoetsenbord kan worden misbruikt, kunnen verschillende maatregelen nemen. Ten eerste moeten ze onveilige wifi-netwerken vermijden en daar dus nooit verbinding mee maken. Daarnaast raadt het Canadese beveiligingsbedrijf Samsung-gebruikers aan contact te zoeken met hun providers. Ten slotte kunnen ze, als het toetsenbord nog niet is gepatcht, zekerheidshalve een ander toestel gebruiken.

Moderatie-faq Wijzig weergave

Reacties (98)

Ten slotte kunnen ze, als het toetsenbord nog niet is gepatcht, zekerheidshalve een ander toestel gebruiken.
Ja, dat heeft nog nut, krap half jaar later.

Maar hoe het dus werkt:
The attack vector for this vulnerability requires an attacker capable of modifying upstream traffic. This can include geographically proximate attacks such as rogue Wi-Fi access points or cellular base stations, or attacks from local users on a network, including ARP poisoning. Fully remote attacks are also feasible via DNS Hijacking, packet injection, a rogue router or ISP, etc.
Dus het is een kwestie van het verkeer wat terug gaat richting de phone aan te passen, die manier kunnen ze dus daar binnen komen. Maar als jij nooit Wifi gebruikt, dan is het toch in principe niet mogelijk? Of ze moeten zelfs het verkeer van 3/4G van je provider zelf onderscheppen? Of maakt jouw telefoon standaard verbinding met zo'n femtocell (heet dat zoiets?) als dat in de buurt is, in plaats van een 4G mast?

[Reactie gewijzigd door SinergyX op 16 juni 2015 18:02]

[...]
Dus het is een kwestie van het verkeer wat terug gaat richting de phone aan te passen, die manier kunnen ze dus daar binnen komen. Maar als jij nooit Wifi gebruikt, dan is het toch in principe niet mogelijk? Of ze moeten zelfs het verkeer van 3/4G van je provider zelf onderscheppen? Of maakt jouw telefoon standaard verbinding met zo'n femtocell (heet dat zoiets?) als dat in de buurt is, in plaats van een 4G mast?
Ongeacht de netwerktoegangstechnologie kan 't ook gewoon bij de server vandaan komen he.
Mobiel verkeer onderscheppen en daar een MITM aanval uitvoeren is niet denderend moeilijk. Beetje geld en vrije tijd en menig Tweaker moet dat wel lukken.
Als de doelgroep ook nog eens 0,6 miljard telefoons groot is. Is het daarnaast ook al snel lucratief. Je keyboard is alles op je telefoon, daarmee voer je je wachtwoorden in, maar typ je ook je meest belangrijke of intieme whatsappjes.

De methode om dit gaat te misbruiken is daarnaast ook bijzonder eenvoudig. Al is deze Hack fabrikant specifiek, is het zeker niet de eerste grote Security-failure op android. Hier komen ze er niet meer in iig. Ik heb meer vertrouwen en prettigere ervaringen met Windows, Jolla Sailfish, bb-os, Ubuntu en andere linux distributies. Veiligheid en controle over je eigen apparaten is belangrijk
Ik ben bang dat er nog duizenden lekken en gaten zijn in verschillende (populaire) systemen en smartphones waarvan het grootste deel vrijwel nooit gevonden gaat worden en een ander deel er met opzet door veiligheidsdiensten in is gebouwd.

Daarbij zijn er individuen die op de hoogte zijn van verschillende zwaktes die zij ongezien kunnen gebruiken, zo nu en dan verkopen ze ze ook op de zwarte markt. De waardevolste hacks zijn hacks waarvan het publiek nooit zal horen aangezien die onder de tafel worden afgehandeld tussen partijen of nooit naar buiten worden gebracht om angst voor verlies van vertrouwen.

Veiligheidsdiensten en criminelen beschikken al over software en hardware om men via het stroomnet af te luisteren aangezien systemen specifieke signalen afgeven die kunnen worden opgepikt en omgezet naar bruikbare informatie voor de aanvaller.

Telefoons... tja dat zijn in feite trackers met belfunctie (al kunnen hedendaagse telefoon nog veel meer), verschillende technieken maken het mogelijk om een telefoon te volgen of het nou gebeurt op de telefoon zelf door bij het activeren en downloaden van GPS data of door het signaal van een telefoon te trianguleren.

Bottom line, digitale privacy stopte te bestaan toen de normale persoon stopte te begrijpen hoe een computer of telefoonsysteem precies werkt, het zijn zulke enorm ingewikkelde soft- en hardware systemen geworden dat vrijwel niemand meer precies weet hoe de verschillende lagen precies functioneren waardoor het mogelijk word om achterdeuren en hacks te verbergen in de bergen code die elk systeem nodig heeft om te kunnen draaien (en tot de source code hebben nog minder mensen toegang).

Beveiliging blijft een fascinerend iets, is digitale veiligheid nog steeds mogelijk? Voor een mooi bedrag kunnen er zeker bijzonder effectieve systemen geleverd worden die goede veiligheid bieden, helaas is het voor een regulieren Android of iOS telefoon niet realistisch om te denken dat er echt goede veiligheid mogelijk is gezien het aantal partijen dat gemoeid is bij de bouw en het onderhoud van deze OS'en (en dan hebben we het nog niet een gehad over de hardware).

Zelf geloof ik niet dat echte digitale privacy voor een "normaal" persoon mogelijk is, natuurlijk zijn er uitzonderingen maar de meeste mensen houden zich er niet mee bezig, de informatie die de "normale" persoon uitwisselt is interessant voor commerciŰle doeleinden maar voor veiligheidsdiensten niet relevant, deze zal dan ook simpelweg door het net van de filters heen vallen, de professionele crimineel of terrorist zal het internet al jaren niet meer gebruiken voor werkelijke gevoelige informatie zodat alleen de kleine criminaliteit in het net blijft hangen over het algemeen.
Ik heb een s4 mini, is het mogelijk om aan een versie of build nummer te zien of je risco loopt?
Bij een branded toestel: Provider bellen.
Bij Vodafone is de patch nog NIET uitgerold.
Bij een non-branded toestel 0900-SAMSUNG bellen. Daar kunnen ze adhv je broadbandnummer (te vinden bij Instellingen >Toestel info) vaststellen of je al gepatched bent. Mijn unbranded Galaxy s6 64 gb is inmiddels "geholpen".
Vermoedelijk niet. Het zit in het keyboard van de Samsung telefoons. Volgens mij is dit gewoon een aparte applicatie die wordt meegeleverd met je OS.
Tenzij natuurlijk het buildnr of versienr wordt gebumpt bij het doorpushen van een nieuw toetsenbord versie'tje.
nee er is geen manier behalve door het zelf uit te probreren op je pc
uitleg om het te proberen:
https://www.nowsecure.com...m-user-on-samsung-phones/
Als S5 gebruiker, maar natuurlijk ook voor andere gebruikers, zou ik graag willen kunnen checken of mijn telefoon nog vatbaar is, wanneer er gepatched is of zal worden EN of ik slachtoffer ben/was/word...
Ik mag hopen dat Samsung er openlijk over gaat communiceren!
Let maar op, binnen een week staan er 100 apps in de appstore, die je vertellen dat je toestel veilig is .... of niet.

Achter deze berichten komt vaak een stortvloed aan apps tevoorschijn die je wel wil helpen ( al is het alleen maar van de wal in de sloot )
Er is een patch uitgebracht :)
Wat ik eigenlijk een beetje mis: "hoe" dit precies in werking gaat? Door sowieso al twijfelachtige apps te installeren via de store of bijv. door packet injection?
Het staat al deels in de technische omschrijving: een crimineel moet een slachtoffer eerst overhalen om invloed en zicht te hebben in de upstream data en vervolgens moet je dat nog zodanig weten in te zetten dat het past op de kwetsbaarheid.
hier staat een hele uitleg hoe je het kan exploiten:
https://www.nowsecure.com...m-user-on-samsung-phones/
Wat draag je aan als alternatief dan? Wanneer je wat meer wensen hebt dan iOS?
Nou....ehmmm....wat zijn nu goede zakelijke toestellen? BlackBerry bijvoorbeeld? En nu niet komen met dat de app-store niet gevuld is: je kan gewoon APK's draaien, het heeft met afstand de beste communicatie-oplossing aan boord (de Hub).

Daarnaast snap ik de algeheel heersende trend niet dat medewerkers alle apps maar mogen draaien. Als die smartphone toegang heeft tot bedrijfsdiensten of bedrijfscommunicatie hoort die mobiel HELEMAAL DICHT te staan. Dus geen app-store e.d. Veilgheid, privacy en productie draaien. Al het andere is complete onzin op een bedrijfsmobiel....
Beheer account er op en de betreffende services disablen.
kijk maar eens goed naar dat logo van LCP :P
Omdat je gewoon een hekel hebt aan Android en omdat een merk al meer telefoons heeft gemaakt dan alle Windows Phones bij elkaar? Vergis je niet, dit was bij WP ook mogelijk geweest als er tientallen leveranciers geweest waren die gecustomizede WP's op de markt brachten.
En dat zal dus misschien ook een van de redenen zijn dat Microsoft dat niet toestaat ;)
Altijd dat maar dat Windows bashen. Zijn ze perfect? Nee, maar van MS krijg ik wel elke dinsdag patches. Volgens dit beveiliginsbedrijf doet MS het zo slecht nog niet. Daar staat Apple 1 en 2.

http://www.gfi.com/blog/m...and-applications-in-2014/

Is dat lijstje heilig? Nee, op elke meet-methode zijn op-en aanmerkingen. Maar is het op zijn minst een indicatie dat de zaken vaak anders liggen dan iedereen maar loopt te roepen hier.
Windows Phone is een van de veiligste, zo niet allerveiligste mobiele OS van dit moment.

Windows op de desktop is inderdaad een ander verhaal, maar als je relatief kijkt naar het aantal echt gevaarlijke lekken in Windows 7 of 8.1 bijv. dan valt dat in het niet vergeleken met Android. Daarnaast zitten de Servers en Desktops bij bedrijven achter firewalls en zitten ze gekoppeld aan allerlei policies. Met Android is die mate van veiligheid gewoon niet te realiseren en dat is mijn hele punt.
Nou.....afgaande op je link gedeeltelijk correct. Hier worden alleen Windows Phone, Android en iOS bekeken. Dat WP daar de veiligste is geloof ik wel (Android is gewoon te open, iOS te gesloten en Apple heeft een lage patch-frequentie).

Was leuk geweest als BlackBerry ook was mee genomen. Bij veiligheid denk ik namelijk gelijk aan zakelijke toepassingen: het is dan wat vreemd als je het merk wat zich toelegt op de zakelijke markt niet mee neemt.
Wat ik zie in het gelinkte artikel is dat er aan het einde verwezen wordt naar Dalvik. Die is bij Lollipop toch vervangen door ART? Wellicht betekent dat dat de toestellen met Android 5.x minder kwetsbaar zijn?
Nee hoor. Je kunt files wegschrijven op alle plekken die het os ook kan schrijven. Er zijn vanaf dat moment meerdere aanvallen mogelijk. Ook art compileert, en ook dat zullen tussenbesyandjes te vervangen zijn.
Nogal suggestief miljoen 'slachtoffers'. Alsof criminelen ze meteen tot slachtoffer heeft gemaakt. miljoenen smartphones mogelijk kwetsbaar.
Je bent slachtoffer van een lek.
Ik vind de titel ook nogal tendentieus, alsof een zakelijk/feitelijke kop niet voldoende zou zijn...
Tegenwoordig worden er meer "verdraaide titels" gebruikt om meer pageviews te genereren. Het is immers logisch dat er veel meer mensen klikken op een bericht van miljoenen gebruikers kwetsbaar als dat er een bericht staat van mitm mogelijk tijdens upgrade van toetsenbordsoftware samsung toestellen.
Er heeft zelfs niemand de uitspraak gedaan die hier tussen quotes in de kop staat...
Ja, maar hier is er enkel nog maar spraken van de suggestie dat de toestellen kwetsbaar zijn, er is nog niet eens een slachtoffer geidentificeerd.
Nogal suggestief miljoen 'slachtoffers'. Alsof criminelen ze meteen tot slachtoffer heeft gemaakt. miljoenen smartphones mogelijk kwetsbaar.
Eens maar toch liever op deze manier een nieuwsbericht plaatsen en men wat wakkerschudden dan het bagatelliseren en afdoen alsof het niets is. Dat zie je helaas ook vaak genoeg waardoor het niet serieus genomen wordt en men niets doet aan het "probleem".

[Reactie gewijzigd door Typecast-L op 16 juni 2015 18:01]

Nieuws hoor je niet te maken, nieuws hoort te gaan over feiten. Feit is dat een of ander security bedrijfje dat graag aandacht wil een bericht heeft gemaakt over hun onderzoek rond een kwetsbaarheid die mogelijk veel hardware treft. Misbruik is mogelijk. Misbruik is ook mogelijk als ik weet ik veel wat aan software of hardware gebruik. Het punt is dat er nog geen misbruik gezien is en er ook niets bekend is hoe en of criminelen het gaan misbruiken. Dus er zijn nog geen slachtoffers en enkel potentieel nogal wat toestellen kwetsbaar.
Nieuws hoor je niet te maken, nieuws hoort te gaan over feiten.
Dat spreekt voor zich, ik geef alleen maar aan dat ik deze manier van berichtgeving de "lesser of two evils" vind.
Feit is dat een of ander security bedrijfje dat graag aandacht wil een bericht heeft gemaakt over hun onderzoek rond een kwetsbaarheid die mogelijk veel hardware treft. Misbruik is mogelijk. Misbruik is ook mogelijk als ik weet ik veel wat aan software of hardware gebruik. Het punt is dat er nog geen misbruik gezien is en er ook niets bekend is hoe en of criminelen het gaan misbruiken. Dus er zijn nog geen slachtoffers en enkel potentieel nogal wat toestellen kwetsbaar.
Nou doe je wel veel aannames en het wegzetten als "mogelijk". Dat bedoel ik dus met het bagatelliseren van een probleem. Je veegt het zo erg makkelijk onder het tapijt als een beetje aandachtzoekerij. Samsung heeft niet voor niets een patch hiervoor gemaakt. Het is dus niet mogelijk een kwetsbaarheid, dat er een kwetsbaarheid bestaat is een feit. Ik trek ook zeer in twijfel of het bedrijf dit enkel voor aandacht gedaan heeft. Als dat zo zou zijn, waarom wachten met het naar buiten brengen van dit lek als het al sinds eind vorig jaar bekend was? Het klopt dat er nog geen misbruik gezien is. Maar dat is toch ook juist de bedoeling van dit soort kwetsbaarheden? Een crimineel verdiend geld aan jou data dus die gaat echt niet van de daken roepen hoe hij dit doet en bij hoeveel mensen hij dit doet. Het zelfde geld voor het kunnen inzien van jou gevoelige data, het afluisteren, je webcam aansturen etc. Als dit lek misbruikt wordt door criminele organisaties, overheden, NSA en consorten of gewoon individuen dan zullen ze er alles aan doen om dit uit de media te houden want dan wordt het gepatched. Eigen glazen ingooien noemen ze dat. Dus omdat wij er nog niets van vernomen hebben zou ik het niet wegwuiven als iets wat niet bestaat en er dus niet zo veel bijzonders aan de hand is. Met alle berichtgeving van tegenwoordig over afluisterschandalen, data vergaring en doorverkoop vind ik je standpunt een tikkie na´ef.

[Reactie gewijzigd door Typecast-L op 16 juni 2015 18:36]

Als een onderzoeker een kwetsbaarheid ontdekt, die ook nog eens alleen uit te buiten is met bijkomende situaties die gewoonlijk al leiden tot erger misbruik (toegang tot netwerkverkeer van de gebruiker), dan vind ik het terecht om op te merken dat het niet suggestiever gemaakt moet worden dan het is.

Dat er aandacht nodig is voor kwetsbaarheden en de lakse houding van hardwarevendors en providers om kwetsbaarheden te verhelpen is een ander verhaal en dat valt of staat niet met dit bericht.
slachtoffer van een lek is niet hetzelfde als slachtoffer van een crimineel.
slachtoffer verwijst gewoonlijk naar misbruik, niet naar een situatie die mogelijk misbruik kan veroorzaken. In dat geval ben je 'kwetsbaar', geen slachtoffer.
Kan Tweakers niet bij de Nederlandse providers navragen of ze die update al hebben doorgezet?
Maar de grote vraag is natuurlijk; hoe valt dit te exploiteren? Als je bijvoorbeeld op 4G zit, loop je dan gevaar?
Op welke wijze kunnen kwaadwillende misbruik maken? Dat is voor mij een grote rol in de ernst van een lek.
Als het alleen plaats kan vinden via bepaalde netwerken, waarop de kwaadwillenden dan ook aangesloten moeten zijn, dan is het redelijk gering. Tenzij 4G etc daar ook toebehoort.

Graag zou ik dan ook een toevoeging daarvan zien, en van de Nederlandse telco's gaan vernemen wanneer zij de updates door gaan pushen die het lek verhelpen. Want er staat ook niet bij hoe wij als 'consument' zijnde ons hier tegen kunnen indekken / oplossen. Wanneer komt er een patch? Zijn er andere manieren van dit probleem te benaderen behalve met je telco bellen? (Behalve geen onveilige WiFi netwerken gebruiken?)

Tevens, lijkt mij, dat dit probleem dan niet geld voor de gebruikers die hun telefoon ge-root hebben Ún een custom rom draaien. Want daar is geen standaard Samsung toetsenbord op ge´nstalleerd(?).

[Reactie gewijzigd door Trucker Her op 16 juni 2015 18:04]

het valt te exploiteren door een mitm attack
https://www.nowsecure.com...m-user-on-samsung-phones/
en nee dat geld niet voor custom roms zonder swype
Ik wacht ook op het bericht van Vodafone en T-Mobile, KPN doet niks aan software en ik mag toch hopen dat Samsung dit al gefixt heeft voor de "unbranded" toestellen.
Dit klinkt ernstig, heb ik geluk dat ik het Samsung toetsenbord niets vind en deze dan ook niet op mijn S5 heb staan (helemaal niet aanwezig dus). Alleen is dit niet echt een oplossing voor de massa, dus is dit probleem wel gigantisch!

Als ik dat lijstje mag geloven gaat het dus om de S4 mini, S4, S5 en de S6 en niet lager, terwijl er misschien wel de mogelijkheid is dat dit wel het geval is. Is dit het geval, hoe gaat Samsung die problemen bij die telefoons dan patchen? Volgens mij ondersteunen ze die niet en zou voor de meeste mensen, als ik dit artikel mag geloven, hun telefoon onbruikbaar worden.... Groot imago probleem dit!

Hangt ook een beetje af hoe de update vorm gegeven gaat worden, wordt het een ROM update of een play store update? Is het het laatste, dan is het makkelijker op te lossen, is het het eerste, dan wordt het een groot probleem.

[Reactie gewijzigd door Koldur op 16 juni 2015 18:20]

als je goed gelezen had dat is er al een patch. alleen de providers moeten deze in de meeste gevallen nog door drukken.
Goed dat ik Cyanogenmod op mijn Samsung device ge´nstalleerd heb, heb ik hier in elk geval geen last van. Na installatie van Cyanogenmod ook veel sneller en stabieler geworden trouwens.
Ik kreeg encryptie niet werkend met CM op een Note2, daarom ben ik terug gegaan naar de stockrom.

Sowieso is een unlockte bootloader ook minder goede beveiliging.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True