Samsung komt binnen enkele dagen met fix voor toetsenbordlek

Samsung komt binnen enkele dagen met een update via zijn beveiligingssoftware Knox, wat het beveiligingslek in zijn toetsenbord moet repareren. Dat meldde Swiftkey, de maker van de technologie achter het onscreen-toetsenbord.

Samsung begint binnen enkele dagen met de 'policy update' voor Knox, wat exploitatie van het lek onmogelijk moet maken, meldde Swiftkey in een blogpost die inmiddels offline is, maar die Google nog wel in zijn cache heeft staan. Waarom de blogpost offline is, is onbekend.

Het lek kwam eerder deze week naar buiten, toen een Canadees beveiligingsbedrijf informatie erover naar buiten bracht. Volgens het beveiligingsbedrijf zijn er mogelijk tot zeshonderd miljoen gebruikers van Samsung-apparaten kwetsbaar. De exploit is echter niet eenvoudig, omdat gebruikers verbonden moeten zijn met een gekraakt wifi-netwerk, terwijl het toetsenbord op dat moment ook een update voor een taal gepusht moet krijgen.

Met de update voor Knox passeert Samsung providers, die een update van de hele firmware zouden moeten goedkeuren. Samsung zelf zou de fix al sinds begin dit jaar klaar hebben. Dat maakt het onwaarschijnlijk dat gebruikers in de Benelux lang kwetsbaar zijn geweest, omdat Samsung hier weinig 'providertoestellen' verkoopt. Dat is anders in Noord-Amerika, waar vrijwel elke verkochte Samsung firmware van een provider heeft. Sinds de fix klaar is, heeft Samsung veel toestellen al een update gegeven, bijvoorbeeld naar Android 5.0. Het ligt voor de hand dat de fix onderdeel is geweest van dergelijke updates.

Swiftkey claimt dat de toetsenborden die in de Play Store en App Store staan niet zijn getroffen door het lek. Dat maakt het waarschijnlijk dat het beveiligingsgat is ontstaan doordat het Samsung-toetsenbord op eigen toestellen meer permissies heeft dan toetsenborden van derden, terwijl de technologie van Swiftkey daar geen rekening mee houdt.

Lees meer

Reacties (34)

SamuraiP1zzaCat 18 juni 2015 08:54

Maar wat voor lek, ik kan dat nergens terugvinden? Wat kan er gebeuren als ik op een gekraakt wifi netwerk zit, en een taal update gepushed krijg?

Prulleman @SamuraiP1zzaCat • 18 juni 2015 08:57

nieuws: Smartphones miljoenen gebruikers mogelijk kwetsbaar door lek toetsenbord Samsung
hier staat meer beschreven (maar nog niet heel veel)

staat knox overigens op alle samsung toestellen (of in ieder geval op alle toestellen met deze bug?)

Biersteker @Prulleman • 18 juni 2015 11:37

Het staat hier behoorlijk uitgebreid beschreven: https://www.nowsecure.com...m-user-on-samsung-phones/

tldr:
- SwiftKey draait als system user
- Door het netwerkverkeer af te tappen, zaggen ze een simple GET die unencrypted was. ( GET http://skslm.swiftkey.net...nloads/v1.3-USA/az_AZ.zip ). Die extracted werd door system user.
- Door het zipje te modificeren dmv een mitmproxy werd duidelijk dat er een tweede request was:
GET http://skslm.swiftkey.net....3-USA/languagePacks.json deze bevat de checksums voor az_AZ.zip.
- Door zelf een manifest en een gemodificeert zipje te maken, en via een arp attack swiftkey.net omleid naar je eigen server. Kan je dus een payload op iemands telefoon krijgen, als system user.

Daarna gebruikt hij de toegang van group system, om zijn payload aan FactoryTestBroadcastReceiver te hangen, die kennelijk gecalled word na een reboot.

Maar je hostfiles aanpassen met 127.0.0.1 http://skslm.swiftkey.net lijkt voor nu afdoende te zijn.

Jester-NL 18 juni 2015 08:57

De update komt via Knox...
Err... ja.. dat is zo'n moloch van een pakket dat je gratis van Samsung krijgt... of je wilt of niet. Moet ik nu eerst dat ongewwenste gedrocht gaan activeren om deze patch te krijgen (ongewenste optie 1), of pushen ze hem via mijn niet geactiveerde Knox (ongewenste optie2)?

Gadgeteer @Jester-NL • 18 juni 2015 09:26

@Jester
Je hebt er zelf voor gekozen iets niet te activeren... klaag dan niet dat je de update niet krijgt.

Samsung heeft het al een tijd geleden opgelost in een software update die nog niet door iedere provider is uitgerold, klaag dan bij je provider. Samsung probeert nu op deze manier alsnog te zorgen dat mensen de update krijgen zonder afhankelijk te zijn van een provider, ik waardeer zo'n extra gebaar juist wel.

Verwijderd 18 juni 2015 08:57

Dat maakt het waarschijnlijk dat het beveiligingsgat is ontstaan, omdat het Samsung-toetsenbord op eigen toestellen meer permissies heeft dan toetsenborden van derden, terwijl de technologie van Swiftkey daar geen rekening mee houdt.

Juist een app als een toetsenbord moet niet allerlei randzaken mogen doen wat mij betreft.

Waarom moet Samsung's keyboard meer permissies hebben dan die van Swiftkey voor dezelfde functionaliteit?

CivLord

@Verwijderd • 18 juni 2015 11:16

Misschien om het onmogelijk te maken om andere toetsenborden te gebruiken bij het invoeren van bepaalde wachtwoorden. Om te voorkomen dat wachtwoorden onderschept worden via een alternatief toetsenbord.

BèR 18 juni 2015 09:12

Mooi bedacht, fijn dat er actie ondernomen wordt.
Is ondertussen wel al duidelijk welke toestellen affected zijn door de kwetsbaarheid? Mijn Ace 2 (2012/2013) heeft bijvoorbeeld geen Knox maar het stock keyboard lijkt wel erg op dat uit bovenstaand screenshot. Vallen mensen zonder Knox tussen wal en schip?

Verwijderd @BèR • 18 juni 2015 09:49

Mooi bedacht, fijn dat er actie ondernomen wordt.
Is ondertussen wel al duidelijk welke toestellen affected zijn door de kwetsbaarheid? Mijn Ace 2 (2012/2013) heeft bijvoorbeeld geen Knox maar het stock keyboard lijkt wel erg op dat uit bovenstaand screenshot. Vallen mensen zonder Knox tussen wal en schip?

Volgens de lijst is je smartphone niet kwetsbaar.

Zapato @Verwijderd • 18 juni 2015 09:53

Not all-inclusive, dus je hebt niet zo veel aan die lijst.

Halo_Master 18 juni 2015 15:02

Ik vind wel dat Samsung verantwoordelijk is voor de communicatie over de bug , wie het betreft en het oplossen daarvan. Als ik alle Posts lees is dat in ieder geval erg onduidelijk.

eheijnen 18 juni 2015 08:49

Hoe zit het eigenlijk met alternatieve roms zoals Cyanogen etc ?

Auteur

arnoudwokke Redacteur Tweakers @eheijnen • 18 juni 2015 08:50

Die hebben het Samsung-toetsenbord niet aan boord en zijn dus niet kwetsbaar

Verwijderd @arnoudwokke • 18 juni 2015 09:17

Huh? Het gaat hier toch om een door-sommige-providers-aangepaste-Samsung-image met pre-installed Switfkey toetsenbord?

Verwijderd @Verwijderd • 18 juni 2015 09:45

Huh? Het gaat hier toch om een door-sommige-providers-aangepaste-Samsung-image met pre-installed Switfkey toetsenbord?

Dat zijn geen "alternatieve roms zoals Cyanogen" maar puur aangepaste firmware voor providers. De Samsung firmware met aangepaste logos, branding en bloatware.

Verwijderd @Verwijderd • 18 juni 2015 10:08

Ik heb ook nooit beweerd dat het om een alternatieve rom gaat. Ik beweer dat het niet om het Samsung-toetsenbord gaat, maar om het Swiftkey toetsenbord... althans, de aanwezigheid daarvan, die door een aantal providers is geforceerd.
Het is natuurlijk leuk dat Swiftkey Samsung weer de schuld geeft met een of andere permissie-smoes, maar waarom is mijn toestel dan niet kwetsbaar met datzelfde Samsung toetsenbord en evenveel permissies? Ben geen expert, maar 't klinkt absoluut niet logisch.

Verwijderd @Verwijderd • 18 juni 2015 10:40

Ik heb ook nooit beweerd dat het om een alternatieve rom gaat. Ik beweer dat het niet om het Samsung-toetsenbord gaat, maar om het Swiftkey toetsenbord... althans, de aanwezigheid daarvan, die door een aantal providers is geforceerd.
Het is natuurlijk leuk dat Swiftkey Samsung weer de schuld geeft met een of andere permissie-smoes, maar waarom is mijn toestel dan niet kwetsbaar met datzelfde Samsung toetsenbord en evenveel permissies? Ben geen expert, maar 't klinkt absoluut niet logisch.

Zie: No, It’s Samsung, Not Swiftkey, That Is To Blame For This Keyboard Security Scare

It absolutely does not affect SwiftKey’s app on Google Play or the Apple App Store.

Here’s the bottom-line: our sources have told us that Samsung “screwed up” how they implemented Swiftkey’s SDK into their keyboard. Why? because they crazily gave the keyboard system level permissions.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:49]

Verwijderd @Verwijderd • 18 juni 2015 11:27

Ja. En dit artikel begint met:

Swiftkey is not to blame here and vulnerability is unrelated to SwiftKey’s consumer apps on Google Play and the Apple App Store. So your Swiftkey app has nothing to do with this story.

Yes, it supplies Samsung with the core technology that powers the word predictions in their keyboard.

Dit hint er sterk op, dat er geen sprake is van een Swiftkey keyboard, maar dat Swiftkey technology is geïntegreerd in Samsung's eigen keyboard.

Verder wordt gerefereerd naar dit artikel, waarin staat:

The Swift keyboard comes pre-installed on Samsung devices and cannot be disabled or uninstalled. Even when it is not used as the default keyboard, it can still be exploited.

Hierin staat weer dat er wel degelijk sprake is van een apart geïnstalleerde app (ja, ik weet het, die is niet afkomstig uit de Play-store, maar is er door een aantal providers opgezet).
Hopelijk begrijp je m'n verwarring.

witte1985 18 juni 2015 09:05

Dus dit kunnen ze dan wel zo snel mogelijk fixen?
Maar de memory bug in galaxy s6, en de 'per ongeluk' onderclockte gpu in de octa core note 4... laat die grote problemen maar even links liggen...

Fly-guy

@witte1985 • 18 juni 2015 09:44

Afgezien van het feit dat die bugs inderdaad wel eens gefixed mogen worden, ik hoop dat jij toch ook wel inziet dat een wat trage GPU een lagere prioriteit heeft dan een bug waardoor kwaadwillenden toegang hebben tot miljoenen telefoons..

Z80 @witte1985 • 18 juni 2015 09:46

dat memory probleem zit niet bij Samsung maar bij Google. Samsung kan hier NIETS aan doen. je klaagt dus bij de verkeerde partij.

witte1985 @Z80 • 18 juni 2015 11:00

Das wel behoorlijk makkelijk he. De schuld doorschuiven.
Android is opensource, dus samsung kan het fixen en bijdragen aan aosp.
Of de schuld op google schuiven en achter de schermen werken aan Tizen.

brain75 @witte1985 • 18 juni 2015 16:13

Samsung is hier inderdaad eindverantwoordelijk voor: je koopt tenslotte een Samsung-toestel. Dat Android opensource is doet er niet toe: Samsung levert een toestel met een OS erop dus moeten ze zorgen voor een redelijke en billijke ondersteuning.

Z80 @witte1985 • 18 juni 2015 12:32

elke smartfoon fabrikant heeft last van deze bug. als het makkelijk op te lossen was in een gedeelte waar iedereen bij kan was de bug reeds opgelost.
echter het is niet bekend waar de bug zit. en of dit gedeelte ook opensource is.
als de bug bv in een module van google-play zit kan niemand het oplossen enkel google.

ik schuif de schuld niet door. ik geef alleen aan dat klagen over de memory bug bij Samsung aan het verkeerde adres is.

brain75 @Z80 • 18 juni 2015 16:12

Nee hoor. Je koopt het toestel van Samsung en is Samsung dus verantwoordelijk voor een goede en correcte werking van het toestel. Dat Samsung ervoor kiest Android als OS te gebruiken en een toetsenbord o.b.v. Swiftkey ontslaat ze niet van de genoemde verantwoordelijkheid.

Btw: elke smartphone-fabrikant heeft hier last van? Ik neem aan dat je alleen de fabrikanten bedoeld die Android-toestellen maken?

Caresser 18 juni 2015 08:50

Wel toevallig dat ik vanochtend een update heb gehad van Swiftkey...

brightvalve 18 juni 2015 09:42

Al de tweede keer dat Tweakers naar NowSecure refereert als een Canadees beveiligingsbedrijf. Ze zijn gevestigd in Chicago.

Compunologist 18 juni 2015 09:46

Sinds de fix klaar is, heeft Samsung veel toestellen al een update gegeven, bijvoorbeeld naar Android 5.0. Het ligt voor de hand dat de fix onderdeel is geweest van dergelijke updates.

Begrijp ik nou goed dat toestellen met Android 5.0 niet kwetsbaar zijn of is dit meer wishful thinking van de redactie?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: