Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Samsung komt binnen enkele dagen met een update via zijn beveiligingssoftware Knox, wat het beveiligingslek in zijn toetsenbord moet repareren. Dat meldde Swiftkey, de maker van de technologie achter het onscreen-toetsenbord.

Samsung toetsenbordSamsung begint binnen enkele dagen met de 'policy update' voor Knox, wat exploitatie van het lek onmogelijk moet maken, meldde Swiftkey in een blogpost die inmiddels offline is, maar die Google nog wel in zijn cache heeft staan. Waarom de blogpost offline is, is onbekend.

Het lek kwam eerder deze week naar buiten, toen een Canadees beveiligingsbedrijf informatie erover naar buiten bracht. Volgens het beveiligingsbedrijf zijn er mogelijk tot zeshonderd miljoen gebruikers van Samsung-apparaten kwetsbaar. De exploit is echter niet eenvoudig, omdat gebruikers verbonden moeten zijn met een gekraakt wifi-netwerk, terwijl het toetsenbord op dat moment ook een update voor een taal gepusht moet krijgen.

Met de update voor Knox passeert Samsung providers, die een update van de hele firmware zouden moeten goedkeuren. Samsung zelf zou de fix al sinds begin dit jaar klaar hebben. Dat maakt het onwaarschijnlijk dat gebruikers in de Benelux lang kwetsbaar zijn geweest, omdat Samsung hier weinig 'providertoestellen' verkoopt. Dat is anders in Noord-Amerika, waar vrijwel elke verkochte Samsung firmware van een provider heeft. Sinds de fix klaar is, heeft Samsung veel toestellen al een update gegeven, bijvoorbeeld naar Android 5.0. Het ligt voor de hand dat de fix onderdeel is geweest van dergelijke updates.

Swiftkey claimt dat de toetsenborden die in de Play Store en App Store staan niet zijn getroffen door het lek. Dat maakt het waarschijnlijk dat het beveiligingsgat is ontstaan doordat het Samsung-toetsenbord op eigen toestellen meer permissies heeft dan toetsenborden van derden, terwijl de technologie van Swiftkey daar geen rekening mee houdt.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (34)

Maar wat voor lek, ik kan dat nergens terugvinden? Wat kan er gebeuren als ik op een gekraakt wifi netwerk zit, en een taal update gepushed krijg?
nieuws: Smartphones miljoenen gebruikers mogelijk kwetsbaar door lek toetsenbord Samsung
hier staat meer beschreven (maar nog niet heel veel)

staat knox overigens op alle samsung toestellen (of in ieder geval op alle toestellen met deze bug?)
Het staat hier behoorlijk uitgebreid beschreven: https://www.nowsecure.com...m-user-on-samsung-phones/

tldr:
- SwiftKey draait als system user
- Door het netwerkverkeer af te tappen, zaggen ze een simple GET die unencrypted was. ( GET http://skslm.swiftkey.net...nloads/v1.3-USA/az_AZ.zip ). Die extracted werd door system user.
- Door het zipje te modificeren dmv een mitmproxy werd duidelijk dat er een tweede request was:
GET http://skslm.swiftkey.net....3-USA/languagePacks.json deze bevat de checksums voor az_AZ.zip.
- Door zelf een manifest en een gemodificeert zipje te maken, en via een arp attack swiftkey.net omleid naar je eigen server. Kan je dus een payload op iemands telefoon krijgen, als system user.

Daarna gebruikt hij de toegang van group system, om zijn payload aan FactoryTestBroadcastReceiver te hangen, die kennelijk gecalled word na een reboot.

Maar je hostfiles aanpassen met 127.0.0.1 http://skslm.swiftkey.net lijkt voor nu afdoende te zijn.
De update komt via Knox...
Err... ja.. dat is zo'n moloch van een pakket dat je gratis van Samsung krijgt... of je wilt of niet. Moet ik nu eerst dat ongewwenste gedrocht gaan activeren om deze patch te krijgen (ongewenste optie 1), of pushen ze hem via mijn niet geactiveerde Knox (ongewenste optie2)?
@Jester
Je hebt er zelf voor gekozen iets niet te activeren... klaag dan niet dat je de update niet krijgt.

Samsung heeft het al een tijd geleden opgelost in een software update die nog niet door iedere provider is uitgerold, klaag dan bij je provider. Samsung probeert nu op deze manier alsnog te zorgen dat mensen de update krijgen zonder afhankelijk te zijn van een provider, ik waardeer zo'n extra gebaar juist wel.
Dat maakt het waarschijnlijk dat het beveiligingsgat is ontstaan, omdat het Samsung-toetsenbord op eigen toestellen meer permissies heeft dan toetsenborden van derden, terwijl de technologie van Swiftkey daar geen rekening mee houdt.
Juist een app als een toetsenbord moet niet allerlei randzaken mogen doen wat mij betreft.

Waarom moet Samsung's keyboard meer permissies hebben dan die van Swiftkey voor dezelfde functionaliteit?
Misschien om het onmogelijk te maken om andere toetsenborden te gebruiken bij het invoeren van bepaalde wachtwoorden. Om te voorkomen dat wachtwoorden onderschept worden via een alternatief toetsenbord.
Mooi bedacht, fijn dat er actie ondernomen wordt.
Is ondertussen wel al duidelijk welke toestellen affected zijn door de kwetsbaarheid? Mijn Ace 2 (2012/2013) heeft bijvoorbeeld geen Knox maar het stock keyboard lijkt wel erg op dat uit bovenstaand screenshot. Vallen mensen zonder Knox tussen wal en schip?
Mooi bedacht, fijn dat er actie ondernomen wordt.
Is ondertussen wel al duidelijk welke toestellen affected zijn door de kwetsbaarheid? Mijn Ace 2 (2012/2013) heeft bijvoorbeeld geen Knox maar het stock keyboard lijkt wel erg op dat uit bovenstaand screenshot. Vallen mensen zonder Knox tussen wal en schip?
Volgens de lijst is je smartphone niet kwetsbaar.
Not all-inclusive, dus je hebt niet zo veel aan die lijst.
Ik vind wel dat Samsung verantwoordelijk is voor de communicatie over de bug , wie het betreft en het oplossen daarvan. Als ik alle Posts lees is dat in ieder geval erg onduidelijk.
Hoe zit het eigenlijk met alternatieve roms zoals Cyanogen etc ?
Die hebben het Samsung-toetsenbord niet aan boord en zijn dus niet kwetsbaar :)
Huh? Het gaat hier toch om een door-sommige-providers-aangepaste-Samsung-image met pre-installed Switfkey toetsenbord?
Huh? Het gaat hier toch om een door-sommige-providers-aangepaste-Samsung-image met pre-installed Switfkey toetsenbord?
Dat zijn geen "alternatieve roms zoals Cyanogen" maar puur aangepaste firmware voor providers. De Samsung firmware met aangepaste logos, branding en bloatware.
Ik heb ook nooit beweerd dat het om een alternatieve rom gaat. Ik beweer dat het niet om het Samsung-toetsenbord gaat, maar om het Swiftkey toetsenbord... althans, de aanwezigheid daarvan, die door een aantal providers is geforceerd.
Het is natuurlijk leuk dat Swiftkey Samsung weer de schuld geeft met een of andere permissie-smoes, maar waarom is mijn toestel dan niet kwetsbaar met datzelfde Samsung toetsenbord en evenveel permissies? Ben geen expert, maar 't klinkt absoluut niet logisch.
Ik heb ook nooit beweerd dat het om een alternatieve rom gaat. Ik beweer dat het niet om het Samsung-toetsenbord gaat, maar om het Swiftkey toetsenbord... althans, de aanwezigheid daarvan, die door een aantal providers is geforceerd.
Het is natuurlijk leuk dat Swiftkey Samsung weer de schuld geeft met een of andere permissie-smoes, maar waarom is mijn toestel dan niet kwetsbaar met datzelfde Samsung toetsenbord en evenveel permissies? Ben geen expert, maar 't klinkt absoluut niet logisch.
Zie: No, It’s Samsung, Not Swiftkey, That Is To Blame For This Keyboard Security Scare
It absolutely does not affect SwiftKey’s app on Google Play or the Apple App Store.

Here’s the bottom-line: our sources have told us that Samsung “screwed up” how they implemented Swiftkey’s SDK into their keyboard. Why? because they crazily gave the keyboard system level permissions.

[Reactie gewijzigd door worldcitizen op 18 juni 2015 10:41]

Ja. En dit artikel begint met:
Swiftkey is not to blame here and vulnerability is unrelated to SwiftKey’s consumer apps on Google Play and the Apple App Store. So your Swiftkey app has nothing to do with this story.

Yes, it supplies Samsung with the core technology that powers the word predictions in their keyboard.
Dit hint er sterk op, dat er geen sprake is van een Swiftkey keyboard, maar dat Swiftkey technology is geďntegreerd in Samsung's eigen keyboard.

Verder wordt gerefereerd naar dit artikel, waarin staat:
The Swift keyboard comes pre-installed on Samsung devices and cannot be disabled or uninstalled. Even when it is not used as the default keyboard, it can still be exploited.
Hierin staat weer dat er wel degelijk sprake is van een apart geďnstalleerde app (ja, ik weet het, die is niet afkomstig uit de Play-store, maar is er door een aantal providers opgezet).
Hopelijk begrijp je m'n verwarring.
Dus dit kunnen ze dan wel zo snel mogelijk fixen?
Maar de memory bug in galaxy s6, en de 'per ongeluk' onderclockte gpu in de octa core note 4... laat die grote problemen maar even links liggen... :(
Afgezien van het feit dat die bugs inderdaad wel eens gefixed mogen worden, ik hoop dat jij toch ook wel inziet dat een wat trage GPU een lagere prioriteit heeft dan een bug waardoor kwaadwillenden toegang hebben tot miljoenen telefoons..
dat memory probleem zit niet bij Samsung maar bij Google. Samsung kan hier NIETS aan doen. je klaagt dus bij de verkeerde partij.
Das wel behoorlijk makkelijk he. De schuld doorschuiven.
Android is opensource, dus samsung kan het fixen en bijdragen aan aosp.
Of de schuld op google schuiven en achter de schermen werken aan Tizen.
Samsung is hier inderdaad eindverantwoordelijk voor: je koopt tenslotte een Samsung-toestel. Dat Android opensource is doet er niet toe: Samsung levert een toestel met een OS erop dus moeten ze zorgen voor een redelijke en billijke ondersteuning.
elke smartfoon fabrikant heeft last van deze bug. als het makkelijk op te lossen was in een gedeelte waar iedereen bij kan was de bug reeds opgelost.
echter het is niet bekend waar de bug zit. en of dit gedeelte ook opensource is.
als de bug bv in een module van google-play zit kan niemand het oplossen enkel google.

ik schuif de schuld niet door. ik geef alleen aan dat klagen over de memory bug bij Samsung aan het verkeerde adres is.
Nee hoor. Je koopt het toestel van Samsung en is Samsung dus verantwoordelijk voor een goede en correcte werking van het toestel. Dat Samsung ervoor kiest Android als OS te gebruiken en een toetsenbord o.b.v. Swiftkey ontslaat ze niet van de genoemde verantwoordelijkheid.

Btw: elke smartphone-fabrikant heeft hier last van? Ik neem aan dat je alleen de fabrikanten bedoeld die Android-toestellen maken? ;)
Wel toevallig dat ik vanochtend een update heb gehad van Swiftkey...
Al de tweede keer dat Tweakers naar NowSecure refereert als een Canadees beveiligingsbedrijf. Ze zijn gevestigd in Chicago.
Sinds de fix klaar is, heeft Samsung veel toestellen al een update gegeven, bijvoorbeeld naar Android 5.0. Het ligt voor de hand dat de fix onderdeel is geweest van dergelijke updates.
Begrijp ik nou goed dat toestellen met Android 5.0 niet kwetsbaar zijn of is dit meer wishful thinking van de redactie? :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True