Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mtp-lek maakte uitlezen bestanden van gelockte Samsung-smartphone mogelijk

Een lek in Samsungs implementatie van het media transfer protocol, oftewel mtp, maakte het mogelijk om via een usb-verbinding bestanden uit te lezen op een vergrendelde Samsung-smartphone. De fabrikant fikste het lek met de beveiligingsupdate van november.

Samsung-smartphones die de beveiligingsupdate van november niet hebben gehad, blijven kwetsbaar voor de exploit. Omdat het lek vermoedelijk veel modellen treft die de fabrikant tussen 2012 en 2017 heeft uitgebracht, bestaat de kans dat veel toestellen de patch niet of laat zullen ontvangen.

Het lek, dat ontdekker Salvatore Mesoraca MTPwn heeft genoemd, maakt gebruik van de wijzigingen die Samsung heeft aangebracht in het mtp-protocol, waarmee het mogelijk is om vanaf een desktop via usb bestanden uit te lezen en te wijzigen op een aangesloten apparaat.

Mesoraca claimt dat het lek werkt door een client te schrijven die een verzoek naar het apparaat stuurt om een lijst te maken van partities en file-id's. Samsung-smartphones die door de onderzoeker werden getest, voldeden aan dat verzoek. Dat gebeurde terwijl het scherm vergrendeld was.

De kwetsbaarheid is bruikbaar op Samsung-smartphones met Android 4.03 tot 7.1.2. De onderzoeker zegt dat hij de kwetsbaarheid niet op andere apparaten heeft aangetroffen, maar sluit niet uit dat het mogelijk is MTPwn te gebruiken op andere smartphones. De impact van het lek is beperkt, omdat het fysieke toegang tot een smartphone vereist.

Door Arnoud Wokke

Redacteur mobile

04-01-2018 • 10:54

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Ik vind de impact best groot, als je je telefoon kwijt raakt terwijl die nog aan staat zijn je bestanden dus niet veilig. Via de USB zijn al je gedownloade mail attachments, (prive)-fotos of andere gevoelige data dus zo op te halen. Locken met vingerafdruk of code is voor ongepatchte toestellen schijnveiligheid.
Ik hoop dat andere fabrikanten kritisch kijken naar hun eigen implementaties van MTP naar aanleiding van dit bericht. Ook als bedrijf zijnde zou ik er niet blij mee zijn te weten dat bedrijfsinformatie op een kwijt geraakte Samsung-telefoon van een tijdje geleden zo uit te lezen is.

[Reactie gewijzigd door Grannd op 4 januari 2018 12:00]

Ik vind de impact best groot
Yup. Tweakers zegt: "De impact van het lek is beperkt, omdat het fysieke toegang tot een smartphone vereist." maar dat is niet zo moeilijk. Je telefoon heb je bij je, en je waant dat hij veilig is als hij gelockt is, terwijl iemand hem dus blijkbaar uit kan lezen als jij even naar de toilet gaat. Bovendien kan iemand met remote toegang op de (eigen of vreemde) PC nu ook bij de data op die telefoon. Dat was voorheen niet het geval. Dus als de PC op je werk is gepwned en je laad je telefoon op via die PC, dan ben je mogelijk het zakje (vooral als het geautomatiseerd is via bijv een worm/virus oid).
Ik vind de impact best groot, als je je telefoon kwijt raakt terwijl die nog aan staat zijn je bestanden dus niet veilig. Via de USB zijn al je gedownloade mail attachments, (prive)-fotos of andere gevoelige data dus zo op te halen. Locken met vingerafdruk of code is voor ongepatchte toestellen schijnveiligheid.
Ik vraag me eigenlijk af of dat wel zo is. Android vereist vanaf versie 6.0 dat full disk encryption aan staat. Toen ik op mijn Nexus 5 de update naar Marshmellow kreeg, heb ik die encryptie ook aangezet. Het staat me bij dat hiervoor een melding kwam om me erop te wijzen, maar eerlijk is eerlijk: het is wat jaartjes terug dus daar kan ik naast zitten.

Het artikel spreekt ervan dat het scherm vergrendeld is, maar dat zegt niets over de aanwezigheid van encryptie.

Als ik naar de uitleg op de gelinkte Github pagina kijk werkt het doordat je storage ids terug krijgt van de bestanden en daarmee verder kunt werken. Maar als je data versleuteld is, kun je daar dus niets mee.

Zolang de data versleuteld is kun je er niets mee en is je data dus veilig volgens mij.
Nou ben ik zelf geen encryptie-expert, maar volgens mij is het zo dat full disk encryptie van Android werkt op het moment dat het toestel uit staat. Op het moment dat je hem aanzet voer je één keer je pincode/vingerafdruk in om de encryptie te ontsleutelen. Net zoals dat je op je laptop met bitlocker bij het opstarten je wachtwoord invoert.
Als je toestel aan staat en je bij het opstarten heb ontsleuteld is alle data niet versleuteld, het locken van het toestel zorgt er niet voor dat je data versleuteld is, dan zou het toestel zijn functionaliteit verliezen want veel apps (whatsapp, mail, facebook etc.) werken gewoon door op het moment dat je toestel gelocked is.

Als je full-disk encryptie op je toestel gebruikt is het risico dat bij deze kwetsbaarheid hoort ietsjes kleiner, maar op het moment dat je toestel ontvreemd wordt terwijl hij aan staat loop je hetzelfde risico als een persoon zonder full-disk encryptie.
Dit is heel ernstig. Tegenwoordig kun je veel USB-oplaadplekken vinden voor je telefoon. Tweakers-lezers stoppen misschien hun telefoon daar niet in, maar een groot gedeelte van de mensen wil gewoon hun telefoon opladen. Er is geen garantie dat achter dat usb-poortje meer verschuilt dan een simpele oplader.
Je hebt "Usb condooms".

http://syncstop.com/usbcondom3.jpg

Deze missen de fysieke data lijn zodat je alleen maar kan opladen.
De meeste Tweakers weten dat ze bestaan, maar de wat niet tech-savy persoon heeft geen idee.
Daar heb je uiteraard helemaal gelijk in.
Verbazingwekkend bulky. Ik zou het ding open schroeven om te kijken of er geen chipje in zit :)
Als d'r zo'n mobiel oplaadpunt is waar al een kabel in zit (met verschillende uiteinden) dan kun je de kabel even strippen en de juiste draadjes doorknippen ;)
Dat is een stuk minder bulky en zijn alle opvolgende mensen ook beveiligd ;D
Werkt iets zoals QuickCharge dan nog?
Werkt iets zoals QuickCharge dan nog?
Nee. Maar vaak bieden de opladers van anderen toch geen QuickCharge/USB-PD ondersteuning.
Geen idee. Uiteraard gebruik je het condoom alleen bij onbekende oplaadpunten zoals in de bus/trein. Natuurlijk zou QuickCharge daar wel erg handig zijn.
Leuk, maar normaal gesproken zijn die niet nodig. Als je hem op charge only zet, zou hij verder geen data moeten accepteren. Blijkbaar bij dit lek wel, maar standaard zou dat niet mogen gebeuren als je hem op charge only hebt staan. Een "USB condoom" is dan ook met name interessant voor mensen die... tja, welke mensen precies? Mensen die geen eigen lader meenemen, en die ook settings niet kunnen checken of goed kunnen zetten?

Het spijtige van het verhaal is wmb hoeveel devices lek zijn: "Samsung-smartphones met Android 4.03 tot 7.1.2" dat zal dan wel de eerste SGS t/m de laatste zijn? En die eerste SGS krijgen al jarenlang geen updates meer. Hopelijk lossen ze het snel op.
Ja dus precies om dit soort verhalen tegen te gaan. Nu snap ik dat zo'n bug erg zeldzaam is. Ik zeg ook niet dat je het absoluut moet gebruiken.
Een bug als deze is niet te overzien, dan kun je ook net zo goed aluminiumfolie om je huis heen doen omdat iemand nog wel 'ns met een Stingray langs je huis kan komen rijden. Waar eindigt je paranoia dan?

Deze bug moet gewoon opgelost worden. Voor mensen voor wie het niet gepatcht wordt (oudere Samsung telefoons die niet geroot zijn en bijv geen recente LOS draaien) is het wel een oplossing, maar pas een oplossing die je achteraf gebruikt.

Verder is het ook zeer zeker interessant voor high profile targets. Maar voor de gemiddelde technofobe consument? Nee. Die gaat hier vooraf geen rekening mee houden. Het lijkt mij dan ook efficienter om de gemiddelde technofobe consument te informeren over het feit dat z'n firmware niet meer wordt geupdate, en dat hij toch echt of een nieuwe telefoon moet nemen (want Blueborne/Stagefright/KRACK/MTPwn), of zelf nieuwe firmware er op moet zetten.
Nog belangrijker hierbij te vermelden is dat het niet uitmaakt op welke USB mode staat ingesteld op de telefoon. Standaard is dit uiteraard 'Charge only' en niet op Media device (MTP). Met andere woorden, zelfs al de vergrendelde telefoon op Charge Only staat, is het toch mogelijk om met een aangepaste MTP client te communiceren met de telefoon en bestanden te downloaden. Het is zelfs mogelijk om bestanden te uploaden.

Meer info: MTPwn - How it works
Heel ernstig is naar mijn mening overtrokken. De techniek is geschikt bij fysieke toegang, niet OTA en het risico is daarmee al wat beheersbaar. Daarnaast is er een patchronde gaande.

Dat gezegd hebbende, het moet natuurlijk wel gefixed worden voor alle telefoons binnen hun technische levensduur. De vraag is of Samsung dat op korte termijn voor elkaar krijgt.

Het zou me trouwens niet verbazen als ook de tablets kwetsbaar zijn, en daar staat misschien nog wel meer info in bestanden op dan op een telefoon.
Fysieke toegang is niet helemaal waar gezien er zo te zien geen interactie noodzakelijk is met het toestel. Zodra de (oplaad)kabel wordt aangesloten is t kwetsbaar. Dat is niet verwaarloosbaar.
Ja, Leuk. Alsof er NSA medewerkers of ander soort lui zitten te wachten op een vakantie foto van Jan met de kinderen. Opladen is dus geen probleem. Ook zijn er miljarden telefoons in omloop. Dat je dan ook nog eens iemand tegenkomt die dat op jouw heeft voorzien tja volgens mij ben je dan al een "target" en dit komt dan echt niet door een oplaadpunt.
Ik denk dat je te naïef bent. Tuurlijk de NSA niet, maar er zijn genoeg criminele bendes die graag in je telefoon willen zitten. Ze kunnen je chanteren en andere data stelen dat waardevol is voor jouw.
Heeft Android hier standaard geen client voor, dat het specifiek over de Samsung-client gaat? Of heeft Samsung een eigen client gemaakt?
Het lek, dat ontdekker Salvatore Mesoraca MTPwn heeft genoemd, maakt gebruik van de wijzigingen die Samsung heeft aangebracht in het mtp-protocol, waarmee het mogelijk is om vanaf een desktop via usb bestanden uit te lezen en te wijzigen op een aangesloten apparaat.
Samsung heeft wijzigingen aangebracht in de standaard Android implementatie, hierin bevind zich het lek.
Kan je een Android telefoon niet pair locken met 1 specifieke computer zoals met supervised iPhones? Dat is tegenwoordig ook een must aan het worden lijkt het...
Geen eigen website en logo?? Tss, dan is het niet serieus ;)

Daarom gebruik ik meestal mijn eigen USB kabel, welke alleen voor het opladen gebruikt kan worden op onbetrouwbare locaties.
En weeral stel ik mij de vraag "waarom moet Samsung zo'n dingen aanpassen"?
Wat als je data encrypt is? Dan kan de 'onderschepper' er toch niks mee?
Het is naïef om te denken dat er systemen zijn waar geen lekken inzitten.
Alles is te hacken.
Nu snap ik waarschijnlijk ook waarom mijn android auto niet meer werkt op mijn auto display.
Sinds de laatste update op mijn S7 krijg ik een MTP foutmelding als ik het toetstel koppel met mijn auto.
het zou mij niets verbazen als bepaalde veiligheidsdiensten dit allang wisten en gebruikten om toegang tot telefoons van potentiële terroristen te verkrijgen :P

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True