Samsung repareert ernstige zero-click-kwetsbaarheid in alle Galaxy-smartphones

Samsung heeft een patch uitgebracht voor een ernstig lek in alle Galaxy-smartphones die sinds 2014 zijn uitgebracht. Met het lek in Android was het mogelijk via een .qmg-bestand een telefoon helemaal over te nemen, zonder tussenkomst van de gebruiker.

De bug is opgelost in de beveiligingsupdate van mei voor de Samsung-telefoons. Daarin wordt bug CVE-2020-8899 opgelost, die bij Samsung zelf bekendstaat als SVE-2020-16747. De kwetsbaarheid wordt aangemerkt als 'kritiek'.

De kwetsbaarheid zit in de manier waarop Android Qmage-bestanden verwerkt. Samsung-apparaten ondersteunen dat bestandsformaat voor afbeeldingen sinds 2014. Het zit specifiek in Androids Skia-library. Android stuurt alle binnenkomende afbeeldingen via de Skia-library.

Een beveiligingsonderzoeker van Googles Project Zero ontdekte het lek. Hij publiceerde ook een proof-of-concept waarin hij laat zien hoe het lek is uit te buiten. Dat gebeurt door verscheidene mms-berichten naar een toestel te sturen. Dat moest diverse malen, omdat dan de Android Address Space Layout Randomization kon worden omzeild. Daarmee worden applicaties op willekeurige plaatsen in het geheugen gezet. Zodra die extra beveiligingsmaatregel kon worden omzeild, kon malware, verpakt in een mms, worden uitgevoerd. Er ontstaat dan een heap-based buffer overflow die kan worden uitgebuit.

Omdat binnenkomende afbeeldingen automatisch door de library met de kwetsbaarheid worden gehaald, is geen tussenkomst van de gebruiker nodig voordat de aanval kan worden uitgevoerd. Wel moet een aanvaller tussen de vijftig en driehonderd mms-berichten sturen, een proces dat volgens de onderzoeker rond de honderd minuten duurt. Eenmaal op het toestel is het mogelijk code uit te voeren. Een dergelijke zero click remote code execution is zeldzaam, zeker als die op zoveel verschillende toestellen kan worden uitgevoerd.

De kwetsbaarheid zit op alle Galaxy-toestellen sinds 2014. Samsung is de enige Android-fabrikant die .qmg-afbeeldingen ondersteunt. Het Qmage-formaat komt van het Zuid-Koreaanse bedrijf Quramsoft. Samsung heeft de kwetsbaarheid gedicht nadat de beveiligingsonderzoeker het bedrijf had ingelicht.

Reacties (94)

Munchie 8 mei 2020 15:33

Het uitschakelen van automatisch downloaden van mms berichten is natuurlijk ook een optie

CyBeRSPiN @Munchie • 8 mei 2020 15:43

Goede tip.
Was even zoeken, maar heb het gevonden:
Settings -> Apps -> Messages -> Settings (tandwiel) -> More Settings -> Multimedia messages -> Auto Retrieve (off)

FooLsKi @CyBeRSPiN • 8 mei 2020 15:56

Heeft alleen nut als je Tele2 hebt. Voor zover ik weet is dat nog de enige Nederlandse provider die MMS aanbiedt. Voor de overige providers is deze vulnerability geen issue, want geen MMS-support meer

tonkie_67 @FooLsKi • 8 mei 2020 16:43

Wat ik begrijp uit de artikelen is dat de kwetsbaarheid breder is dan MMS, maar dat het via MMS mogelijk is om de aanval uit te voeren zonder enige user-input.
Maar als je zelf een (ander type dan MMS) bericht opent met QMG afbeelingen erin zodat die 'afbeeldingen' alsnog naar de skia library gestuurd worden.
Omdat het meerdere keren gedaan moet worden om de aaslr beveiliging te omzeilen... maar wat er gebeurt als iemand me een (bv email??) bericht stuurt met 200 qmg bestanden erin en if ik dan alsnog kwetsbaar ben is mij onduidelijk. Maar het lijkt erop dat de 'noodzaak' van mms er alleen is om de aanval "handsfree" te doen maar dat je het ook zonder mms kan doen; maar alleen als de gebruiker de qmg bestanden (laat) opent/openen.
Iemand die dat kan verduikelen?

R4gnax @tonkie_67 • 8 mei 2020 18:43

Iemand die dat kan verduikelen?

Het lek zit schijnbaar in Samsung's versie van de Skia library zelf. Dus alles wat van die library gebruik maakt en qmg images accepteert -- Of welke het file type überhaupt niet checkt en Skia het maar uit laat vogelen! -- is hier in principe vatbaar voor.

En als dit klopt houdt het daar niet op.

Criminelen kunnen dit ook exploiteren door een speciale dropper app te maken die argeloze gebruikers uit de app store installeren. Daarmee kunnen ze razendsnel de Skia library bestoken met hun speciaal geprepareerde plaatje zonder dat je ook maar hebt gezien dat ze het überhaupt ingeladen hebben; gewoon in de achtergrond.

Of ze weten een bestaande app te infecteren of bijv. een advertising-SDK, wat ook vaak genoeg voorkomt.

En in alle gevallen hebben ze binnen luttele seconden root-toegang en is je telefoon, zonder dat je er ooit iets van hebt kunnen merken, overgenomen. En ook nog eens op een manier die een stuk minder opvalt dan een lawine aan MMSjes of een ontvangen mail met honderden plaatjes.

[Reactie gewijzigd door R4gnax op 9 augustus 2024 02:35]

tonkie_67 @R4gnax • 9 mei 2020 15:40

Dat is idd zoals ik het ook las en is de link met mms niet zo relevant als de meeste reacties doen geloven ('ik heb geen mms dus geen issue').
Als het idd voor alle apps is waar je qmg bestanden zou kunnen linken hoop ik dat ze de support voor dit bestandstype snel stoppen. De rest van de wereld doet t prima zonder (Samsung is de enige die qmg ondersteunt) dus zo erg zullen we t niet missen.

R4gnax @tonkie_67 • 9 mei 2020 15:57

De rest van de wereld doet t prima zonder (Samsung is de enige die qmg ondersteunt) dus zo erg zullen we t niet missen.

En daar zit dan ook gelijk het probleem: dit is dus een security vulnerability die door Samsung's custom aanpassingen in hun eigen smaak van de Skia library ontstaan is. Wat wederom bewijst dat Google voor de hardware fabrikanten gewoon keihard de deur op slot moet zetten voor dit soort onzin.

Als je dan per-sé in je eigen apps QMG formaat plaatjes wilt ondersteunen dan bouw je maar een user-mode library die dit formaat parsed en ombouwt naar iets waar de standaard system-library mee omweg kan. Als er dan in je zelf-brouwsel een lek zit, blijft de schade in elk geval beperkt tot de sandbox van je eigen gare app en blaas je niet de security van het hele systeem onderuit.

SanderBos

Samsung Galaxy

@FooLsKi • 8 mei 2020 16:05

Maar misschien ga je ooit nog wel eens op vakantie (ja ik weet het, klinkt theoretisch) , en roam je ergens een MMS-zone binnen.

FooLsKi @SanderBos • 8 mei 2020 16:15

Volgens mij staat in Android ontvangen van MMS standaard uit bij roaming.

michael3 @FooLsKi • 11 mei 2020 09:27

Stond bij mij standaard aan.

Transferno @SanderBos • 8 mei 2020 17:59

Maar als jouw provider geen MMS aanbied, krijg je die ook niet als je roamed.
Dan zou je op vakantie al een lokale sim moeten kopen en daar MMS gebruiken.

CyBeRSPiN @FooLsKi • 8 mei 2020 16:02

En alleen als je nooit naar het buitenland gaat. Dus dan is het mogelijk WEL een issue.

Naafkap @CyBeRSPiN • 8 mei 2020 16:30

Dat ligt er maar net aan. Waarschijnlijk is dit geen issue. Als de buitenlandse provider waarop je roamt het ondersteunt, maar je eigen provider niet, dan gaat het alsnog niet werken.

FooLsKi @Naafkap • 8 mei 2020 19:51

Dat inderdaad. Je maakt gebruik van de MMSC in je thuisnetwerk, niet die van het gastnetwerk. Dus als je thuisnetwerk geen MMSC meer heeft, dan worden die MMS-jes gewoon niet doorgestuurd naar je toestel.

zx9r_mario @Munchie • 8 mei 2020 15:47

MMS, net zo'n succes als imode

sympa @zx9r_mario • 8 mei 2020 20:24

Onder water werkt MMS met email, via een apart gerouteerd netwerk (GRX meen ik). Plaatjes worden verkleind tot een onbruikbaar minimum. Wie dat bedacht heeft... email, maar slechter, naar een telefoonnummer, à 1 euro per bericht...

SwaggyEggs @Munchie • 8 mei 2020 15:38

Meteen maar even gedaan op mijn s7. Set restrictions in dat zelfde mms menu ook maar op restricted gezet, al geen idee wat het doet...

Neverwinterx 8 mei 2020 15:29

Als ik zoek op updates, krijg ik nog geen update te zien voor mijn S7. Zijn er al mitigations bekend?

Edit: Ik lees hierboven dat S7 geen updates meer krijgt. Ik mag hopen dat Samsung een uitzondering gaat maken voor deze.

[Reactie gewijzigd door Neverwinterx op 9 augustus 2024 02:35]

jurroen @Neverwinterx • 8 mei 2020 16:19

De S7 en S7 Edge zijn officieel EOL, die krijgen geen update meer. Wat betreft de mitigations: sowieso ondersteunen Nederlandse telco's volgens mij allen geen MMS meer. Dat neemt het lek echter niet weg; ik kan me voorstellen dat het geen fijne gedachte/gevoel geeft.

Ik weet niet of het lek in de Android-laag zit, of dieper (baseband/firmware). Als dat Android is kun je overwegen je telefoon te voorzien van een custom ROM, op XDA zijn er talloze roms beschikbaar, althans voor de Exynos modellen. Let er wel op dat ze niet allemaal betrouwbaar zijn, er zijn ROMs die de monthly update string gewoon aanpassen in plaats van daadwerkelijk de update toe te passen.

Qua betrouwbare AOSP ROMs, er zijn bijvoorbeeld unofficiele LineageOS 16 en 17 builds van Ivan Meler (de officiele build heeft op dit moment geen maintainer) - en er is /e/. Die laatste zit momenteel nog op Nougat (Android 7), maar zou aankomende weken de update naar Oreo en Pie moeten krijgen. Overigens backport /e/ de security fixes wel, dus het is niet zozeer onveiliger. Verder heeft /e/ OTAs, dat hebben de onofficiele LineageOS builds niet.

En let wel, met het flashen van custom firmware breek je Knox volledig - dit is NIET te herstellen (omdat het een fuse opblaast).

[Reactie gewijzigd door jurroen op 9 augustus 2024 02:35]

R4gnax @jurroen • 8 mei 2020 18:19

Ik weet niet of het lek in de Android-laag zit, of dieper (baseband/firmware).

Zit in de Skia bibliotheek; de systeembibliotheek voor het renderen van o.a. images.
Een custom ROM zou hier dus idd uitkomst kunnen bieden.

TBK001 @jurroen • 8 mei 2020 21:23

Wat zouden de mogelijkheden kunnen zijn om deze exploit zelf te gebruiken om eea als root te bereiken en Knox niet te slopen?

jurroen @TBK001 • 9 mei 2020 15:02

De enige (bekende) mogelijkheid voor de herolte (S7) en hero2lte (S7 Edge) is met het Snapdragon model en vereist zogenaamde engineering firmware. Op Exynos is dat niet mogelijk, root exploits 'trippen' Knox per definitie.

Het rooten van je telefoon is overigens iets anders dan het installeren van custom firmware. Ik draai zelf al zo'n 5-6 jaar custom firmware, steeds zonder root. Het geeft volledige toegang tot het systeem waardoor je vrijwel alles kunt customizen. Het degradeert echter ook de beveiliging van je smartphone. Daarmee is het een trade-off tussen customizability en security. Gezien dat een persoonlijke keuze is, is er geen goed of fout antwoord.

jurroen @jurroen • 13 mei 2020 08:00

UPDATE: Jawel, er komt een patch! Zie https://www.zdnet.com/art...rtphones-sold-since-2014/

hcQd @Neverwinterx • 8 mei 2020 15:31

Mms wordt in Nederland niet meer ondersteunt, via dat kanaal is een aanval dus niet mogelijk.

Neverwinterx @hcQd • 8 mei 2020 15:32

Ik woon in Belgie, volgens mij werkt mms hier nog wel.

madsector

@Neverwinterx • 8 mei 2020 18:07

De S7 is vorige maand geloof ik verwijderd uit de lijst met telefoons die Samsung nog ondersteunt. De S8 is gedegradeerd van maandelijkse nar kwartaal updates. Al met al is de S7 iets meer dan 4 jaar sinds de introductie voorzien van updates.

CyBeRSPiN 8 mei 2020 15:24

Hoe werkt dat precies met updates? Ik heb een S7 Edge, maar de laatste update is die van maart? Die van april dus ook nog niet gehad..

Krijgt de S7 geen maandelijkse updates meer, is dat het? Dus deze extreem gevaarlijke exploit blijft dan mogelijk tot de volgende kwartaalupdate komt, begrijp ik dat goed?

[Reactie gewijzigd door CyBeRSPiN op 9 augustus 2024 02:35]

Crim @CyBeRSPiN • 8 mei 2020 15:27

Het kan inderdaad een behoorlijke tijd duren voor je de update krijgt, sommige modellen van Samsung hebben nog helemaal geen maandelijkse security updates ontvangen (terwijl ze hier wel voor in aanmerking komen). De meeste gebruikers krijgen deze update na 2-3 maanden.

Google is eigenlijk de enige met snelle Android updates voor de Pixel telefoons.

CyberJohn @Crim • 8 mei 2020 16:55

Waar haal je dat vandaan?
Mijn S20 had de Mei update voordat het Mei was. Dit geldt ook voor de S10, A50, dus ook eerder dan Google. Inimiddels draaien de A51, A71, Note10+, Note10 etc. allemaal op de Mei patch. Hier zitten ook modellen tussen die per kwartaal updates krijgen.

Als ik de nokia website mag geloven, draait er nog geen enkele op de Mei patch...
https://www.nokia.com/phones/en_int/security-updates

Telin @CyberJohn • 8 mei 2020 21:37

S10 Lite hier met april update en geen mei update beschikbaar.

Samsung heeft meer dan 40 modellen en de updates gaan niet even snel voor alle modellen.

s.tichelaar @Crim • 8 mei 2020 15:30

Nokia doet dat met de android one (bijna allemaal) ook niet slecht hoor.

SkillZ4LollZ V2 @s.tichelaar • 8 mei 2020 15:50

Nokia voert de updates redelijk snel uit, daartegenover staat dat het niet altijd goed gaat. Meerdere keren problemen gehad met de stock camera app, laatste uitrol van Android 10 was wederom een drama met meerdere bugs en een kennis had recent een bootloop tijdens het updaten naar Android 10. Veel mensen hebben nog een vorm van sympathie voor Nokia, maar op deze manier (nog niet eens over de matige bouwkwaliteit gesproken) zie ik niet dat ze het heel erg lang uit gaan houden.

joeykapi @CyBeRSPiN • 8 mei 2020 15:30

Het ziet er naar uit dat dit alleen werkt via MMS. In Nederland zijn alle providers gestopt met de ondersteuning van MMS berichten. Hierdoor verwacht ik dat je er ook zonder update goed van af komt.

[Reactie gewijzigd door joeykapi op 9 augustus 2024 02:35]

Auteur

TijsZonderH Nieuwscoördinator @joeykapi • 8 mei 2020 15:39

De proof-of-concept is getest met MMS. De onderzoeker zegt dat het theoretisch mogelijk is met ieder programma dat afbeeldingen kan ontvangen, maar dat heeft hij niet getest. Dat had achteraf in het artikel misschien duidelijker gekunnen.

Kenhas @TijsZonderH • 8 mei 2020 15:50

Raar dat het met MMS getest is wat toch het mist van allemaal gebruikt wordt. Je zou toch denken dat, als het met ieder programma werkt dat afbeeldingen kan ontvanger, er met WhatsApp of met Messenger getest zou worden

Auteur

TijsZonderH Nieuwscoördinator @Kenhas • 8 mei 2020 15:55

In Amerika is mms natuurlijk nog steeds heel populair en wordt WhatsApp amper gebruikt.

tonkie_67 @TijsZonderH • 9 mei 2020 15:48

Zoals uit mn reactie hierboven al bleek las ik vanaf t begin dat t niet puur een mms related lek is, maar dat dat enkel een manier is om de vuln te gebruiken zonder enige userinput. Maar ik vermoed dat een mailclient die een preview geeft incl afbeelingen zou 'handsfree' aanval ook mogelijk maken. Het zijn imho eerder de initiele reacties die doen geloven dat het puur een mms issue is. Bij een site als tweakers zou je mogen verwachten dat mensen ook zelf kunnen denken.....

CyBeRSPiN @joeykapi • 8 mei 2020 15:34

Goed om te weten. En ga voorlopig toch niet naar het buitenland

acale @joeykapi • 8 mei 2020 17:28

Misschien zeg ik iets doms hoor, maar wat gebeurt er dan als je in het buitenland aan het roamen bent? Zijn er nog buitenlandse providers die werken met MMS?

watercoolertje

Samsung
Samsung Galaxy

@CyBeRSPiN • 8 mei 2020 15:30

Je hebt niet door dat je zelf al antwoord hebt gegeven? Tenzij je het artikel niet hebt gelezen weet je dus dat het in de mei update zit, als je die niet op je telefoon hebt is het toch vrij duidelijk dat het niet is opgelost voor jou?

[Reactie gewijzigd door watercoolertje op 9 augustus 2024 02:35]

CyBeRSPiN @watercoolertje • 8 mei 2020 15:32

Ik had niet door, en jij denk ik dan ook niet, dat de S7 helemaal geen updates meer krijgt, ook niet voor dit soort ernstige security bugs..
Het bericht deed vermoeden dat Samsung een patch heeft uitgebracht voor alle toestellen vanaf 2014, maar dat kun je blijkbaar ook anders interpreteren.

[Reactie gewijzigd door CyBeRSPiN op 9 augustus 2024 02:35]

watercoolertje

Samsung
Samsung Galaxy

@CyBeRSPiN • 8 mei 2020 15:39

Meer als in je hebt geen update t/m mei dus je bent nu niet gedekt, dat is vrij simpel uit het artikel te halen icm met de info die je geeft.

Of er nog een update komt (in NL lijkt het niet nodig ivm geen MMS) is voor iedereen inderdaad nog een vraag. Ik kan me indenken dat ze het nog wel fixen net als bij eerdere kritieke bugs ze ook extra updates hebben uitgebracht.

R4gnax @watercoolertje • 8 mei 2020 18:13

Of er nog een update komt (in NL lijkt het niet nodig ivm geen MMS) is voor iedereen inderdaad nog een vraag.

Uhm.
Het is in NL wel degelijk wel nodig?

De proof-of-concept levert een geprepareerd plaatje aan via MMS, maar alle andere applicaties die van de Skia systeembibliotheek voor het renderen van plaatjes gebruik maken zijn hier dus ook gevoelig voor en kunnen net zo goed op dezelfde wijze ge-exploiteerd worden.

En deze kunnen wss. een stuk sneller bestookt worden met de benodigde hoeveelheid data om bescherming geboden door AASLR te omzeilen, als bij slome MMSjes het geval is.

Erger nog; een gesandboxte app die toevallig malware bevat kan dit lokaal onzichtbaar en razendsnel exploiteren om de telefoon compleet over te nemen.

Dit is een enorm probleem wat je kunt vergelijken met Stagefright.

[Reactie gewijzigd door R4gnax op 9 augustus 2024 02:35]

Naafkap @watercoolertje • 8 mei 2020 19:10

Zoals bekend is het updatebeleid van Samsung en veel andere Androidfabrikanten niet best. Hier zie je maar weer hoe belangrijk software-updates zijn. Einde support is einde bruikbaarheid van een toestel.

LocoDenishr92 @CyBeRSPiN • 8 mei 2020 15:27

Volgens mij dacht ik ergens te lezen dat oudere toestellen nu per kwartaal een update krijgen, i.p.v. iedere maand.

Edit: De s7 krijgt geen updates meer.

bron

[Reactie gewijzigd door LocoDenishr92 op 9 augustus 2024 02:35]

CyBeRSPiN @LocoDenishr92 • 8 mei 2020 15:30

Right.. Dank voor die link. Bizar..
Lijkt er dus op dat ik op zoek moet naar een custom rom..

turbojet80s @CyBeRSPiN • 8 mei 2020 15:46

Als je een S7 active hebt krijg je nog wel updates

[Reactie gewijzigd door turbojet80s op 9 augustus 2024 02:35]

CyBeRSPiN @turbojet80s • 8 mei 2020 15:49

Ik zie de S7 Edge niet staan, alleen de S7 Active (geen idee of dat uitmaakt?)

turbojet80s @CyBeRSPiN • 8 mei 2020 15:57

Dat weet ik niet zeker, aan de buitenkant ziet de Galaxy S7 active er wel anders uit. Het is overigens niet zo dat je Apps geen updates meer krijgen, als de telefoon geen updates krijgt hé. Mijn moeder heeft een Galaxy S3 Neo en dat toestel doet het nog prima.

CyBeRSPiN @turbojet80s • 8 mei 2020 16:00

Joh, app updates gaat het hier helemaal niet over. En ook niet of ie het "nog prima doet".
Er is een serieus lek in de kern van het besturingssysteem ontdekt, en dat wil ik oplossen.

turbojet80s @CyBeRSPiN • 8 mei 2020 16:03

Als dat je enige zorg is, dan zou ik MMS uit zetten: https://www.wikihow.com/B...s-(MMS)-on-Samsung-Galaxy

dec0de @turbojet80s • 8 mei 2020 16:34

Zoals de auteur al zegt, het is niet alleen MMS, het is alleen GETEST op MMS, in theorie werkt het op ELKE applicatie die fotos kan ontvangen
@CyBeRSPiN krijg geen false sense of security!

tweaknico @CyBeRSPiN • 8 mei 2020 16:24

Niet de kern, maar een library die door veel programma's voor een bepaald image formaat gebruikt wordt.

Door dat libraries random in het geheugen geladen worden is een exploit niet al te makkelijk. Dus het toezenden van meerdere plaatjes is ook een voorwaarde. Bij MMS kan dat alvast op de achtergrond zonder opvallend te zijn.

Naafkap @CyBeRSPiN • 8 mei 2020 22:17

Ongelofelijk inderdaad dat een toestel uit 2016 nu al geen updates meer krijgt.

nervwrecker @CyBeRSPiN • 8 mei 2020 15:27

1x per kwartaal volgens mij.
Voor de oudere toestellen +2 jaar,
Al schijnt die net verlopen te zijn voor de S7 modellen dus....

[Reactie gewijzigd door nervwrecker op 9 augustus 2024 02:35]

MrFax @nervwrecker • 8 mei 2020 15:37

Omdat hier groot belang is lijkt het me dat ze het alsnog doorvoeren voor de S7. Ligt er echt aan hoeveel mensen de telefoon nog gebruiken. Iedereen zou een MMS kunnen sturen met dit bestand en iemand zijn of haar telefoon overnemen. Lijkt me best ernstig genoeg.

nervwrecker @MrFax • 8 mei 2020 15:39

Inderdaad zou netjes zijn als ze de s7 nog meenemen.

madsector

@CyBeRSPiN • 8 mei 2020 18:13

De S7 heeft in april een update gekregen met daarin de laatste security update van Android van 1 maart 2020.

LocoDenishr92 8 mei 2020 15:30

Voor zover ik weet krijgen de S7 toestellen helemaal geen updates meer. Ik weet niet of hier nu een uitzondering op wordt gemaakt voor toestellen na bouwjaar 2014.

Het lijkt mij dat je als bedrijf ervoor moet zorgen dat alle toestellen goed beveiligd zijn.

swhnld

Samsung
Samsung Galaxy

@LocoDenishr92 • 8 mei 2020 15:40

Volgens @TijsZonderH heeft dit artikel de titel dat het voor Alle telefoons vanaf 2014 gerepareerd wordt.

Samsung repareert ernstige zero-click-kwetsbaarheid in alle Galaxy-smartphones

SanderBos

Samsung Galaxy

@swhnld • 8 mei 2020 16:03

Nee, de eerste zin is dit:
"Samsung heeft een patch uitgebracht voor een ernstig lek in alle Galaxy-smartphones die sinds 2014 zijn uitgebracht."

Dus alle telefoons sinds 2014 hebben de bug, en er is een patch, maar die patch is voor sommige telefoons, niet voor alle kapotte telefoons.

Mijn ouders hebben allebei een S7, ik weet niet wat ik er tegen hun over moet zeggen. Maar dat is nou eenmaal zo als je geen patches meer krijgt dan wordt je telefoon een gatenkaas

(of wordt, de gaten zaten er natuurlijk al in, maar die bestaande gaten worden bekend)

swhnld

Samsung
Samsung Galaxy

@SanderBos • 8 mei 2020 16:24

Er staat nergens letterlijk in het artikel dat de patch slechts voor een beperkt deel van de telefoons beschikbaar is/komt. Dit is jouw interpretatie (waarschijnlijk gebaseerd op eerdere ervaringen).

Uiteraard is MMS uitzetten voldoende voor bijna iedereen, want met tools als whatsapp/signal/telegram heb je dat toch echt niet meer nodig in Nederland.

SanderBos

Samsung Galaxy

@swhnld • 8 mei 2020 16:36

Er staat niet letterlijk dat niet alle telefoons de patch krijgen, en er staat niet letterlijk dat wel alle telefoons de patch krijgen, dat ben ik met je eens.

Maar ik ben het niet met je eens dat het dan 'mijn interpretatie' is wat er wel of niet gebeurd.

Ik concludeer alleen dat je uit de tekst geen conclusie kan halen, en dan check ik een bron waaruit je wel conclusies kan trekken en dan zie ik dat de S6 en S7 expliciet niet genoemd worden.... Niks gebaseerd op eerdere ervaringen of vage interpretatie.

IThom @SanderBos • 8 mei 2020 16:40

29 April is er nog een OTA softwareupdate voor de Samsung Galaxy S7 (nederlandse modellen) gepushed.
De Samsung Galaxy S5 heeft April 2019 zijn laatste update gekregen, dus ik verwacht dat de S7 nog minstens 1 keer een softwareupdate zal krijgen met een van de laatste securitypatches.
Bron: Sammobile firmware downloads

SanderBos

Samsung Galaxy

@IThom • 8 mei 2020 17:01

Dus bij de S7 is de support nu net afgelopen, dus ja er is toevallig een heel recente update maar dat is ook de laatste officiële.
Het zou kunnen dat je gelijk hebt, en dat er ooit nog op willekeurige niet geplande momenten updates komen. Ik ben ook best positief over Samsung's patch beleid in zijn algemeenheid.
Maar tegelijkertijd denk ik dat jou bron niet zo sterk is. Als je kijkt naar die firmware lijst voor de S5 dan zijn die 2019 entries voor specifieke providers in specifieke landen. Dus ik vrees (ik weet het niet zeker) dat dat niet recente firmwares van Samsung zelf ijn geweest, maar hele trage carriers die het eindelijk is gelukt 6.0.1 (release mei 2017) de deur uit te doen voor hun specifieke telefoons.

Emiel1984 @SanderBos • 8 mei 2020 16:58

Heb zelf een S7 Edge nog steeds in gebruik want werkt prima.
Doet verder niet onder voor nieuwere toestellen wat betreft wat ik verder gebruik.

Moet toegeven dat ik me nooit zoveel heb verdiept in hoe groot de kans is dat je toestel gehacked word. Is deze groot genoeg om je daar echt zorgen over te maken ? En wat als je dan gehacked wordt, hoe groot is de kans dat dit echt iets doet waar je last van kan gaan krijgen ? Op android moet je als gebruiker toch ook overall toestemming voor geven ?

Aangezien ik ook geen update zag heb ik het idee van @CyBeRSPiN toegepast voor als ik in weer voor me werk naar het buitenland ga.

SanderBos

Samsung Galaxy

@Emiel1984 • 8 mei 2020 17:19

Jij reageert op mij, dus ik geef antwoord, maar ik ben geen echte security expert.

Dat gezegd hebbende, ik lees wel altijd braaf de maandelijkse Android security bulletins en vooral het media framework is 1 grote gatenkaas, letterlijk bijna elke maand worden daar wel critical issues in gefixed.

En wat zijn dat dan voor critical issues, nou eigenlijk is het bijna altijd vergelijkbaar met dit issue, alleen gaat het hier om code van Samsung en meestal gaat het om code van Google of Qualcomm.

En die media issues zijn dan altijd van het type:
- Je telefoon krijgt een media bestand (foto/ video/ audio) binnen en gaat dat verwerken om te tonen.
- En in die verwerking zitten dan bugs, bijna altijd van het type buffer overflow, en dus lukt het dan als je een speciaal geprepareed media bestand opstuurt je daar programma-code in kan opnemen, en op het moment dat je telefoon dat bestand dan opent (verwerkt) wordt die code uitgevoerd.

En wat kun je dan met die code? Nou, als je in het filmpje bij dit artikel hierboven vanaf 2:10 kijkt, dan heeft de POC hacker daar een remote shell naar de gehackte telefoon, en kan hij vanaf afstand rondkijken op het file-systeem. Dus er zit wel beveiliging in Android, maar bijvoorbeeld die app-rechten dat gaat alleen maar goed als alles goed werkt, niet als er wordt valsgespeeld,

Dus de mogelijkheden zijn ernstig. En de mogelijkheid om gehackt te worden zijn groot, want bedenk maar eens hoeveel plaatjes en filmpjes en audiobestanden je op je telefoon dagelijks binnenhaalt, en vervolgens worden verwerkt om getoond te worden. Want nu is het in deze comments allemaal MMS en MMS dat, omdat de proof of concept dat gebruikt, maar ik vraag me af of die qmage files niet worden geopend als je ze aan een webbrowser aanbiedt (ik kon geen voorbeeldbestanden vinden, en heb ook geen Samsung telefoons meer).

Dus heel ernstig en meteen telefoon weggooien? Nou ja, je hoort er eigenlijk maar zelden tot nooit van dat mensen via media bestanden gehackt worden. Dus een echt groot praktijk-probleem is het volgens mij nog maar zelden geweest.

Zynth @LocoDenishr92 • 8 mei 2020 15:33

Zonder wettelijke verplichting hebben bedrijven er geen belang bij.
Zolang het het imago niet teveel schaadt, hebben ze liever dat je een nieuwe koopt.

Planned obsolescence op een "legale" manier voorlopig.

LocoDenishr92 @Zynth • 8 mei 2020 15:38

Zonder wettelijke verplichting hebben bedrijven er geen belang bij.

Inderdaad, ik hoop dat hier gauw verandering in komt. Wellicht ergens in 2021?
Volgens mij zijn onze vrienden in het kabinet hier eerder mee bezig geweest, maar is het zon beetje doodgebloed. Of onderaan de stapel komen te liggen.

Zynth @LocoDenishr92 • 8 mei 2020 15:41

Wat mij betreft zou er een "algemeen" ecosysteem moeten worden afgesproken.
Dus geen custom-roms meer van fabrikanten, maar een generic android laag met daarop wat hardware drivers van fabrikanten.

dec0de @Zynth • 8 mei 2020 16:31

Moeten we dat allemaal wel willen reguleren? Ik vind dat je ook weer niet te veel moet eisen. Motorola heeft bijvoorbeeld een hele fijne android schil, mag dat dan ook niet meer? Of oxygenOS? Ik ken mensen die MiUI hartstikke fijn vinden (ik heb er na 7 dagen een custom rom op gekwakt, bah), halen we die keuze dan weg? En fabrikanten die bijvoorbeeld een telefoon die extra veilig is op de markt willen brengen, die dus heel veel dingen heeft moeten wijzigen, of zelfs een andere linux kernel gebruikt, wat zeggen we daartegen?

Ik zou zeggen dat we fabrikanten moeten verplichten elke telefoon minimaal 4 of 5 jaar kritiek gelabelde vulnerabilities moeten laten patchen (en de EU bepaald of iets kritiek is, 0 click bugs moeten bijv wel gepatched worden, maar als jij een apk download, en instaleerd, en die apk kan root toegang krijgen, dan niet) en dat ze na die 5 jaar de boot loader verplicht open moeten gooien. Willen fabrikanten dat niet doen, moeten ze dat heel duidelijk aangeven, en de bootloader opengooien zodra ze daarmee stoppen

R4gnax @dec0de • 8 mei 2020 18:32

Moeten we dat allemaal wel willen reguleren?

Ja. De support-termijn voor het hele OS ligt nu impliciet bij indivuele fabrikanten terwijl Google dit beter centraal kan regelen. En het zijn vaak de custom ROMs van fabrikanten die zaken op een verkeerde manier implementeren en security vulnerabilities introduceren; terug in het leven roepen; of mitigations ongedaan maken.

Fabrikanten hebben bewezen niet veilig hiermee om te kunnen gaan, dus geven we ze dan maar een afgestompte schaar om mee te knutselen, net zoals je bij kleuters doet.

Motorola heeft bijvoorbeeld een hele fijne android schil, mag dat dan ook niet meer? Of oxygenOS? Ik ken mensen die MiUI hartstikke fijn vinden (ik heb er na 7 dagen een custom rom op gekwakt, bah), halen we die keuze dan weg?

Een custom UI schil heeft niets te maken met de kernel van het OS en de verschillende beveilingslagen. Mits goed opgezet kan die window manager gewoon een los installeerbaar en bijgewerkt ding zijn.

En fabrikanten die bijvoorbeeld een telefoon die extra veilig is op de markt willen brengen, die dus heel veel dingen heeft moeten wijzigen, of zelfs een andere linux kernel gebruikt, wat zeggen we daartegen?

We zouden moeten zorgen dat dit soort producten niet meer de marktnaam "Android" mogen dragen. Dan moeten ze maar hun eigen ding worden. Dan weet de consument tenminste ook waar ze aan toe zijn qua support.

Ik zou zeggen dat we fabrikanten moeten verplichten elke telefoon minimaal 4 of 5 jaar kritiek gelabelde vulnerabilities moeten laten patchen (en de EU bepaald of iets kritiek is, 0 click bugs moeten bijv wel gepatched worden, maar als jij een apk download, en instaleerd, en die apk kan root toegang krijgen, dan niet) en dat ze na die 5 jaar de boot loader verplicht open moeten gooien. Willen fabrikanten dat niet doen, moeten ze dat heel duidelijk aangeven, en de bootloader opengooien zodra ze daarmee stoppen.

Bij een apparaat waar het operating systeem door een modale consument niet vrij te vervangen is, is er sprake van digitale inhoud die onlosmakelijk met het goed (de telefoonhardware) verbonden is. Deze valt vanaf 2021-2022 (om het even wanneer de nieuwe wetgeving die de EU richtlijn implementeert in zal gaan) gewoon onder de conformiteitsregeling van het fysieke goed.
Dat wil zeggen dat je in Nederland al recht zult hebben op herstel van conformiteit zolang de te verwachten levensduur van het goed niet overschreden is.

dec0de @R4gnax • 8 mei 2020 20:23

Een custom ui misschien niet. Helaas gaat bijv oxygen os verder dan UI. Dat is het probleem. Net als MIUI niet aleen een mod van de system.apk, maar ook modificaties die het mogelijk maken om bijvoorbeeld gesprekken op te nemen, Terwijl google die functie er uit sloopt.

zouden moeten zorgen dat dit soort producten niet meer de marktnaam "Android" mogen dragen

Wat de fuck? Tuurlijk mag dat wel, net als dat je de merknaam linux mag dragen, als je de linux kernel gebruikt. De eigenaar van android, die mag bepalen hoe en waneer je de Android naam gebruikt. Niemand anders. Straks mag apple hun iphone SE geen iphone noemen, omdat alle iphones minimaal een batterij van 2000 mah moeten hebben?!?

yobikap @Zynth • 8 mei 2020 16:52

Daar is Google ook meebezig. Vanaf Android O kunnen de drivers via Google Play store worden geupdate.

watercoolertje

Samsung
Samsung Galaxy

@LocoDenishr92 • 8 mei 2020 15:43

Het lijkt mij dat je als bedrijf ervoor moet zorgen dat alle toestellen goed beveiligd zijn.

Ten eerste dat is nergens wettelijk vastgelegd, het toestel moet een x periode deugdelijk zijn volgens de wet. Dat slaat in de praktijk vooral op de hardware.

Ten 2de maakt Samsung voor dit soort dingen wel degelijk uitzonderingen dit is eerder ook gebeurd. Titel suggereert ook dat alle toestellen na 2014 worden ge(bug)fixed.

Ten 3de is het wat ik hierboven lees in NL niet meer mogelijk MMSjes te ontvangen (netwerk ondersteund het niet meer), dus is het in NL ook geen issue.

Ten 4de waar ligt de grens? Je zegt alle toestellen, maar dat is natuurlijk onhaalbaar. Wat langer zou leuk zijn, maar dan nog is de vraag waar is de grens. Ik zeg doe dan 10 jaar

[Reactie gewijzigd door watercoolertje op 9 augustus 2024 02:35]

Blacklight447 8 mei 2020 15:53

Moet zeggen dat ik de laatste jaren erg onder de indruk ben van de beveiliging van android. Innovaties zoals verified boot and het erg stricte manier van het sandboxen van apps maakt het significant veiliger dan de meeste desktop systemen. Daarbij wel aangenomen dat het android device niet geroot is, en up to date.

old_spice @Blacklight447 • 8 mei 2020 15:59

Klopt. Waar ik me wel aan erger is dat ik geen screenshots meer kan maken van mijn mobiel bankieren applicatie. Soms (zakelijk) heb je dat gewoon nodig.

Blacklight447 @old_spice • 8 mei 2020 17:24

Dat is iets wat de applicatie zelf kan configureren ( ik dacht dat het flag = secure is)

Er waren eens wat bugs waardoor apps zelf screenshots konden maken, daardoor heeft android nu de mogelijkheid om screenshots te disablen voor een app.

Wel geef ik je gelijk dat dit beter een user side toggle of permission moet zijn, maar ja, het is nu eenmaal zo.

gwystyl

Samsung Galaxy

@old_spice • 8 mei 2020 19:13

Beetje offtopic, maar in de ING app kan ik losse overschrijvingen delen waardoor je iig kan laten zien dat een bepaa
De boeking gedaan is.

Alex3 @old_spice • 8 mei 2020 22:02

Oplichting met een vervalst screenshot is zo in elk geval niet mogelijk.

Olaf van der Spek @Blacklight447 • 8 mei 2020 16:11

en up to date.

Dat is nogal een aanname.

Blacklight447 @Olaf van der Spek • 8 mei 2020 17:26

Inderdaad, het is inmiddels wel beter geworden door dingen als project treble en android one.

Zelf gebruik ik graphene os, krijg netjes op tijd beiden mijn android EN firmware updates binnen iedere maand

nervwrecker 8 mei 2020 15:33

Heb de mei update netjes ontvangen vorige week voor de S20. Dus dat is redelijk vlot, voor mijn werk tel a5 2017 nog niet, maar dat is nog een keer per kwartaal dus die zal binnenkort wel een keer komen.

SuperDre 8 mei 2020 17:02

je moet dus heel veel MMSjes sturen wat minimaal zo'n 100 minuten duurt... daarmee wordt het dus al een stuk minder interessant, en in nederland dus nog minder omdat MMS niet meer ondersteund worden.

R4gnax @SuperDre • 8 mei 2020 18:49

je moet dus heel veel MMSjes sturen wat minimaal zo'n 100 minuten duurt... daarmee wordt het dus al een stuk minder interessant, en in nederland dus nog minder omdat MMS niet meer ondersteund worden.

Als je via MMSjes aangevallen wordt, ja. Maar dit lek zit dus schijnbaar in Skia zelf, waardoor de mogelijkheden wel een tikkeltje breder zijn en in principe elke app die niet controleert wat het naar Skia doorstuurt, hier vatbaar voor is.

Of natuurlijk gewoon malware apps die dit als een combinatie-ticket voor sandbox escape & root elevation gebruiken.

[Reactie gewijzigd door R4gnax op 9 augustus 2024 02:35]

SuperDre @R4gnax • 8 mei 2020 22:01

Maar, het gaat dan dus om een mechanisme dat images aangeboden krijgt in hoge volume, want 1 image aanbieden aan de skia library hoeft dus geen probleem te zijn, dus ja misschien als je een chatapp hebt die de image in dat formaat aanbiedt (maar denk niet dat er die veel zullen zijn, de meeste zullen gewoon deze omzetten naar jpeg/png oid..

R4gnax @SuperDre • 9 mei 2020 15:53

Maar, het gaat dan dus om een mechanisme dat images aangeboden krijgt in hoge volume, want 1 image aanbieden aan de skia library hoeft dus geen probleem te zijn, dus ja misschien als je een chatapp hebt die de image in dat formaat aanbiedt (maar denk niet dat er die veel zullen zijn, de meeste zullen gewoon deze omzetten naar jpeg/png oid..

En een app die geinfecteerd is met malware, dan wel een minimale rommel-app die bewust door criminelen zelf gemaakt en gepubliceerd is om de malware payload op telefoons geinstalleerd te krijgen? Die kan met gemak op de achtergrond Skia met dit soort geprepareerd image bestoken. (En kan dat een stuk sneller en in hoger volume dan dat met networked delivery zou gaan.)

SuperDre @R4gnax • 9 mei 2020 19:07

Uhm, maar dan heb je dus al malware op je smartphone draaien..

R4gnax @SuperDre • 10 mei 2020 12:45

Uhm, maar dan heb je dus al malware op je smartphone draaien..

Binnen in een sandboxed app waaruit deze eerst zou moeten ontsnappen, ja. En dat is waar deze security vulnerability in Samsung's smaakje van de Skia library om de hoek komt.

AzzKickah 8 mei 2020 17:50

Nou dan kan ik mijn Galaxy S2 weer met een gerust hart gebruiken.

Hoezo, alle Galaxy's?

BeckersTom 8 mei 2020 16:28

Mijn samsung galaxy S7 heeft gisterenavond de geest gegeven. Hij bleef hangen en heb dan een soft reset gedaan en sinds dien wil hij niet meer op starten of opladen. ik krijg hem ook niet in recovery mode. iemand een idee of dit hiermee te maken kan hebben?

Wildfire

@BeckersTom • 8 mei 2020 19:10

Dat zal dan iets anders zijn, deze kwetsbaarheid zorgt ervoor dat iemand je telefoon kan overnemen en dus op afstand kan misbruiken. Een telefoon die het niet meer doet is niet te misbruiken, dus de kans dat het om dit probleem gaat lijkt me vrij klein. Eerder gewoon toeval dat je telefoon net nu de geest geeft.

Mijn werktelefoon is trouwens een S7, dat wordt volgende week pas een S8. Die dus nu al naar kwartaalupdates gegaan is en dus op de backburner staat qua updates. Ik snap dat de baas niet meteen een S20 wil doen, maar een S10 zou toch wel kunnen

m1999 @Wildfire • 8 mei 2020 23:21

Oke dat is gewoon echt heel erg dom voir een werktelefoon ja. De S8 krijgt nog maar 1 jaar ondersteuning, en je wilt als werkgever toch dat je werknemers veilig hun zaken kunnen doen? Zelfs de S9 is nog een betere keuze 😂.

Het beste is een iPhone als werktelefoin vaak. Lange ondersteuning en een ouder model voldoet al prima door de lange ondersteuning. De huidige SE is ook interessant, veel telefoon voor weinig geld

Op dit item kan niet meer gereageerd worden.

Samsung repareert ernstige zero-click-kwetsbaarheid in alle Galaxy-smartphones

Lees meer

Reacties (94)

Sorteer op:

Weergave: