Ontwikkelaars hebben een potentieel gevaarlijk lek gevonden in alle telefoons met een Samsung Exynos-processor, waaronder de Galaxy S III, Galaxy S II, Galaxy Note en Galaxy Note II. Het lek kan door elke applicatie misbruikt worden om toegang te krijgen tot al het geheugen.
Daardoor zou een aanvaller met malware, die gebruiktmaakt van het lek, toegang kunnen krijgen tot alle gegevens op de telefoon. De aanvaller zou dat kunnen doen zonder dat de gebruiker veel doorheeft: een app installeren kan genoeg zijn om het lek te misbruiken. Op dit moment is die malware er nog niet, omdat er pas zondag voor het eerst over het lek is gepubliceerd.
Het lek zit in de file /dev/exynos-mem, schrijft Alephzain op XDA-Developers. Iedere gebruiker heeft read/write-toegang tot het device-bestand, dat op zijn beurt toegang geeft tot al het werkgeheugen. Daardoor kan een gebruiker vanuit daar al het geheugen benaderen op de telefoon. Het bestand /dev/exynos-mem wordt gebruikt voor grafische toepassingen, zoals de camera en hdmi-output.
Samsung is afgelopen weekeinde op de hoogte gesteld van het lek, maar het bedrijf heeft nog geen reactie gegeven. Een fix kan enige tijd in beslag nemen: zelfs als Samsung binnen enkele dagen een fix heeft, kan het weken tot maanden duren voordat alle getroffen toestellen die fix kunnen ontvangen. Het beveiligingsgat kan ook gebruikt worden om op makkelijke wijze root-toegang te verkrijgen tot een toestel met Exynos-processor.
Er zijn al enkele fixes online verschenen voor de exploit. Ontwikkelaar SuperCurio heeft een fix die geen root-toegang vereist en enkel het lek dicht, terwijl de Nederlandse ontwikkelaar Chainfire een tool online heeft gezet die het toestel root en vervolgens het lek dicht.