Samsung belooft beveiligingslek Galaxy-telefoons te repareren

Samsung heeft in een reactie aangegeven dat het beveiligingslek dat in verscheidene Galaxy-telefoons zit zal repareren met een software-update. Wel is vooralsnog onduidelijk op welke termijn gebruikers de fix kunnen verwachten.

De Koreaanse fabrikant heeft in een verklaring die naar verscheidene media is gestuurd laten weten dat het bestaan van een beveiligingslek in de Exynos-processors die voor de Galaxy S II, Galaxy S III, Galaxy Note en Galaxy Note II worden gebruikt, is bevestigd door zijn software-ontwikkelaars. Deze zullen zo snel mogelijk een fix ontwikkelen om het lek te dichten, zo belooft Samsung.

Het lek werd kortgeleden ontdekt door een ontwikkelaar van het XDA-forum en zit alleen in de Exynos-processors van Samsung. Het probleem is dat iedere gebruiker read/write-toegang heeft tot het /dev/exynos-mem-bestand, dat op zijn beurt toegang geeft tot het gehele werkgeheugen.

Inmiddels zijn er al onofficiële methodes om het lek te dichten. Het is nog niet duidelijk wanneer de officiële fix precies wordt vrijgegeven: Samsung heeft hier geen details over vrijgegeven.

Reacties (59)

n00bs 19 december 2012 20:13

Handig om even het bronartikel te linken:
http://forum.xda-developers.com/showthread.php?t=2053824

En fix van Chainfire: http://forum.xda-developers.com/showthread.php?t=2050297

[Reactie gewijzigd door n00bs op 24 juli 2024 16:51]

Frozen 19 december 2012 21:36

En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is. Hier nog een gesprekje geplukt uit een andere post van mij.
Zo zie je maar dat Samsung er alles voor doet om potentiële klanten tevreden te houden, nadat je hun product hebt gekocht verlenen ze nog amper service.
Ik zal hem morgen aan de tand voelen over de onzin die hij heeft uitgekraamd.
Wordt vervolgd...

Frozen in 'nieuws: Ontwikkelaars vinden lek in Samsung Galaxy S III en S II'

[Reactie gewijzigd door Frozen op 24 juli 2024 16:51]

Los Eindjeles @Frozen • 19 december 2012 22:00

Dat Samsung er alles aan doet lijkt me een moeilijke klus, aangezien zij de software op de telefoons niet zelf ontwikkelen. (uitgezonderd 'de schil') Ze zijn daarom niet 100% in control en afhankelijk.

Verwijderd @Los Eindjeles • 19 december 2012 22:24

Maar Samsung is natuurlijk wel zodanig groot dat ze behoorlijk wat druk op hun leveranciers kunnen uitoefenen...

antiekeradio @Verwijderd • 19 december 2012 23:15

deze leak is ontstaan door codeerwerk van Samsung engineers.

dus druk op leveranciers?? not relevant.

vinietje @Frozen • 19 december 2012 22:18

ik weet niet of iedereen hier de magnitude van die 'bug' snapt, maar volledig toegang tot het physieke geheugen is nogal wat!

bedoel, als je kernelspace memory kunt benaderen, kun je alles, keyboards uitlezen, de hele rattenplan...

dus tja, ze moeten deze bug wel heel goed fixen, want als er regressie op treedt zijn ze helemaal f*cked kwa reputatie

Los Eindjeles @vinietje • 19 december 2012 22:22

+1

'Spijker op de kop slaan' lijkt me de juiste uitdrukking.

MneoreJ @Frozen • 19 december 2012 22:22

En door Kader van de Samsung klantenservice chat (op hun website) werd mij verteld dat ik niet alles moest geloven wat er in de media gezegd werd. Ook werd verteld dat mijn privacy nog steeds gewaarborgd is.

Nou ja, technisch gezien is dat laatste ook zo. Je privacy is niet (meer) in het geding dan hij al was met alle Google-ware erop. Dat wil zeggen, zolang je maar geen malware installeert die van het lek gebruik maakt -- want daarna kan de auteur daarvan letterlijk alles met je telefoon doen, inclusief het uploaden van alles wat erop staat naar zijn eigen site, en dat is dan nog vrij fantasieloos. Maar het is geen vulnerability die data van buitenaf toegankelijk maakt, zonder lokale exploit -- dat zou een privacylek zonder meer zijn.

Zolang je nooit software installeert buiten de store, en Google 100% correct is in het afvangen van software die deze exploit gebruikt, zit je in theorie goed. Uiteraard is dat ongeveer net zoiets als zeggen dat koorddansen over de Niagarawaterval zonder vangnet OK is, zolang je maar let op je evenwicht -- schrale troost.

Ik ben toevallig erg tevreden met de exploit omdat de fix van Chainfire mijn nieuwe Note II nu zonder gedoe geroot heeft samen met een patch voor de exploit zelf. Twee vliegen in één klap. Maar was die fix er niet geweest, dan zou ik domweg geen software geïnstalleerd hebben tot het lek gedicht was, ook niet uit de store. (Technisch gezien, als de fix van Chainfire zelf een bug bevat of Chainfire achteraf evil blijkt te zijn heb ik natuurlijk nog steeds pech gehad.)

Het had Samsung gesierd (maar is commercieel vast niet interessant) om zijn klanten aan te raden geen apps en geen updates voor apps te installeren tot het gefixt is, en auto-updates voor apps uit te zetten. Zo ernstig is het namelijk wel.

[Reactie gewijzigd door MneoreJ op 24 juli 2024 16:51]

Verwijderd @Frozen • 21 december 2012 21:34

je vergeet wel 1 ding stef, ik zeg niet dat Sansung gelijk heeft. Maar de lek kan idd veel eerder zijn ontdekt. Niet iedereen die iets ontdekt meld t aan de media.

Soms wordt t direct gemeld bij samsung en soms blijft zo iets staan tussen tig andere berichten op een forum, voordat iemand t oppikt. Daarnaast is t moeilijk voor samsung om precies dezelfde dag te melden of t al gefixed is. Hun database voor fixes is nogal groot met waarschijnlijk veel dubbele requests. Als men t zelfde probleem anders formuleert levert dat ook problemen op. De specialist heeft t probleem mogelijk eerder voorbij zien komen en mogelijk t juiste antwoord weten te geven.

Consumenten snappen soms niet hoe hard er voor hun wordt gewerkt achter de schermen.

PS: Je had beter kunnen vragen om t probleem voor te lezen uit t systeem om te checken of jullie t over hetzelfde probleem hadden.

NESFreak 19 december 2012 20:33

Waarschijnlijk hebben ze het niet gefixt, maar is het gewoon geen bug in de nieuwe firmware. Begin januari komt namelijk de jelly bean update voor het gros van de vatbare toestellen.

nieuws: Samsung brengt Android 4.1 ook naar goedkopere Galaxy's

BoomSmurf @NESFreak • 19 december 2012 20:56

Helaas, op de tot nu toe gelekte Jelly Bean firmwares is het probleem wel degelijk aanwezig. Er is toch wel wat kans dat wanneer die update officieel uitkomt daarin het probleem nu wel verholpen is, maar dat is allerminst zeker.

De bug uplossen is niet zo'n probleem, grote kans dat de bug in de source code bij Samsung ondertussen verholpen is - maar een update is niet zo snel uitgebracht als je zou denken. Na Samsung QA (ondanks alle grappen hebben ze wel degelijk een QA afdeling) is er in verschillende landen ook nog een aantal instanties die allemaal afgelopen moeten worden, en ook de carriers mogen niet vergeten worden (voor diegene die geen unbranded hebben).

Als Samsung de fix vandaag kon uitrollen op alle telefoons wereldwijd, zouden ze dat vast doen ...

Sypheron 20 december 2012 08:23

Exynos-processors die voor de Galaxy S II, Galaxy S II, Galaxy Note en Galaxy Note II worden gebruikt

Ik verwacht dat in het eerste geval de Galaxy S I bedoeld wordt?
En betreft het dan ook de gepimpte versies van deze telefoons? Over het algemeen gebruiken die andere processoren.

Verwijderd @Sypheron • 20 december 2012 09:52

Waarschijnlijk bedoelen ze galaxy s 3 met de tweede, volgens mij heeft galaxy s 1 geen exynos

P van H 20 december 2012 01:46

Is dit ook de rede waarom de s2 nog steeds geen 4.1.2 update heeft gekregen? I word een beetje moe van het wachten op die updates..

PDankers 20 december 2012 10:44

Jammer dat er niet gekeken wordt naar de kern van het probleem. Het gaat erom dat de gewone consument (wat hier idioot wordt genoemd) eigenlijk zonder probleem alles uit een toestel kan halen. Dat houdt in dat je product idoot proof ontwikkeld moet worden.
Het gaat dan absoluut niet over of android of ios of wp beter is, en of samsung nu goede of slechte producten maakt.
De kern is; een consument moet een product hebben waar hij/zij alles mee kan doen wat hij/zij verwacht. Hij moet in principe alles kunnen doen/klikken zonder dat er iets mis gaat (eventueel afgedekt met waarschuwingen). En in alle gevallen moet (digitale) veiligheid de hoogste prio zijn.

Wat absoluut geen argument is is; denk je dat dit bij ios of WP niet gebeurt. Dat is een vergelijk tussen slechten en die wil je allemaal niet. En voor alle niet idioten, ben blij dat er zoveel idioten mee betalen aan de ontwikkeling van je samsung gadget. Lijkt mij dan ook niet meer dan redelijk dat er een product wordt ontwikkeld voor idioten.

Dit is gewoon een serieus lek en je mag verwachten dat dit binnen 1 week na ontdekking concrete acties worden ondernomen. Dit kan zijn gebruikers waarschuwen en/of een fix aankondigen met datum. Heel simpel & concreet. Niets is zo slecht als een niet geïnformeerde klant.

Nas T 19 december 2012 20:06

Grappig. Direct nadat op tweakers.net bekend was dat er een beveiligingslek was, was het al door ontwikkelaars gedicht (niet door Samsung). Pas enkele dagen later bericht Samsung (oftewel captain obvious) dat ze het lek zullen dichten (ow echt? Had ik niet verwacht...), maar onduidelijk in welke termijn. Zucht. Ook daarom: open source. Community.

[Reactie gewijzigd door Nas T op 24 juli 2024 16:51]

Fabbie @Nas T • 19 december 2012 22:48

Je zegt wel "Ook daarom: open source. Community" maar juist daarom duurt het zolang voordat een ontwikkelaar voor al zijn toestellen en alle software die het daarop laat draaien een patch kan maken waar ze redelijk achter kunnen staan. Android is zo gefragmenteerd dat het bijzonder lastig is. Als het closed source zoals iOS was, dan was 1 nieuwe versie voldoende geweest.

ph4ge @Fabbie • 19 december 2012 23:25

Het is geen fout in Android, het is een fout van Samsung. Fragmentatie speelt hier geen rol.

EagleTitan @Fabbie • 19 december 2012 23:27

Iets met klok en klepel?

Of Android open of closed source is heeft niets te maken met hoeveel verschillende devices Samsung moet ondersteunen. Dit is geen Android-issue, maar een Samsung-issue (specifiek, een Exynos4-issue).

Verwijderd @Nas T • 19 december 2012 20:44

dus je vindt het bijna slecht dat ze het melden dat ze het gaan dichten? ze kunnen ook gewoon niks zeggen, dan gaan er meer mensen zeuren.

Nas T @Verwijderd • 19 december 2012 20:53

Ze gaan niet niks doen. Een ernstig beveiligingslek niet dichten is ongeveer hetzelfde als dat Toyota de problemen met hun remmen zouden negeren. Het gaat om veiligheid.

Ik vind het jammer dat de community in staat is om direct een fix te hebben terwijl Samsung pas later met alleen berichtgeving komt, niet eens een fix. Ik zou het pas goed vinden als Samsung vandaag ook met een fix komt.

TheBigB86 @Nas T • 19 december 2012 21:18

Je gaat hier wel heel kort door de bocht en ik denk dat jij ook niet bijzonder veel verstand hebt van software ontwikkeling. Het patchen van dit soort 'lekken' kan een stroom aan nieuwe problemen introduceren. Om te voorkomen dat er nieuwe lekken of problemen geintroduceerd worden, is het belangrijk dat een mogelijke oplossing uitvoerig getest wordt.

Die XDA developers hoeven geen kwaliteit te garanderen, en kunnen op die manier veel sneller fixes uitbrengen.

Nas T @TheBigB86 • 19 december 2012 21:26

Daar heb je een punt. Maar toch zou ik liever zien dat er snel een lek gedicht werd, met eventueel het risico dat er een nieuw lek ontstaat. Dat lek zou dan snel bekend zijn en eventueel ook snel gedicht kunnen worden of anders de update ongedaan gemaakt worden. Mijn ervaringen met open-source en commmunity zijn beter dan met "officiële" updates. Zo ervaar ik regelmatig crashes (elke 2 dagen) met de stock-browser van Android. Daarom heb ik een custom-rom geïnstalleerd en helaas blijven de crashes.
Dit probleem had ik niet bij Maemo, daar had ik ook af en toe een crash of een complete reboot, maar hier zat ik ook veel meer aan te tweaken.

Kortom: mijn punt blijft dat de community zich voor mij toch bewezen heeft ten opzichte van de officiële weg, omdat de ontwikkeling vaak meer baat heeft bij een dynamische ontwikkeling dan ontwikkeling door een logge bureaucratie.

braatwurst @Nas T • 19 december 2012 21:31

TheBigB86 heeft helemaal gelijk. Zoals al eerder gemeld in de comments hier op Tweakers is de "community fix" helemaal niet waterdicht.

Bedrijven kunnen niet op die manier op hun bek gaan en moeten nieuwe software eerst testen.

dragontje124 @braatwurst • 19 december 2012 22:11

Sterker nog, de community fix zorgt ervoor dat je front camera niet meer werkt, omdat deze gebruik maakt van dat bestand.

antiekeradio @dragontje124 • 19 december 2012 22:34

heb de fix van ChainFire nu op 6 toestellen geinstalleerd:

- S2
- note 1, wit
- note 1, zwart
- S3, pebble blue
- note 2, grey (2 keer)

en op géén van allen is de camera functionaliteit aangetast.

er zijn ondertussen al 2 of 3 'community fixes' maar ChainFire heeft het gewoon weer helemaal voor elkaar.

marino_centrino @antiekeradio • 20 december 2012 08:52

Van de patch-site van Chainfire: "Please note that patching the exploit may break camera functionality, depending on device and firmware"

Ik waardeer de kunde en snelheid van Chainfire enorm, maar met een dergelijk voorbehoud kan Samsung natuurlijk geen patch uitbrengen.

FreshMaker @marino_centrino • 20 december 2012 09:38

Voor samsung geldt dan ook maar één versie per toestel, de laatst officieel uitgebrachte firmware.

Dat gebruikers niet updaten, of een 'custom rom' geinstalleerd hebben is niet hun verantwoording.

Samsung test de patch op de laatste versie, en als die werkt, wordt het uitgebracht.

( ik ben vóór de community roms, maar heb wel begrip voor de werkwijze van Samsung hierin )

Biersteker @antiekeradio • 19 december 2012 23:53

Dat komt puur en alleen omdat Chainfire echt een baas is, die ook al heeft hij zijn aversie tegen samsung duidelijk gemaakt, alsnog met fixes komt. Ja, Chainfire is een baas.

Roelof @antiekeradio • 20 december 2012 12:39

Op mijn note 1 met firmware 4.04 XXLRK deed de gehele camera het niet als ik Chainfire's fix enable.

Verwijderd @Nas T • 19 december 2012 22:19

Je vergeet alleen 1 ding: een open source community ontwikkelt voor een bepaalde doelgroep. Dat concept van een community gaat niet werken voor de doorsnee smartphone gebruiker.

Luchtbakker @Verwijderd • 19 december 2012 22:26

Of je benaderd gewoon een gemiddelde XDA-Tweaker die het gat gedicht heeft, geeft hem 10.000 dollar voor de oplossing ( zoals google dat doet als beloning ) en iedereen is tevreden.

Kevinp @Luchtbakker • 20 december 2012 08:24

En vervolgens kom je er achter dat zijn fix 50% van je testen omgooit en je 100.000 dollar verspijkerd om dit weer goed te krijgen.

Makkelijker gezegd dan gedaan dus.

Titan_Fox @Nas T • 20 december 2012 00:03

Als we op deze patch nét zo lang moeten wachten als op de Jelly Bean update, wordt het nog een gezellige boel.

skrall 19 december 2012 20:23

Daarom hou ik net van Android: daar kun je gemakkelijk zelf mee aan de slag.
Ik heb sinds kort ook een SII en de dag dat het artikel over het beveiligingslek hier op Tweakers.net verscheen, heb ik het nog gefixt m.b.v. de .apk van jullie landgenoot Chainfire (ik ben een Belg

)

http://forum.xda-developers.com/showthread.php?t=2050297

Lekker downloaden, openen en iets aanvinken

Ik kan me voorstellen dat er op iOS en WP bij bugs minder vlotte manieren zijn om eventuele fouten/lekken te repareren.

^{edit: typo}

[Reactie gewijzigd door skrall op 24 juli 2024 16:51]

jvvj @skrall • 19 december 2012 20:37

De camera werkt nog wel op de s3 na de fix? Op de note niet, dus er is geen (goede) fix.

skrall @jvvj • 19 december 2012 20:55

Hmm de developers vinden snel genoeg een fix daarvoor, die er niét voor zorgt dat de camera het laat afweten.
Anderzijds heb ik bij m'n SII geen problemen ondervonden. De camera werkt nog uitstekend.

Verwijderd @skrall • 19 december 2012 22:20

Maar dat zijn toch alleen maar oplossing voor hobbyisten? Een normale gebruiker heeft hier toch niks aan?

Fire69 @braatwurst • 19 december 2012 21:36

Waardoor denk je dat alle jailbreaks op iOS mogelijk zijn? Juist, door security issues.

Had Apple die niet steeds moeten dichten, dan hadden ze nu nog op iOS 3 of zo gezeten

En voor WP7 had je heel snel WP Chevron 7, die je telefoon kon unlocken zodat je kon sideloaden en zo (gewoon een jailbreak dus ook). Hoe denk je dat die mogelijk was?

Dus misschien eerst wat verder kijken voordat je kritiek geeft op Android.

[Reactie gewijzigd door Fire69 op 24 juli 2024 16:51]

Game_overrr @Fire69 • 19 december 2012 21:53

Ik denk dat je zelf iets verder moet kijken. Voor WP en iOS zijn eigenlijk geen virussen omdat de gebruikers alles uit de gecontroleerde store halen. Android gebruikers doen dat niet en halen zelf dus malware binnen. Dit gaat voor zover bekend niet bij WP en iOS. Mijn ervaring is dat WP en iOS in de praktijk waterdicht zijn en Android niet. Zelf vind ik het echt een lachertje dat er een botnet is op Android telefoons. Wat wel zo is: iedereen met verstand van Android heeft ook echt een heel leuke telefoon waar veel mee mogelijk is.

Ieder OS zo zijn voor en nadelen?

Jeroenneman @Game_overrr • 19 december 2012 23:21

De meeste android gebruikers zullen ook gewoon alles uit de store halen . Met een beetje gezond verstand kom je een heel eind . Eigenlijk net zoals met Windows op de PC . Idioten zullen altijd een manier vinden om alles in de soep te draaien . Zolang je een beetje normaal doet zijn er maar weinig problemen.

Hadespuiter @Fire69 • 20 december 2012 02:57

Security issue's op iOS zijn allang niet meer van dit knullige niveau. Zo is er nog steeds geen unthetered jailbreak van iOS 6 voor de iPhone 5.

tomazzs 19 december 2012 23:45

Oei, er staat een klein foutje in het artikel: "Galaxy S II, Galaxy S II, Galaxy Note en Galaxy Note II" ik vermoet dat er bedoelt wordt Galaxy s III.

Ik las even geleden al een artikel waarin stond dat iemand van op afstand de galaxy s III zomaar kon rebooten, weet iemand of deze hack ondertussen al opgelost is?

tinoz @tomazzs • 20 december 2012 14:38

Ik vermoed....
Bedoeld.

cgers 19 december 2012 20:07

samsung doet mer en meer moeite voor hun klanten wat ik wel zeer mooi vind.
Ik was vandaag in de winkel Saturn en tot mijn grote verbazing had samsung praktisch een hele muur met zijn accessoires, niet enkel voor de gs3 maar ook voor de goedkope.
Vroeger moest je universele accessoires kopen voor samsung.
Wat me het hardste verbaasde was dat je iphone spullen ergens anders moest gaan zoeken
(een muur in de buurt van de kassa en niet zoals de rest duidelijk in het zicht bij de smartphones)

Nas T @cgers • 19 december 2012 20:09

Ik vind het niet heel professioneel dat een behoorlijk potentieel beveiligingslek wat al enkele dagen bekend is alleen een persbericht krijgt: "We zullen het dichten". Wanneer? Geen idee.

cgers @Nas T • 19 december 2012 20:11

dat wel waar maar soms worden bij merken problemen gewoon niet opgelost
beter laat dan nooit.

Selmer @Nas T • 19 december 2012 20:25

Had sowieso niet mogen gebeuren, nu hopen dat het wordt gedicht voordat er met malware geïnfecteerde apps er misbruik van gaan maken, dat zou niet best zijn.

Zal nog wel een tijd duren voordat alle kwetsbare telefoons geüpdate zijn.

//offtopic

Mogen ze wel heel leuk Apple gaan mocken met Galaxy S3 reclames (eerst al met 'next big thing' en nu ook eentje over 'apple maps'), maar zelf hebben ze de zaakjes (ook?) niet op orde.

Ik kende meerdere mensen (ongeveer 10) met een Galaxy S2 destijds waarvan de accu er plots mee ophield, mochten ze 'm opsturen.

Nu al enkele mensen met een GS3 waarvan de oplader 's nachts tijdens het opladen is gaan vast smelten aan de telefoon...

Het moet eens ophouden met dat moddergooien, word er onderhand wel een beetje moe van

antiekeradio @Selmer • 19 december 2012 22:38

yep, mijn eigen S3 is ook anderhalve week 'op vakantie' naar meneer dynafix voor een nieuw moederbord voor deze reden. Ben benieuwd of ze hem nog voor de kerst terug bij het servicepunt krijgen...

anyways.. ik hoorde vandaag op de radio een reclame van samsung mobile over beveiliging. Mobile Security - Standaard bij de toestellen van Samsung Mobile (of zo iets!)
Dacht bij mezelf natuurlijk gelijk "yeah -- RIGHT!!"

hahaha slechte timing jongens.

Titan_Fox @cgers • 20 december 2012 10:42

@cgers : Probeer bij de Media Markt maar eens een fatsoenlijk geluidsdock te vinden voor telefoons met een micro-USB aansluiting. Veel keus heb je niet.

Al die docks die daar staan zijn voor de iPhone; zeker de premium merken als Bang en Olufsen / Bose / Harman Kardon.

Volgens mij geloven deze fabrikanten dat iedereen zo'n waardeloze Apple-prul in huis heeft. Wat mij betreft mogen er heel wat meer accessoires uit komen voor Android-telefoons.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: