Samsung Galaxy S10 Note 10 krijgt Samsung One UI 2.5 update

Alle Samsung smartphones 6 jaar zeer kwetsbaar

Franke Koornneef

Samsung smartphones van 2014 of nieuwer waren al die tijd zeer kwetsbaar. Een bug zorgde ervoor dat een 0-click remote code execution kon worden uitgevoerd.

Eerder deze week komt er verontrustend nieuws naar buiten voor iedereen die de afgelopen 6 jaar een Samsung smartphone kocht. Een gapend gat in de beveiliging maakte iedere Samsung smartphone sinds 2014 kwetsbaar. En het ergste aan deze kwetsbaarheid is dat het een zero-click lek is; de gebruiker hoefde geen enkele input te geven en toch konden hackers het beveiligingslek misbruiken. Zo werkte het.

MMS maakt Samsung smartphone kwetsbaar

De hele CVE-2020-8899 kwetsbaarheid is mogelijk door Samsung’s ondersteuning van het Qmage image format (.qmg). Dit foto bestand wordt sinds 2014 ondersteund door alle Samsung smartphones. Mateusz Jurczyk, een beveiligingsonderzoeker van Google’s Project Zero, ontdekte de kwetsbaarheid.

Android stuurt Qmage foto’s standaard door naar de Skia library, waardoor een bescherming wordt omzeild. Wanneer een smartphone een foto in dat formaat ontvangt via MMS (multimedia SMS), wordt deze omweg automatisch genomen. Hierdoor is er geen input van de gebruiker nodig om een malafide bestand binnen te halen en zo dus een eventuele firewall the omzeilen.

Gebruiker heeft niets door

Malafide software kan op deze manier, vermomd als Qmage bestand in een MMS, een smartphone van een Samsung gebruiker binnen dringen zonder dat deze iets door heeft. Nou ja, Jurczyk stelt dat er 50 tot 300 verstuurd MMS’jes nodig zijn voordat er een ander cruciaal overflow-systeem in actie komt. Pas dan heeft een hacker iets aan de Qmage kwetsbaarheid. En je kunt je voorstellen dat een gebruiker al snel een beetje schrikt als hij 300 MMS’jes binnen krijgt. Dit proces kan ook nog eens tot honderd minuten duren.

Maar volgens de onderzoeker is het mogelijk om MMS berichten volledig te laten verwerken op een Samsung smartphone, zonder dat de gebruiker een melding krijgt. Kortom, ook een volledig niet detecteerbare toepassing van deze kwetsbaarheid is mogelijk.

Samsung-smartphones niet meer kwetsbaar

Het feit dat we de kwetsbaarheid rapporteren laat natuurlijk al zien dat het probleem al opgelost is. Ondertussen heeft Samsung een update uitgebracht die onder andere deze bug zou gefixen. Of er mensen getroffen zijn door deze 0-click kwetsbaarheid is niet bekend, alsmede hoeveel Samsung-gebruikers dan getroffen zouden zijn.

Lees ook: Samsung gaat de strijd met Apple aan op dit nieuwe vlak

Tags

Tags:

Franke Koornneef

Franke Koornneef

Boyd heeft 13 jaar ervaring als schrijver. Hij is sinds 2013 werkzaam bij Apparata, waar hij artikelen schrijft over software, gadgets, gaming, technologie en auto's. Boyd blijft op de hoogte van de allerlaatste ontwikkelingen over deze onderwerpen en deelt zijn kennis en expertise graag met de lezer. In zijn vrije tijd is hij een actieve sporter die houdt van tennissen en padel spelen.

Alle artikelen door Franke Koornneef
Populaire artikelen
Populaire categorieën