Samsung smartphones van 2014 of nieuwer waren al die tijd zeer kwetsbaar. Een bug zorgde ervoor dat een 0-click remote code execution kon worden uitgevoerd.
Eerder deze week komt er verontrustend nieuws naar buiten voor iedereen die de afgelopen 6 jaar een Samsung smartphone kocht. Een gapend gat in de beveiliging maakte iedere Samsung smartphone sinds 2014 kwetsbaar. En het ergste aan deze kwetsbaarheid is dat het een zero-click lek is; de gebruiker hoefde geen enkele input te geven en toch konden hackers het beveiligingslek misbruiken. Zo werkte het.
MMS maakt Samsung smartphone kwetsbaar
De hele CVE-2020-8899 kwetsbaarheid is mogelijk door Samsung’s ondersteuning van het Qmage image format (.qmg). Dit foto bestand wordt sinds 2014 ondersteund door alle Samsung smartphones. Mateusz Jurczyk, een beveiligingsonderzoeker van Google’s Project Zero, ontdekte de kwetsbaarheid.
Android stuurt Qmage foto’s standaard door naar de Skia library, waardoor een bescherming wordt omzeild. Wanneer een smartphone een foto in dat formaat ontvangt via MMS (multimedia SMS), wordt deze omweg automatisch genomen. Hierdoor is er geen input van de gebruiker nodig om een malafide bestand binnen te halen en zo dus een eventuele firewall the omzeilen.
Gebruiker heeft niets door
Malafide software kan op deze manier, vermomd als Qmage bestand in een MMS, een smartphone van een Samsung gebruiker binnen dringen zonder dat deze iets door heeft. Nou ja, Jurczyk stelt dat er 50 tot 300 verstuurd MMS’jes nodig zijn voordat er een ander cruciaal overflow-systeem in actie komt. Pas dan heeft een hacker iets aan de Qmage kwetsbaarheid. En je kunt je voorstellen dat een gebruiker al snel een beetje schrikt als hij 300 MMS’jes binnen krijgt. Dit proces kan ook nog eens tot honderd minuten duren.
Maar volgens de onderzoeker is het mogelijk om MMS berichten volledig te laten verwerken op een Samsung smartphone, zonder dat de gebruiker een melding krijgt. Kortom, ook een volledig niet detecteerbare toepassing van deze kwetsbaarheid is mogelijk.
Samsung-smartphones niet meer kwetsbaar
Het feit dat we de kwetsbaarheid rapporteren laat natuurlijk al zien dat het probleem al opgelost is. Ondertussen heeft Samsung een update uitgebracht die onder andere deze bug zou gefixen. Of er mensen getroffen zijn door deze 0-click kwetsbaarheid is niet bekend, alsmede hoeveel Samsung-gebruikers dan getroffen zouden zijn.
Lees ook: Samsung gaat de strijd met Apple aan op dit nieuwe vlak
Het feit dat niet plaats gevonden heeft zegt genoeg …
Er is geen enkel systeem waterdicht en het is een utopie dat alle exploits, bugs, leaks en weet ik wat ooit gevonden zullen worden.
De meesten zijn laboratorium hacks die in de praktijk niet tot nauwelijks bruikbaar zijn, anders was dat echt wel gebeurd.