De Samsung Galaxy S10, het vlaggenschip van de Zuid-Koreaanse elektronicafabrikant, is kwetsbaar voor aanvallen via een kwaadaardig gsm-basisstation en een beveiligingsupdate is nog niet beschikbaar. Ook het bezoeken van een kwaadaardige website kan aanvallers code op het toestel laten uitvoeren.

De aanvallen op de Galaxy S10 werden tijdens de jaarlijkse Pwn2Own-wedstrijd in Tokyo gedemonstreerd. Een door het Zero Day Initiative (ZDI) georganiseerde wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Onderzoekers Amat Cama en Richard Zhu lieten zien hoe ze via een stack overflow een bestand op het toestel konden plaatsen nadat het verbinding met het kwaadaardige gsm-basisstation had gemaakt. Voor deze aanval ontvingen de onderzoekers 50.000 dollar.

Vervolgens lieten de onderzoekers een aanval zien via de standaardbrowser van de Galaxy S10. Alleen het bezoeken van een kwaadaardige website met de browser is voldoende om aanvallers code op het toestel uit te laten voeren. Gisteren demonstreerden Cama en Zhu ook al een aanval waarbij het mogelijk is om via een NFC-aanval foto's van een Galaxy 10 te exfiltreren.

Een soortgelijke aanval werd op de tweede dag van Pwn2Own ook tegen de Xiaomi Mi9 gedemonstreerd door onderzoekers Mark Barnes, Toby Drew, Max Van Amerongen en James Loureiro van F-Secure. Alleen het aanraken van een speciaal geprepareerde NFC-tag maakt het mogelijk voor een aanvaller om toegang tot data op de telefoon te krijgen. De aanval werd met 20.000 dollar beloond. Gisteren bleek dat ook de browser van de Mi9 kwetsbaar voor aanvallen via het web is.

Zowel Samsung als Xiaomi zijn over de ontdekte kwetsbaarheden ingelicht. Wanneer de beveiligingsupdates zullen verschijnen is nog onbekend. Pas na het uitkomen van de patches zal het ZDI de details over de kwetsbaarheden vrijgeven.