image

Samsung-telefoons door kritieke kwetsbaarheid via MMS over te nemen

donderdag 7 mei 2020, 09:41 door Redactie, 14 reacties

Alle Samsung-telefoons die de afgelopen vijf jaar zijn verschenen bevatten een kritieke kwetsbaarheid waardoor een aanvaller alleen een MMS hoeft te versturen om het toestel over te nemen. Er is geen interactie van de gebruiker vereist. Samsung heeft updates uitgebracht, maar niet alle toestellen zullen die ontvangen.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Mateusz Jurczyk van Google, die zijn bevinding op Twitter bekendmaakte. Het probleem wordt veroorzaakt door twee custom bestandsformaten voor afbeeldingen genaamd QM en QG, ook wel Qmage genoemd. Deze formaten zijn herkenbaar aan de .qmg-extensie. Samsung voegde in de tweede helft van 2014 ondersteuning van deze formaten toe aan de eigen Androidversie.

Jurczyk ontdekte dat door het versturen van een speciaal geprepareerd Qmage-bestand het mogelijk is om willekeurige code op het toestel uit te voeren. In het geval van een MMS-bericht wordt de inhoud zonder interactie van gebruikers verwerkt, wat het een ideale aanvalsvector voor aanvallers maakt. Om het uitvoeren van code mogelijk te maken moet echter wel eerst de ASLR-beveiliging worden omzeild.

Dit is volgens Jurczyk het lastigste deel van de aanval en vereist dat de aanvaller tussen de vijftig en driehonderd MMS "probes" moet versturen. Gemiddeld zou een exploit honderd van dergelijke MMS-berichten nodig hebben. Elke MMS-probe zorgt ervoor dat de Messages-app crasht. Android laat een programma na meerdere crashes pas na zestig seconden herstarten. Een aanval van de onderzoeker met 86 MMS-probes nam zo'n honderd minuten in beslag.

Een aanvaller zou de berichten bijvoorbeeld 's nachts kunnen versturen zodat het slachtoffer dit niet door heeft. In een demonstratievideo is te zien hoe Jurczyk via de MMS-aanval een reverse shell op het toestel krijgt en zo foto's en sms-berichten kan bekijken alsmede willekeurige applicaties kan starten.

Samsung werd op 28 januari over de kwetsbaarheid geïnformeerd. Het bedrijf heeft het beveiligingslek als kritiek bestempeld. Gebruikers die geen beveiligingsupdates meer ontvangen kunnen de "auto retrieve" optie voor multimediaberichten in de Messages-app uitschakelen.

Image

Video - Exploitation of a Samsung Galaxy Note 10+ Zero-Click RCE Bug via MMS. Bron: YouTube

Reacties (14)
07-05-2020, 09:52 door Anoniem
Zijn dat diezelfde telefoons waar de 'privacy vriendelijke' corona-app op zou moeten gaan draaien?
07-05-2020, 10:19 door karma4
Door Anoniem: Zijn dat diezelfde telefoons waar de 'privacy vriendelijke' corona-app op zou moeten gaan draaien?
Meer zorgelijk: de onkraakbare zeer veilige apps van banking die zonder verdere controle alle betaling doorlaten.
07-05-2020, 10:25 door Anoniem
Lukt hier in NL toch niet als je Vodafone hebt want die heeft MMS uitgeschakeld. Je kunt alleen nog maar tekst SMS sturen.
07-05-2020, 11:09 door Anoniem
Door Anoniem: Lukt hier in NL toch niet als je Vodafone hebt want die heeft MMS uitgeschakeld. Je kunt alleen nog maar tekst SMS sturen.
Dat is niet waar. Al zou het waar zijn, wat als je de grens overgaat of dat je Vodafone bereik wegvalt dan schakel je over naar een andere provider die het wel heeft ingeschakeld.
07-05-2020, 11:22 door linux4
Door Anoniem: Lukt hier in NL toch niet als je Vodafone hebt want die heeft MMS uitgeschakeld. Je kunt alleen nog maar tekst SMS sturen.

Ook KPN en T-Mobile zijn al een tijdje gestopt met het doorsturen van MMS.
07-05-2020, 11:23 door linux4
Door karma4:
Door Anoniem: Zijn dat diezelfde telefoons waar de 'privacy vriendelijke' corona-app op zou moeten gaan draaien?
Meer zorgelijk: de onkraakbare zeer veilige apps van banking die zonder verdere controle alle betaling doorlaten.

En die hacker die het toestel overneemt kan dan ook op afstand mijn vinger op de vingerafdrukscanner plaatsen? Want zonder die vingerafdruk kan ik geen betalingen uitvoeren...
07-05-2020, 11:47 door Anoniem
Betreft het alle telefoons van Samsung in de afgelopen 5 jaar? Of alleen de (Android) smartphones?
07-05-2020, 11:56 door johanw
Door Anoniem: Lukt hier in NL toch niet als je Vodafone hebt want die heeft MMS uitgeschakeld. Je kunt alleen nog maar tekst SMS sturen.
Dat geldt al jaren lang vooralle Nederlandse providers, niet alleen Vodafone.
07-05-2020, 12:10 door Anoniem
Door linux4:
Door Anoniem: Lukt hier in NL toch niet als je Vodafone hebt want die heeft MMS uitgeschakeld. Je kunt alleen nog maar tekst SMS sturen.

Ook KPN en T-Mobile zijn al een tijdje gestopt met het doorsturen van MMS.

Aha een tijdje geleden vroeg ik me al af waarom ik geen foto's meer kan versturen in mijn 2630 maar nu snap ik het...
(voorheen werd dat als MMS gestuurd)
Ik dacht dat ik wellicht iets fout had ingesteld.
07-05-2020, 12:20 door Anoniem
"... niet alle toestellen zullen de update ontvangen"

Nou, daar ga je weer met je premium merk.
07-05-2020, 13:13 door The FOSS
Helpt het als je auto-download van MMS attachments uit hebt staan?
07-05-2020, 15:13 door Briolet
Door The FOSS: Helpt het als je auto-download van MMS attachments uit hebt staan?

Als je tot de laatste regel door had gelezen, wist je het. (-:
07-05-2020, 20:12 door The FOSS
Door Briolet:
Door The FOSS: Helpt het als je auto-download van MMS attachments uit hebt staan?

Als je tot de laatste regel door had gelezen, wist je het. (-:

Héé zeg! Je hebt gelijk! Zou Erik dan toch een punt hebben als hij zegt dat ik posts niet of niet helemaal lees?
11-05-2020, 10:18 door spatieman
Ik dacht dat die MMS bug al voor 4 jaar terug was gepatched ?
oh, wacht, dat was apple na 3 dagen die met een patch kwam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.