Deel Samsung Galaxy-telefoons kwetsbaar voor complete reset

tags:
Userpica

Meer dan een eenvoudige regel html is niet nodig om Galaxy-toestellen in reset-modus te zetten. 

Tijdens de Argentijnse Ekoparty-conferentie voor computerveiligheid, heeft een groep beveiligingsonderzoekers een opvallende bevinding gepresenteerd. Ze zijn erachter gekomen dat sommige Samsung Galaxy-telefoons op afstand door middel van een simpele link gereset kunnen worden. In de link kunnen zogenaamde supportcodes verstopt worden. 

Dergelijke codes kunnen ontwikkelaars gebruiken om snel en simpel acties uit te voeren door ze als telefoonnummer in te voeren. Een van de supportcodes zet zonder waarschuwing een complete reset van de telefoon in gang, zo ontdekten de onderzoekers. Ze hoefden de code alleen nog maar als telefoonnummer in een stukje html te verpakken en presto: reset.

In de praktijk betekent dit dat een keertje drukken op een ogenschijnlijk onschuldige link je telefoon compleet kan resetten. Heb je geen back-up, ben je daarna waar je was toen je de telefoon uit de doos haalde. Zodra de link eenmaal is aangeklikt, wordt de reset in gang gezet. Deze is niet meer te stoppen.

Tweakers.net heeft de exploit via de link op de Galaxy S II en Galaxy S Advance uitgeprobeerd. Zij bevestigen dat die toestellen inderdaad kwetsbaar zijn voor de reset. Naast de link, kan de kwetsbaarheid van Galaxy-toestellen volgens de onderzoekers ook misbruikt worden door qr-code, nfc en wap-push.

Zij melden dat de Galaxy S III is niet kwetsbaar voor de reset via de link, wel via nfc. Dat eerste kan ik bevestigen, ik heb de link geopend op een Galaxy S III met geen enkel resultaat. Lege nfc-chipjes heb ik niet voorhanden, dus die tweede exploit heb ik niet kunnen testen. Op de Galaxy Nexus en Note werkt de exploit helemaal niet.

door Floris Poort, 25-09-2012 18:01 7 reacties, 5729 views

Daejji, 1 jaar geleden
afbeelding van Daejji

Hee, waar zijn de fandroids nu??

Atheistus, 1 jaar geleden
afbeelding van Atheistus

Hier.
Niemand zegt dat er geen fouten gemaakt kunnen worden in de software.
Maar om software zonder enige vorm van test om de markt te smijten (lees: imaps) is nou ook weer overdreven.

ikkuh, 1 jaar geleden
afbeelding van ikkuh

Hier nog een.
Wat is je punt?

PappieDappie, 1 jaar geleden
afbeelding van PappieDappie

Hier, en op deze "bug" zal ook wel iets gevonden worden. Daejji, jij hebt zeker geen android telefoon maar zo'n eitje ? Op iedere telefoon kan wel wat aangemerkt worden.....

Jorrit, 1 jaar geleden
afbeelding van Jorrit

Oh hoi, ik ben een iPhone. Bij vorige edities van mijn OS kon ik geinfecteerd worden door een kwaadaardige worm! Hoezo virusvrij?
(heb zelf overigens een iPhone 4)

Julian, 1 jaar geleden
afbeelding van Julian

Ik heb een galaxy s plus en kan bevestigen dat het niet werkt. Bovendien kan je zo'n actie tijdig stoppen door de 'back' knop te spammen zodra de reset in gang wordt gezet.

AvMD, 1 jaar geleden
afbeelding van AvMD

Hoe zo is dit een android issue? Gaat toch duidelijk alleen om een aantal Samsung toestellen terwijl er nog tig andere merken op android draaien.


NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.

The Bright Bunch
inloggen aanmelden

Wie is nu Hier?

Er zijn momenteel 2 Bright Bunch leden en 105 bezoekers online.