Alle Samsung-telefoons die de afgelopen vijf jaar zijn verschenen bevatten een kritieke kwetsbaarheid waardoor een aanvaller alleen een MMS hoeft te versturen om het toestel over te nemen. Er is geen interactie van de gebruiker vereist. Samsung heeft updates uitgebracht, maar niet alle toestellen zullen die ontvangen.
De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Mateusz Jurczyk van Google, die zijn bevinding op Twitter bekendmaakte. Het probleem wordt veroorzaakt door twee custom bestandsformaten voor afbeeldingen genaamd QM en QG, ook wel Qmage genoemd. Deze formaten zijn herkenbaar aan de .qmg-extensie. Samsung voegde in de tweede helft van 2014 ondersteuning van deze formaten toe aan de eigen Androidversie.
Jurczyk ontdekte dat door het versturen van een speciaal geprepareerd Qmage-bestand het mogelijk is om willekeurige code op het toestel uit te voeren. In het geval van een MMS-bericht wordt de inhoud zonder interactie van gebruikers verwerkt, wat het een ideale aanvalsvector voor aanvallers maakt. Om het uitvoeren van code mogelijk te maken moet echter wel eerst de ASLR-beveiliging worden omzeild.
Dit is volgens Jurczyk het lastigste deel van de aanval en vereist dat de aanvaller tussen de vijftig en driehonderd MMS "probes" moet versturen. Gemiddeld zou een exploit honderd van dergelijke MMS-berichten nodig hebben. Elke MMS-probe zorgt ervoor dat de Messages-app crasht. Android laat een programma na meerdere crashes pas na zestig seconden herstarten. Een aanval van de onderzoeker met 86 MMS-probes nam zo'n honderd minuten in beslag.
Een aanvaller zou de berichten bijvoorbeeld 's nachts kunnen versturen zodat het slachtoffer dit niet door heeft. In een demonstratievideo is te zien hoe Jurczyk via de MMS-aanval een reverse shell op het toestel krijgt en zo foto's en sms-berichten kan bekijken alsmede willekeurige applicaties kan starten.
Samsung werd op 28 januari over de kwetsbaarheid geïnformeerd. Het bedrijf heeft het beveiligingslek als kritiek bestempeld. Gebruikers die geen beveiligingsupdates meer ontvangen kunnen de "auto retrieve" optie voor multimediaberichten in de Messages-app uitschakelen.
Video - Exploitation of a Samsung Galaxy Note 10+ Zero-Click RCE Bug via MMS. Bron: YouTube
Bron: Security.nl