Vrijwel alle Samsung-smartphones sinds 2012 waren tot voor kort kwetsbaar voor een usb-lek. Daarmee konden kwaadwillenden alle bestanden inzien.
Samsung MTP-lek ontdekt
Met niet meer dan een usb-kabel konden kwaadwillenden alle bestanden op je Samsung-smartphone inzien, zo ontdekte Salvatore Mesoraca. De beveiligingsonderzoeker deelde zijn bevindingen over het ‘MTPwn’-lek via XDA-Developers. De naam verwijst naar het ‘media transfer protocol’, of MTP. Sluit je je smartphone via usb aan op je computer, dan krijg je de optie om via MTP bestanden over te zetten. Mesoraca ontdekte echter dat die bestanden ook op vergrendelde smartphones overgezet konden worden.
Daarvoor moet een hacker wel eerst een klein script uitvoeren om bestanden inzichtbaar te maken. Dat is echter vrij simpel gedaan. Mesoraca heeft het script inmiddels gedeeld via Github. Samsung zelf heeft nog niet gereageerd op het lek.
MTP wordt ondersteund door vrijwel alle Android-smartphones. Doorgaans zie je de bestanden op een toestel echter alleen door het te ontgrendelen. Wijzigingen die Samsung heeft gemaakt aan MTP zorgen er echter voor dat de gegevens ook op vergrendelde smartphones zichtbaar zijn.
Beveiligingsupdate niet voor iedereen
Samsung is inmiddels op de hoogte van de kwetsbaarheid. Het bedrijf bracht in oktober en november een beveiligingsupdate uit voor veel smartphones, die het lek dicht. Deze update is echter alleen verschenen voor recente smartphones van het bedrijf. Het lek treft elk Samsung-toestel sinds 2012, maar een groot deel daarvan wordt niet langer ondersteund. Zo zijn de Samsung Galaxy S8 en Galaxy A3 (2017) bijvoorbeeld wel beschermd, maar moeten de Galaxy S5 en Galaxy J3 het waarschijnlijk zonder updates doen.
Toch is de impact van het lek waarschijnlijk beperkt. Hackers kunnen de kwetsbaarheid namelijk alleen uitbuiten als ze al fysieke toegang hebben tot je smartphone. Op afstand inbreken zit er niet in, al loopt een gestolen smartphone natuurlijk wel gevaar.
Lees het laatste nieuws over Samsung
- ‘Android 8.0-update voor Samsung Galaxy S7 verschijnt in mei’ – update (23-4)
- ‘Dit zijn de Samsung Galaxy A6 en Galaxy A6 Plus, met dubbele camera’ (23-4)
- Overzicht: de goedkoopste Android-aanbiedingen van week 16 – 2018 (20-4)
- ‘Samsung Galaxy S10 heeft geen nieuw design, wel 3D-camera’ (17-4)
- Samsung brengt Red Bull-versie Galaxy S9 uit met gratis F1-tickets (16-4)
