Samsung MTP-lek ontdekt: oudere toestellen mogelijk onbeschermd

Vrijwel alle Samsung-smartphones sinds 2012 waren tot voor kort kwetsbaar voor een usb-lek. Daarmee konden kwaadwillenden alle bestanden inzien.

Samsung MTP-lek ontdekt

Met niet meer dan een usb-kabel konden kwaadwillenden alle bestanden op je Samsung-smartphone inzien, zo ontdekte Salvatore Mesoraca. De beveiligingsonderzoeker deelde zijn bevindingen over het ‘MTPwn’-lek via XDA-Developers. De naam verwijst naar het ‘media transfer protocol’, of MTP. Sluit je je smartphone via usb aan op je computer, dan krijg je de optie om via MTP bestanden over te zetten. Mesoraca ontdekte echter dat die bestanden ook op vergrendelde smartphones overgezet konden worden.

Daarvoor moet een hacker wel eerst een klein script uitvoeren om bestanden inzichtbaar te maken. Dat is echter vrij simpel gedaan. Mesoraca heeft het script inmiddels gedeeld via Github. Samsung zelf heeft nog niet gereageerd op het lek.

MTP wordt ondersteund door vrijwel alle Android-smartphones. Doorgaans zie je de bestanden op een toestel echter alleen door het te ontgrendelen. Wijzigingen die Samsung heeft gemaakt aan MTP zorgen er echter voor dat de gegevens ook op vergrendelde smartphones zichtbaar zijn.

Beveiligingsupdate niet voor iedereen

Samsung is inmiddels op de hoogte van de kwetsbaarheid. Het bedrijf bracht in oktober en november een beveiligingsupdate uit voor veel smartphones, die het lek dicht. Deze update is echter alleen verschenen voor recente smartphones van het bedrijf. Het lek treft elk Samsung-toestel sinds 2012, maar een groot deel daarvan wordt niet langer ondersteund. Zo zijn de Samsung Galaxy S8 en Galaxy A3 (2017) bijvoorbeeld wel beschermd, maar moeten de Galaxy S5 en Galaxy J3 het waarschijnlijk zonder updates doen.

Toch is de impact van het lek waarschijnlijk beperkt. Hackers kunnen de kwetsbaarheid namelijk alleen uitbuiten als ze al fysieke toegang hebben tot je smartphone. Op afstand inbreken zit er niet in, al loopt een gestolen smartphone natuurlijk wel gevaar.

Lees het laatste nieuws over Samsung

• “Samsung Galaxy S20 FE krijgt nog voor het eind van het jaar Android 11” (4-12)
• Deze Android-smartphones kregen een (beveiligings)update – week 49 (4-12)
• Downloaden: Samsung Galaxy S20 krijgt Android 11-update (3-12)
• ‘Uitgelekte Galaxy Buds Pro-renders tonen een nieuw en rond ontwerp’ (2-12)
• ‘Prijzen Samsung Galaxy S21-serie bekend, nieuwe renders S21 Plus duiken op’ (2-12)