‘Blunder Samsung zorgt voor miljoenen kwetsbare smartphones’
Thomas Haenen

Talloze oude Samsung-smartphones zijn mogelijk kwetsbaar, nadat de fabrikant een domeinnaam heeft laten verlopen. Daardoor kan de Samsung S Suggest-dienst gekaapt worden.

Samsung S Suggest-lek maakt toestellen kwetsbaar

Dat claimt João Gouveia, een Portugese beveiligingsonderzoeker die de domeinnaam heeft overgenomen voordat kwaadwillenden ermee aan de slag konden. Samsung liet het ssuggest.com op maandag verlopen, terwijl er volgens de onderzoeker nog altijd miljoenen smartphones in omloop zijn die het domein regelmatig automatisch checken.

S Suggest was tot zeker 2014 op vrijwel alle Samsung-smartphones te vinden. In de app konden gebruikers een overzicht vinden van door Samsung geselecteerde applicaties. Hoewel S Suggest inmiddels niet meer geleverd wordt, zijn er veel gebruikers met een ouder Samsung-toestel op zak. Volgens Gouveia is zijn domein zo’n 620 miljoen keer geraadpleegd door 2,1 miljoen unieke toestellen. Dat komt vermoedelijk omdat de oude smartphones automatisch nieuwe suggesties proberen op te halen.

Android-malware

Dat is problematisch, omdat S Suggest een groot aantal rechten heeft. De app ziet niet alleen welke apps er actief zijn op je smartphone, maar heeft ook permissies om zelf nieuwe apps te installeren. Als kwaadwillenden het domein hadden overgenomen, hadden ze het kunnen gebruiken om automatisch apps te installeren op de meer dan 2 miljoen kwetsbare toestellen.

Reactie Samsung: ‘Geen gevaar’

Samsung zelf ontkent dat het mogelijk is om via het S Suggest-domein apps te installeren. Het is volgens de fabrikant niet mogelijk om op deze wijze andermans smartphone over te nemen. Volgens beveiligingsonderzoeker Ben Actis is dat echter onzin. “Ze hebben een flinke blunder gemaakt. Deze app kan absoluut andere apps installeren,” aldus Actis in gesprek met Motherboard.

Als gebruiker van een Samsung-smartphone hoef je je vooralsnog geen zorgen te maken. Niet alleen omdat enkel relatief oude smartphones getroffen worden, maar ook omdat Gouveia geen kwaad in de zin heeft. De Portugees heeft zelfs aangeboden de domeinnaam weer aan Samsung over te dragen. De fabrikant heeft nog niet gereageerd op het aanbod.

Lees het laatste nieuws over Samsung

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.