Project Zero, het team van Google dat zich bezighoudt met beveiligingsonderzoek, heeft een aantal grote kwetsbaarheden gevonden in de Samsung-modems. Die modems zijn in veel populaire Android-telefoons te vinden.
Update 20/03/2023 14.57 uur: Samsung Nederland heeft een reactie gegeven op de kwetsbaarheden in de Samsung-modems. We hebben de reactie aan dit artikel toegevoegd.
Deze Android-telefoons lopen gevaar
De beveiligingsonderzoekers van Project Zero hebben in verschillende Exynos-modems een reeks zerodaykwetsbaarheden gevonden. In een blogpost legt Google uit dat deze kwetsbaarheden het mogelijk maken voor criminelen op afstand een telefoon binnen te dringen zonder dat de gebruiker dit door heeft. Hierdoor hebben ze toegang tot onder andere mobiele oproepen, sms-berichten en mobiele gegevens. De criminelen hebben hiervoor niet veel meer nodig dan het telefoonnummer van het slachtoffer. En, frustrerend genoeg, lijkt het erop dat Samsung moeite heeft om het te repareren.
De Samsung Galaxy S23-serie loopt dus geen gevaar. Deze telefoons zijn in Europa met een Snapdragon-chipset geleverd. De Samsung Galaxy A53 en de Galaxy S22-serie draaien wel op een Exynos-chipset en deze telefoons lopen mogelijk dus wel gevaar. De Samsung Galaxy S21-serie wordt niet in de lijst vermeld, terwijl deze wel een Exynos heeft. Deze serie heeft volgens Samsung een andere modem. De beveiligingsonderzoekers vermelden de volgende telefoons in de blogpost:
- Samsung-smartphones zoals de Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04
- Vivo-smartphones zoals de S16, S15, S6, X70, X60 en X30-serie
- Google-smartphones: Pixel 6 en Pixel 7-serie
- Alle wearables die een Exynos W920 chipset hebben
- Alle auto’s die een Exynos Auto T5123 chipset hebben
Beveiligingsupdate van maart
Project Zero zegt dat je jezelf kunt beschermen door bellen via wifi (VoWifi) en bellen via 4G (VoLTE) uit te schakelen. Nog beter is het om de nieuwste beveiligingsupdate van maart binnen te halen. Project Zero geeft namelijk aan dat de beveiligingsupdate van maart het probleem voor Pixel-telefoons zou moeten verhelpen. Hoewel deze patch nog niet beschikbaar is voor de Pixel 6, de Pixel 6 Pro en de Pixel 6a.
Beveiligingsonderzoekers wachten meestal op een oplossing voordat ze de gevonden kwetsbaarheden naar buiten brengen. Het kan ook zo zijn dat het rapport naar buiten brengen als een oplossing nog niet in zicht is. Het lijkt erop dat het hier het laatste geval is. Project Zero-onderzoeker Maddie Stone tweette al dat “eindgebruikers 90 dagen na het rapport nog steeds geen patches hebben”. Samsung en andere smartphonemakers moeten dus snel met een patch komen.
Reactie van Samsung
Samsung Nederland heeft Androidworld voorzien van een statement omtrent dit beveiligingsprobleem:
Samsung neemt de veiligheid van zijn klanten zeer serieus. Na het vaststellen van zes kwetsbaarheden die mogelijk impact kunnen hebben op bepaalde Galaxy-apparaten, waarvan er niet een ‘ernstig’ was, heeft Samsung in maart beveiligingspatches uitgebracht voor vijf van deze kwetsbaarheden. In april komt er nog een beveiligingspatch uit om de overgebleven kwetsbaarheid te verhelpen. Zoals altijd raden we gebruikers aan om hun apparaten up-to-date te houden met de nieuwste software voor het hoogst mogelijke beschermingsniveau.
Reactie van Samsung
Project Zero
Googles Project Zero is in 2014 in het leven geroepen met als doel iedere gebruiker van een veilige internetervaring te kunnen voorzien. Het is een team dat is samengesteld uit beveiligingsonderzoekers op het gebied van internetveiligheid.
Reacties
Inloggen of registreren
om een reactie achter te laten
De update voor de Pixel 6 is beschikbaar. ???
Het gaat om de Maart update, grote 270 MB.
Ik heb een A12 van Samsung. Gisteren een software update gehad. Ik hoop dat daar het probleem mee opgelost is.
Morgen rond deze tijd zou het voor de pixel 6 gebruikers opgelost moeten zijn als de maart update geïnstalleerd is. ??
Wat mij niet helemaal duidelijk is wat het risico van een Exynos-smartwatch i.c.m.met een Snapdragon smartphone is. Of is dat er niet?
Ben ik blij dat ik na 4 weken mijn toen nieuwe Samsung A53 al heb verkocht.
Ik ben juist wel blij met aandacht dat AW besteedt aan onveiligheid van het Web. Ik waan me soms veilig, terwijl daar geen reden toe heb. Het is wel zo dat ik over het algemeen geen gekke dingen doe, maar door de gratis VPN van Google dacht ik helemaal safe zou zitten. Ook met VPN aan laat je digitale footprints achter, zodat ze je vol kunnen blijven spammen met reclame enz. Naar aanleiding van dit artikel kom ik er achter dat mijn Pixel 7 onveilig is als ik geen actie zou hebben ondernomen om het bellen via WiFi uit te zetten.
Tuurlijk als de vpn van google is dan laat je 100 procent iets achter
Ik begrijp uit het stuk hierboven dat auto media systemen hier ook kwetsbaar voor kunnen zijn. Maar hoe kom je hierachter?
Sinds korte tijd kreeg ik op het notificatie gedeelte op mijn Pixel 7 een tekst bericht, dat ik via KPN WiFi kan bellen. Gekkigheid?
Gegoogeld op dit fenomeen en onder instellingen (gesprekken en SMS-jes) heb ik dit uitgezet. Blijkbaar linke soep om dit aan te laten staan.
Ik zou me niet al te druk maken. Houdt gewoon de updates in de gaten. En verder, zolang je geen geld overmaakt naar een Nigeriaanse prins die je een erfenis belooft, zit je best wel veilig.
??? Tegenwoordig doen ze ook alsof ze Franstalige Belgen zijn. Tenminste de beginnende puber. Die onderaan de ladder moeten beginnen. Elke keer als ik iets te koop zet op Facebook. Krijg ik op elke advertentie op z’n minst 3 oplichters die mij via messenger appen. Volgens mij zijn ze niet ouder dan 12. Ik zie het meteen. Aan de naam, foto, profiel. Profielfoto die nog geen 3 uur oud is. ???. Ik geef ze altijd het advies om bij de overheid te gaan werken. Daar is het legaal om mensen op te lichten. ?
Beter hadden ze dit niet aan de media klok moeten hangen nu. Veel mensen krijg ik het idee die nooit updates binnen halen laat staan de apps updates ik doe dat elke dag en de beveiligings patchwork dus controleerd ik ook elke week een keer. Dus ik hou het veilig zo. Het internet zit vol valkuilen. Het word er niet eenvoudiger door.
Met een Samsung Galaxy watch 4 loop je dus ook het risico? Want die heeft blijkbaar de Exynos W920
Dat staat er ja; alle wearables met Exynos W920 chipset. Ook de Galaxy Watch 4 dus (hé, die heb ik ?).
Er is een changelog op die site van Project Zero waar te lezen is dat de Galaxy Watch 4 is verwijderd van de lijst.
Changelog
2023-03-17: Samsung Semiconductor updated their advisories to remove Exynos W920 as an affected chipset, so we have removed it from the “Affected devices” section.
2023-03-17: Samsung Mobile advised us that the A21s is the correct affected device, not the A21 as originally stated.
2023-03-17: Four of the fourteen less severe vulnerabilities hit their 90-day deadline at the time of publication, not five, as originally stated.
Toch maar eens overstappen naar Apple?
Never nooit. Sowieso hebben die ook genoeg problemen alleen maakt Apple het zelden openbaar.
Voor mij is er nog nooit een reden goed genoeg geweest om over te stappen naar een Apple of ander merk telefoon dan een Pixel.
De enige reden zou kunnen zijn als er een Apple met Android als OS zou komen.
Never. Daar hebben ze dat ook natuurlijk. En het zijn spuug lelijke te dure telefoons. Ooit een halve dag een nieuwe IPhone 8 gehad. Daarna gauw weggedaan. Android is veel groter geworden dan Apple, en dat brengt zijn risico’s mee. Ik ben 1x opgelicht geweest via Marktplaats. En gelukkig was ons week geld zowat op en hebben ze maar €10 buit kunnen maken. Maar toch klote als dat je laatste geld voor de week is. En zoiets gebeurt ook op een IPhone.
Ik heb een s22 die de beveiligingsupdates van maart al heeft. Moet ik dan ook nog doen wat hierboven staat beschreven? Ik begrijp niet zo goed hoe ik dat moet doen.
Ojee, ik heb een Samsung A12. Moet ik iets ondernemen? Want dat kon ik niet goed uit het artikel halen. En ik ben niet zo’n technicus. ?
Heb je de beveiligingsupdate van maart al op je A12 staan? Het is namelijk belangrijk om die binnen te halen. Je kan dit controleren via Instellingen -> Software-update -> Downloaden en installeren.
Heb zakelijk een A12 en vandaag een update gehad alleen die heeft de januari beveiligingspatch.
Als ik op specs zoek dan zou de A12 een mediatek helio p35 chipset hebben of is er ook een exynos variant?
Er is ook een Exynos-variant. Die heet de Samsung Galaxy A12 Nacho.