6/5/2020
j00ru, polski badacz bezpieczeństwa pracujący w Google, którego możecie kojarzyć m.in. z analiz bezpieczeństwa Windowsów, opublikował dziś opis odnalezionego przez siebie błędu w obsłudze MMS przez wszystkie (!) współczesne Samsungi (produkcja po 2015r.).
Błąd pozwala na zdalne przejęcie kontroli nad urządzeniem i nie wymaga do tego żadnej akcji ze strony użytkownika. Problem dotyczy formatu Qmage w bibliotece Skia. Oto szczegółowy opis i demo błędu (exploitacja trochę czasu zajmuje):
Problemy (j00ru zgłosił 5218 kraszy) otrzymały identyfikator CVE-2020-8899. Fuzzer wykorzystany do analizy można obejrzeć tutaj, gdyby ktoś chciał odtworzyć research j00ru.
Mam Samsunga — co robić, jak żyć?
Wgraj poprawki majowe. Łatki zostały już przez Samsunga wypuszczone (tutaj opis) więc zachęcamy do szybkiej aktualizacji.
Warto też rozważyć całkowite wyłącznie/zablokowanie MMS w telefonie, jeśli z niego nie korzystamy. A dziś to chyba już przeszłość. Zmniejszy to powierzchnię ataku, która — w przypadku smartfonów — często bazuje właśnie na błędach w obsłudze MMS-ów. BTW: część operatorów pozwala też na odbieranie MMS-ów w swoich portalach (SMS-em dostajemy info, że czeka na nas MMS, plus kod który umożliwia jego odczyt).
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Wszystko fajnie, ale na Note8 ostatnia aktualka jest z kwietnia ;)
To wyłącz sobie MMS. Zresztą jeśli nie masz nic cennego na telefonie, to nikt nie spróbuje się nawet włamać. Wysłanie MMS przez 2 godziny, żeby można się było włamać, musi sporo kosztować ;-). I jak rozumiem atakujący musiałby być jeszcze w tej samej sieci WiFi.
Na moje oko to ma sens tylko do atakowania celów o wysokim znaczeniu. A do tego jeśli będziesz przy telefonie, to raczej zauważysz, że przez godzinę przychodzą Ci dziwne telefony ;-).
“A dziś to chyba już przeszłość. ”
Nie. Co jakiś czas otrzymuje MMS’y od rodziny, z jakimś zdjęciem. Czasami też jest tak, że jak SMS zawiera polskie znaki, to jest przesyłany jako MMS z jakiegoś powodu.
To masz problem.
Ciekawe, czy tą dziurę da się wykorzystać do rootowania smartfonów. Szkoda – i wielki wstyd dla Google, że użytkownicy muszą się obecnie włamywać do swoich urządzeń.
Nie muszą, to w zasadzie zależy od producenta (wielu producentów blokuje to aby mieć mniej problemów z gwarancjami).
Wstyd Google? Poważnie? Wielu rzeczy powinni się wstydzić, ale akurat rootowanie jest stosunkowo proste w Android. Nie tak proste jak w Jolla Phone, ale kto jeszcze wie co to jest Jolla Phone ;-)
“Wgraj poprawki majowe. Łatki zostały już przez Samsunga wypuszczone”. Nigdy nie korzystaliście z telefonu z Androidem?! Może Samsung opracował już łatkę, ale: we flagowych telefonach pojawi się pewnie w tym miesiącu, im starszy model tym później, o ile posiadamy oprogramowanie z rynku otwartego – bo wersja operatorska poczeka kolejne kilka(naście/dziesiąt) tygodni na zatwierdzenie operatora. Telefony ze średniej półki oraz flagowce starsze niż 3 lata dostają poprawki raz na 3 miesiące, uporają się z flagowcami to zaczną pojawiać się do nich łatki. Operatorzy jeszcze mniej o nie dbają, więc za 3-4 miesiące można spodziewać się aktualizacji, jeśli akurat jej nie pominą bo nie wszystkie są wydawane. Telefony z najniższej półki czy średnia półka starsza niż 2-3 lata są aktualizowane od przypadku do przypadku, może w tym roku wyjdą uaktualnienia. A najtańsze starsze niż 2 lata można wyrzucić do kosza. A polityka aktualizacji Samsunga i tak jest jedną z lepszych na rynku Androida.
“Wgraj poprawki majowe’. Phi!
Nic dodać nic ująć. Tak to się odywa. Spojrzałem na dwa Samsungi i żadnych poprawek nie ma, na jednym ostatnie są z lutego, na drugim z zeszłego roku.
Redakcja jedzie na iOS, wiec ma inne nawyki :P
Poprawki na S10 i Note10 juz sa, a byly dostepne od 2 maja.
Natomiast ex-flagowce typu S8, S9 to moze poprawki dostana w ciagu kwartalu.
Inna alternatywa jest korzystanie z nienatywnej apki do SMS/MMS, ktora moze zablokowac MMSy z exploitem.
A serie S/Note 8 i 9 to już long-time support, więc poprawki tylko kwartalne. Trochę bieda, bo problem zgłoszono w styczniu, i nie został nadal poprawiony w całkiem użytecznych nadal modelach
Biadolicie, a ja wczoraj dostałem paczkę z łatkami bezpieczeństwa do swojego S9+
Paczka dla S10e jest dostępna, ale ze starszymi modelami może być gorzej
Kiedyś czytałem że takie opóźnianie krytycznych poprawek może być argumentem dzięki któremu można zmusić operatora do wgrania zdebrandowanego softu. Spróbuję jutro podejść do Orange i serwisu Samsunga z S10, może się uda :)
MMS to przeszłość? :( Ja wysyłam w miesiącu kilkaset MMSów, szczególnie do ludzi którzy nie mają iphonów i iMessage przez to do nich nie dociera.
Kto by tam dzisiaj korzystal z MMS? Np. ja tez. Darmowe MMS w EU nie wliczaja sie w pakiety danych w roamingu. :D
Autor chyba powariował. Ludzie masowo ślą zdjęcia za pomocą MMS, a ich wyłączenie wymaga niezłej gimnastyki z edycją punktów dostępowych, a poza tym wiele słuchawek nawet wizytówki i dłuższe teksty SMS wysyła w formie MMS, więc bez tego straci się masę funkcjonalności.
A logowanie się do portalu operatora jest tak strasznie upierdliwe, że nikomu nie życzę, aby musiał to choćby raz robić…
Dokładnie, kiedyś SMS miał 160 znaków, ale w praktyce każdy mógł zawierać ich 480 i najwyżej wysyłał się jako 3 SMSy. Dziś wszystko powyżej 160 znaków, czyli z polskimi znakami jedno złożone zdanie, wysyła się jako MMS.
…to typowy przykład warszawskiego oderwania od rzeczywistości…BTW..błąd to nie wina Google lecz Samsunga.
Z Samsungiem A5 z 2016 poprawki doczekam się na jesieni, o ile w ogóle.
Wg danych operatorów ilość wysyłanych SMS-ów spada o kilkanaście procent rocznie (a wysyłanych w okresach świątecznych o około 20%) ale… MMS-y mają się dobrze i nawet niektórzy operatorzy odnotowują wzrost ich liczby (głównie dlatego, że do wielu planów taryfowych wprowadzono je jako opcję “darmową” nielimitowaną). Wzrost popularności komunikatorów internetowych nie zmniejszył popularności MMS-ów ;-)
Na szczęście mój Samsung pochodzi jeszcze z 2014r. :))
Pamiętajcie,
Nie rootujcie telefonu Samsunga bo stracicie gwarancję ;)
Gwarancja to pikuś. Aktualizacje nie będą się instalować.
Ja mam budżetowca – Samsung A50 i comiesięcznego update’a miałem kilka dni temu
Aktualizacje do samsungów są dość długo wypuszczane, więc na razie bardzo mało samsungów jest na to odpornych.
Zawsze można poszukać stocka XEO na samfirmware i wgrać oficjalną apką do aktualizacji (Odinem). Pozbywasz się jednego ogniwa wstrzymującego aktualki ;)
Tylko ja nie znajduje poprawki do CVE-2020-8899 na wskazanej stronie?
Też nie widzę tam niczego takiego – czyli w majowej paczce jednak nie ma tej poprawki…?
Zapomniano dodac ze iOS jest bezpieczniejszy ;)
Typowe na tej stronie ;)
Strona jest swietna ale nie wiem czemu tego nie napisano.
[…] podaje serwis Niebezpiecznik, błąd wykryty przez j00ru został opisany kodem CVE-2020-8899 i obecny był we wszystkich […]
> część operatorów pozwala też na odbieranie MMS-ów w swoich portalach (SMS-em dostajemy info, że czeka na nas MMS, plus kod który umożliwia jego odczyt)
Orange właśnie się z tego wycofuje. Szkoda. Z drugiej strony, ten ich portal do MMS-ów był bardzo niewygodny.
Pytanie czy jeśli odznaczę opcję automatycznego pobierania MMS w samsungowej apce wiadomość to uchronię się przed atakiem czy niestety nie ma to wpływu?
zadnych aktualizacji nie ma – sprawdzone recznie, ostatnia dostepna aktualizacja jest z 01.11.19, a telefon jest z 2017 nie ma co liczyc na aktualizacje, “gwarantowane” wsparcie tylko przez 2 lata, potem moze naprawimy ale nie musimy, sensowne rozwiazanie to zakupic pixela lub root plus wgranie nieofjalnego softu
Na X-Cover 4 ostatnia aktualizacja z grudnia 2019… A MMSy to niestety dla mnie nie przeszłość tylko codzienność, więc wyłączenie odpada…
Podobno słuchawkami hakerzy włamują się do telefonów komórkowych firmy Samsung.
Qmage – koreański format, który jest “proprietary and patented”. Co może pójść nie tak?