21:16
6/5/2020

j00ru, polski badacz bezpieczeństwa pracujący w Google, którego możecie kojarzyć m.in. z analiz bezpieczeństwa Windowsów, opublikował dziś opis odnalezionego przez siebie błędu w obsłudze MMS przez wszystkie (!) współczesne Samsungi (produkcja po 2015r.).

Błąd pozwala na zdalne przejęcie kontroli nad urządzeniem i nie wymaga do tego żadnej akcji ze strony użytkownika. Problem dotyczy formatu Qmage w bibliotece Skia. Oto szczegółowy opis i demo błędu (exploitacja trochę czasu zajmuje):

Problemy (j00ru zgłosił 5218 kraszy) otrzymały identyfikator CVE-2020-8899. Fuzzer wykorzystany do analizy można obejrzeć tutaj, gdyby ktoś chciał odtworzyć research j00ru.

Mam Samsunga — co robić, jak żyć?

Wgraj poprawki majowe. Łatki zostały już przez Samsunga wypuszczone (tutaj opis) więc zachęcamy do szybkiej aktualizacji.

Warto też rozważyć całkowite wyłącznie/zablokowanie MMS w telefonie, jeśli z niego nie korzystamy. A dziś to chyba już przeszłość. Zmniejszy to powierzchnię ataku, która — w przypadku smartfonów — często bazuje właśnie na błędach w obsłudze MMS-ów. BTW: część operatorów pozwala też na odbieranie MMS-ów w swoich portalach (SMS-em dostajemy info, że czeka na nas MMS, plus kod który umożliwia jego odczyt).

Przeczytaj także:



40 komentarzy

Dodaj komentarz
  1. Wszystko fajnie, ale na Note8 ostatnia aktualka jest z kwietnia ;)

    • To wyłącz sobie MMS. Zresztą jeśli nie masz nic cennego na telefonie, to nikt nie spróbuje się nawet włamać. Wysłanie MMS przez 2 godziny, żeby można się było włamać, musi sporo kosztować ;-). I jak rozumiem atakujący musiałby być jeszcze w tej samej sieci WiFi.

      Na moje oko to ma sens tylko do atakowania celów o wysokim znaczeniu. A do tego jeśli będziesz przy telefonie, to raczej zauważysz, że przez godzinę przychodzą Ci dziwne telefony ;-).

  2. “A dziś to chyba już przeszłość. ”

    Nie. Co jakiś czas otrzymuje MMS’y od rodziny, z jakimś zdjęciem. Czasami też jest tak, że jak SMS zawiera polskie znaki, to jest przesyłany jako MMS z jakiegoś powodu.

    • To masz problem.

  3. Ciekawe, czy tą dziurę da się wykorzystać do rootowania smartfonów. Szkoda – i wielki wstyd dla Google, że użytkownicy muszą się obecnie włamywać do swoich urządzeń.

    • Nie muszą, to w zasadzie zależy od producenta (wielu producentów blokuje to aby mieć mniej problemów z gwarancjami).

    • Wstyd Google? Poważnie? Wielu rzeczy powinni się wstydzić, ale akurat rootowanie jest stosunkowo proste w Android. Nie tak proste jak w Jolla Phone, ale kto jeszcze wie co to jest Jolla Phone ;-)

  4. “Wgraj poprawki majowe. Łatki zostały już przez Samsunga wypuszczone”. Nigdy nie korzystaliście z telefonu z Androidem?! Może Samsung opracował już łatkę, ale: we flagowych telefonach pojawi się pewnie w tym miesiącu, im starszy model tym później, o ile posiadamy oprogramowanie z rynku otwartego – bo wersja operatorska poczeka kolejne kilka(naście/dziesiąt) tygodni na zatwierdzenie operatora. Telefony ze średniej półki oraz flagowce starsze niż 3 lata dostają poprawki raz na 3 miesiące, uporają się z flagowcami to zaczną pojawiać się do nich łatki. Operatorzy jeszcze mniej o nie dbają, więc za 3-4 miesiące można spodziewać się aktualizacji, jeśli akurat jej nie pominą bo nie wszystkie są wydawane. Telefony z najniższej półki czy średnia półka starsza niż 2-3 lata są aktualizowane od przypadku do przypadku, może w tym roku wyjdą uaktualnienia. A najtańsze starsze niż 2 lata można wyrzucić do kosza. A polityka aktualizacji Samsunga i tak jest jedną z lepszych na rynku Androida.
    “Wgraj poprawki majowe’. Phi!

    • Nic dodać nic ująć. Tak to się odywa. Spojrzałem na dwa Samsungi i żadnych poprawek nie ma, na jednym ostatnie są z lutego, na drugim z zeszłego roku.

    • Redakcja jedzie na iOS, wiec ma inne nawyki :P

    • Poprawki na S10 i Note10 juz sa, a byly dostepne od 2 maja.
      Natomiast ex-flagowce typu S8, S9 to moze poprawki dostana w ciagu kwartalu.
      Inna alternatywa jest korzystanie z nienatywnej apki do SMS/MMS, ktora moze zablokowac MMSy z exploitem.

    • A serie S/Note 8 i 9 to już long-time support, więc poprawki tylko kwartalne. Trochę bieda, bo problem zgłoszono w styczniu, i nie został nadal poprawiony w całkiem użytecznych nadal modelach

    • Biadolicie, a ja wczoraj dostałem paczkę z łatkami bezpieczeństwa do swojego S9+

    • Paczka dla S10e jest dostępna, ale ze starszymi modelami może być gorzej

    • Kiedyś czytałem że takie opóźnianie krytycznych poprawek może być argumentem dzięki któremu można zmusić operatora do wgrania zdebrandowanego softu. Spróbuję jutro podejść do Orange i serwisu Samsunga z S10, może się uda :)

  5. MMS to przeszłość? :( Ja wysyłam w miesiącu kilkaset MMSów, szczególnie do ludzi którzy nie mają iphonów i iMessage przez to do nich nie dociera.

    • Kto by tam dzisiaj korzystal z MMS? Np. ja tez. Darmowe MMS w EU nie wliczaja sie w pakiety danych w roamingu. :D

  6. Autor chyba powariował. Ludzie masowo ślą zdjęcia za pomocą MMS, a ich wyłączenie wymaga niezłej gimnastyki z edycją punktów dostępowych, a poza tym wiele słuchawek nawet wizytówki i dłuższe teksty SMS wysyła w formie MMS, więc bez tego straci się masę funkcjonalności.
    A logowanie się do portalu operatora jest tak strasznie upierdliwe, że nikomu nie życzę, aby musiał to choćby raz robić…

    • Dokładnie, kiedyś SMS miał 160 znaków, ale w praktyce każdy mógł zawierać ich 480 i najwyżej wysyłał się jako 3 SMSy. Dziś wszystko powyżej 160 znaków, czyli z polskimi znakami jedno złożone zdanie, wysyła się jako MMS.

    • …to typowy przykład warszawskiego oderwania od rzeczywistości…BTW..błąd to nie wina Google lecz Samsunga.

  7. Z Samsungiem A5 z 2016 poprawki doczekam się na jesieni, o ile w ogóle.

  8. Wg danych operatorów ilość wysyłanych SMS-ów spada o kilkanaście procent rocznie (a wysyłanych w okresach świątecznych o około 20%) ale… MMS-y mają się dobrze i nawet niektórzy operatorzy odnotowują wzrost ich liczby (głównie dlatego, że do wielu planów taryfowych wprowadzono je jako opcję “darmową” nielimitowaną). Wzrost popularności komunikatorów internetowych nie zmniejszył popularności MMS-ów ;-)

  9. Na szczęście mój Samsung pochodzi jeszcze z 2014r. :))

  10. Pamiętajcie,
    Nie rootujcie telefonu Samsunga bo stracicie gwarancję ;)

    • Gwarancja to pikuś. Aktualizacje nie będą się instalować.

  11. Ja mam budżetowca – Samsung A50 i comiesięcznego update’a miałem kilka dni temu

  12. Aktualizacje do samsungów są dość długo wypuszczane, więc na razie bardzo mało samsungów jest na to odpornych.

    • Zawsze można poszukać stocka XEO na samfirmware i wgrać oficjalną apką do aktualizacji (Odinem). Pozbywasz się jednego ogniwa wstrzymującego aktualki ;)

  13. Tylko ja nie znajduje poprawki do CVE-2020-8899 na wskazanej stronie?

    • Też nie widzę tam niczego takiego – czyli w majowej paczce jednak nie ma tej poprawki…?

  14. Zapomniano dodac ze iOS jest bezpieczniejszy ;)

    • Typowe na tej stronie ;)

    • Strona jest swietna ale nie wiem czemu tego nie napisano.

  15. […] podaje serwis Niebezpiecznik, błąd wykryty przez j00ru został opisany kodem CVE-2020-8899 i obecny był we wszystkich […]

  16. > część operatorów pozwala też na odbieranie MMS-ów w swoich portalach (SMS-em dostajemy info, że czeka na nas MMS, plus kod który umożliwia jego odczyt)

    Orange właśnie się z tego wycofuje. Szkoda. Z drugiej strony, ten ich portal do MMS-ów był bardzo niewygodny.

  17. Pytanie czy jeśli odznaczę opcję automatycznego pobierania MMS w samsungowej apce wiadomość to uchronię się przed atakiem czy niestety nie ma to wpływu?

  18. zadnych aktualizacji nie ma – sprawdzone recznie, ostatnia dostepna aktualizacja jest z 01.11.19, a telefon jest z 2017 nie ma co liczyc na aktualizacje, “gwarantowane” wsparcie tylko przez 2 lata, potem moze naprawimy ale nie musimy, sensowne rozwiazanie to zakupic pixela lub root plus wgranie nieofjalnego softu

  19. Na X-Cover 4 ostatnia aktualizacja z grudnia 2019… A MMSy to niestety dla mnie nie przeszłość tylko codzienność, więc wyłączenie odpada…

  20. Podobno słuchawkami hakerzy włamują się do telefonów komórkowych firmy Samsung.

  21. Qmage – koreański format, który jest “proprietary and patented”. Co może pójść nie tak?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: