Een van de fixes die Samsung's security patch van mei bevat, dicht een lek dat al sinds 2014 in het Android OS zat. Op Samsung apparaten zorgde dit lek voor een zwakke plek in de beveiliging. Een aantal Samsung telefoons, waaronder de Galaxy S20, Galaxy S10, Note 10 en Galaxy A50 ontvingen de update al.
Samsung fixt ‘Qmage bug'
Gisteren publiceerde Samsung details van de inhoud van de beveiligingsupdate van de maand mei. Een van de punten die de patch aanpakt, is een bug met de weinig fotogenieke naam ‘Memory corruption in Quram library with decoding qmg‘ (SVE-2020-16747).
Het gaat om een probleem bij de verwerking van alle afbeeldingen op een telefoon door een specifiek onderdeel van het Android OS. Alleen in combinatie met Samsung's eigen software levert dit een kwetsbaarheid op die door kwaadwillenden misbruikt kan worden, zonder dat de gebruik(st)er daar zelf iets voor moet doen.
Het bleek mogelijk een beveiliging te omzeilen door een bepaalde geheugenlokatie in het apparaat te gokken met slechts 50 tot 300 pogingen. Iedere poging arriveerde in de vorm van een MMS bericht. Omdat zulke berichten met een truc ook verstuurd kunnen worden zonder dat deze een notificatie 'triggeren' kan een dergelijke aanval relatief onopvallend worden uitgevoerd.
De bug zou al sinds 2014 in de software op Samsung telefoons zitten, maar pas recent ontdekt. Mateusz Jurczyk, een onderzoeker van Google's Project Zero team, rapporteerde het probleem eind januari aan Samsung.
De oplossing voor het probleem zit nu dus in de beveiligingspatch van mei. Deze wordt in de loop van de maand naar een flink aantal Galaxy toestellen uitgerold, en kwam de afgelopen dagen al beschikbaar op de Galaxy S20, S10, Note 10, Fold en A50. Meer toestellen volgen dus spoedig – zie ons overzicht van de mei update. We kunnen ons voorstellen dat deze bug een aanleiding is voor Samsung om toestellen bij te werken die al langer geen updates meer kregen, of telefoons die deze maand nog niet aan een nieuwe patch toe zijn omdat ze alleen per kwartaal bijgewerkt worden.
Dat wij een oogje op zullen houden op de uitrol van de fix spreekt voor zich.
(bron)