'Samsungs Find My Mobile-functie eenvoudig te misbruiken'

Een zwakte in Samsungs Find My Mobile-functie zorgt ervoor dat kwaadwillenden telefoons van de fabrikant onder meer eenvoudig op afstand kunnen vergrendelen. Het lek is eerder deze maand opgelost.

Dat staat vermeld op de Amerikaanse National Vulnerability Database en werd gedemonstreerd door de veiligheidsexpert Mohamed A. Baset middels twee Youtube-video's

De fout is op 13 oktober met een patch-update verholpen, meldt Samsung.

De Find My Mobile-functie op Samsung-telefoons laat eigenaars hun telefoon op afstand vergrendelen of weer ontgrendelen, maar kan ook gebruikt worden om alle data van de telefoon te wissen.

Samsung-telefoons zouden echter niet valideren wat de bron van dit soort verzoeken is, waardoor het mogelijk wordt voor hackers om hun eigen informatie, zoals een zelf ingestelde vergrendelcode, naar de smartphones te sturen.

CSRF-aanval

Baset demonstreerde de zwakheid door onder meer een Samsung-toestel op afstand te vergrendelen, ontgrendelen en de ringtone te laten afgaan.

Hij maakte hiervoor gebruik van de Find My Mobile-website via een 'Cross-Site Request Forgery'-aanval. Hierbij worden zonder medeweten of toestemming van een bezoeker gegevens meegestuurd die de website aanmerkt alsof die van deze bezoeker afkomstig zijn.

Baset kon zo een zelf verzonnen vergrendelcode meesturen, samen met de boodschap "Dit apparaat is vergrendeld door SymbianSyMoh", zijn gebruikersnaam op Twitter.

Veiligheidscampagne Samsung

Samsung maakte onlangs juist nog bekend dat het in Nederland de zogeheten 'killswitch'-functie, het op afstand wissen van een telefoon, een prominentere plek gaat geven in zijn toestellen.

De optie om deze killswitch aan te zetten wordt in nieuwe Nederlandse Samsung-smartphones al bij installatie aan gebruikers voorgelegd. 

Het Zuid-Koreaanse bedrijf doet dit in samenwerking met het Ministerie van Veiligheid en Justitie als onderdeel van een voorlichtingscampagne over het beveiligen van telefoons tegen diefstal.

De eerste telefoon die de killswitch-optie al in de installatieprocedure opneemt, is de Galaxy Note 4.

Galaxy Note 4: Samsung blijft overeind ondanks toenemende concurrentie

Lees meer over:
Tip de redactie