Kritiskt säkerhetshål i alla Samsung Galaxy-mobiltelefoner sålda sedan 2014

Permalänk
Medlem
Skrivet av evil penguin:

Ja, jag tänkte i samma banor initialt... det hela bottnar väl dock i att någon måste börja ställa krav, kanske spelar mindre roll vem egentligen.
Bättre är väl kanske om isf EU ställer krav direkt på tillverkarna, annars kanske fler gör en Huawei för att slippa.

Qualcomm, Mediatek, m.fl. kommer ju oavsett inte göra mer jobb än vad som krävs. Och problemet är väl i nuläget att ingen ställer krav på dem utan bara glatt köper deras lösningar.

Fast vad ska de göra i dagsläget? Finns ingen europeisk SoC-tillverkare för telefoner sedan ST-E lades ner. Blir svårt att ställa krav när så många led måste rätta sig och de är utspridda över hela världen.

Permalänk
Medlem
Skrivet av Petterk:

Fast vad ska de göra i dagsläget? Finns ingen europeisk SoC-tillverkare för telefoner sedan ST-E lades ner. Blir svårt att ställa krav när så många led måste rätta sig och de är utspridda över hela världen.

Behövs väl ingen ny SoC-tillverkare, befintliga SoC-tillverkare kan ju välja att anpassa sig om det ställs nya krav från deras kunder.

Men jag kanske underskattar motviljan mot att lösa problemet.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Tur att man sluta med Samsung i tid kör på Huawei p30 pro den fungerar fint

Visa signatur

Låda thermaltake view 91 M-kort ASUS X399 ROG Zenith Extreme CPU AMD Ryzen Threadripper 1920X 3.5 GHz Kylning Hemma byggd vattenkylning 2 x 480mm + 1 x 420mm radiatorer Minne 8 X 16Gb DDR4 HD SSD 240GB OCZ Trion 100 Grafik Gigabyte Geforce RTX 3080 10GB GAMING OC WATERFORCE WB AGG Corsair RM 1000w 80+ Gold Skärm ASUS 43" ROG Strix XG438QR 4K VA HDR 120 Hz

Permalänk
Medlem

En orsak till att jag kör original på min S7 är att kameran är viktig för mig och CFW har inte alltid samma snabba kamera.

Hur som helst, det är dåligt av Samsung (och andra) att inte meddela när de slutar uppdatera en viss mobil.
Jämför med Apple, eller, ja, de informerar ju inte heller - speciellt på MacOS-sidan är det sisådär med uppdateringarna. Bara de typ 3 senaste årens OS säkerhetsuppdateras, och egentligen mest bara den nyaste. Likväl får man inga meddelanden om ens OS är för gammalt. Känner flera som tror de har uppdaterade Macar trots att just deras burk fick sin sista OS-uppgradering till El Capitan 2015 och sista säkerhetsuppdatering 2018. De kör ju autouppdate på allt, ibland har det trillat in nån uppdatering till Safari, MS Office eller Chrome men inget större på senare tid till själva OS. Microsoft är mycket bättre på att i förväg berätta när de kommer att sluta uppdatera saker och ting.

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, 32GB RAM, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 8GB RAM, SSD, MacOS Catalina + Windows 7

Permalänk
Medlem
Skrivet av evil penguin:

Behövs väl ingen ny SoC-tillverkare, befintliga SoC-tillverkare kan ju välja att anpassa sig om det ställs nya krav från deras kunder.

Men jag kanske underskattar motviljan mot att lösa problemet.

Fast det kommer alltid finnas någon som inte rättar sig i ledet, eller att vissa produkter helt enkelt inte säljs i EU/EES officiellt sett. Vad ska sanktionerna vara och vilka bolag ska drabbas?

Det jag menar med avsaknaden av konkurrens är ju just det. Hade det fortfarande funnits europeiska tillverkare hade de kunnat samarbeta med EU ta del av pengar för att verkligen se till att det går att ge lång supporttid.

Vad ska sen tillverkarna göra när det upptäcks svagheter i hårdvaran som inte går att patcha bort för den delen? Ingen kommer tvinga de att ersätta 5 år gamla prylar med nya.

Permalänk
Medlem
Skrivet av Bengt-Arne:

Until then, The Register advises, switching to a messaging app other than the Samsung defualt and disabling automatic MMS parsing may help mitigate any attack should threat actors start exploiting the vulnerability.
--

Använder Textra i dagsläget så check på den. Men vet du hur man stänger av parsing av MMS?

Visa signatur

| 5950x | G.SKill Trident Z Neo RGB 32GB 3600mhz cl 16 | x570 Aorus Master | 3080 Aorus Master | Gigabyte Aorus NVMe Gen4 M.2 2280 | Fractal Design Define 7 XL | Corsair H115i Pro XT | Corsair HX1000i 1000W |

Permalänk
Medlem
Skrivet av Petterk:

Fast det kommer alltid finnas någon som inte rättar sig i ledet, eller att vissa produkter helt enkelt inte säljs i EU/EES officiellt sett. Vad ska sanktionerna vara och vilka bolag ska drabbas?

Det jag menar med avsaknaden av konkurrens är ju just det. Hade det fortfarande funnits europeiska tillverkare hade de kunnat samarbeta med EU ta del av pengar för att verkligen se till att det går att ge lång supporttid.

Vad ska sen tillverkarna göra när det upptäcks svagheter i hårdvaran som inte går att patcha bort för den delen? Ingen kommer tvinga de att ersätta 5 år gamla prylar med nya.

Ja, det är klart det är en problematisk situation, men det där är iaf ett tänkbart sätt att iaf försöka få berörda parter att rätta sig i ledet.
Ingenting tyder ju på att de kommer göra det självmant.

Sedan tycker jag personligen att det är stor skillnad på begränsningar som snarast är en följd av policybeslut och oavsiktliga brister som uppdagas i efterhand. Känns som saker som inte nödvändigtvis behöver klumpas ihop och hanteras likadant.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Har fortfarande en Note 3 där uppdateringarna försvann för länge sen.. Vad göra?

Visa signatur

FD Define 7 Compact Solid | 7800X3D | ASUS Dual 4070 Super | MSI MAG B650 Tomahawk | G.Skill Trident 32GB 6000MHz CL30 | WD Black SN850X 2TB | Seasonic Focus PX 750W | Be quiet! Dark Rock Pro 4 | Silent Wings 4 | 2st LG 27" 144Hz IPS 2560x1440

Permalänk
Avstängd
Skrivet av Spelaspel:

Google tar säkerhet på allvar lika mycket som Apple. Grejen är att nästintill alla andra tillverkare av Android telefoner tar det som något jobbigt Google pushar på dem så de måste slösa pengar istället för att sälja nya telefoner. Pixel telefoner får uppdateringar direkt efter embargo löper ut i 4-5 år(glömt exakt hur länge).

Stämmer tyvärr inte, Google uppdaterar sina Pixel-telefoner ungefär som Samsung. Två år av OS-uppdateringar och ytterligare ett år med säkerhetsuppdateringar. Å andra sidan kommer de förstås snabbare till pixel än till Samsungs telefoner. De var lite otydliga i sin marknadsföring om detta, två år av OS och tre år av säkerhetsuppdateringar gjorde att folk trodde fem år totalt, men så är det inte. Tjejens Pixel 1 sitter fast på oktober 2019 exempelvis.

Skrivet av Broken-arrow:

Tyvärr så om man ska bli av med skräp som tillverkarna hittar på (sony ska t.ex lägga ner vissa tjänster, men erbjuder inte kunder hur dom ska bli av med dessa appar). Sen förstår jag inte hur facebock kan räknas som systemapp (därför man behöver root). Borde ju med alla dessa regler allt ifrån webbläsare till GDPR, så ska man få möjligheten att tacka nej till allt utom det mest kritiska för mobilen ska starta (samt tyvärr gooles tjänster, hade ju räck med butiken inte skulle gå avinstallera, resten behöver inte ligga inne som systemappar).

Dock är sony faktiskt bra med uppdateringar i alla fall, släpps månadsvis (kanske flera som gör det idag).

Har även kvar min gamla samsung s3, med linage tror jag har root (lite osäker). Men batteriet är rätt trött nu mer och den är rätt slö (med är mest förvånad att allt fungerar på den än). Vet problem med viss tillverkare (som jag inte nämner), där mikrofoner, högtalare går sönder (alltså den högtalaren för samtal). Där användarna inte vara vårdslösa med mobilen (roligaste är ju att en mobil stänger av sig om det är minusgrader, hade jag haft sådan hade jag lämnat in den och bytt till något bättre).

Bankid funkar fint, hade aldrig gått med iphone av samma ålder (bankid hade slutat fungera).

Många av de förinstallerade apparna som inte är tillverkarens egna, typ Facebook eller Office, är bara stubs som inte installeras på riktigt förrän man använder dem. Fortfarande störigt men inte så farligt ur säkerhetssynpunkt i alla fall.

Permalänk
Medlem
Skrivet av cyklonen:

Men när som helst kan kravet på orootad mobil komma, och då går det inte att backa. Redan nu är det tydligen strul hos vissa banker.

Har du någon källa på det? Skulle vara intressant att läsa mer om.

Permalänk
Avstängd

Någon som kan sammanfatta vad det är för säkerhetshål?

Har inte lust att punga ut 10-15 tusen kronor på en ny mobil.

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Permalänk
Medlem
Skrivet av Bengt-Arne:

Klipper in lite från given länk.
--
A critical vulnerability that exists within Samsung's handling of the Qmage image format under Android. A critical vulnerability, therefore, that has been around since late 2014 when Samsung started supporting the .qmg format in all its Galaxy smartphone devices.

A so-called zero-click attack. Indeed, it's the same kind of zero-click exploit that the Project Zero team found in the Apple ecosystem recently.

You are advised to apply this update as a matter of urgency now that the existence of this vulnerability is known by potential threat actors. Until then, The Register advises, switching to a messaging app other than the Samsung defualt and disabling automatic MMS parsing may help mitigate any attack should threat actors start exploiting the vulnerability.
--

Skrivet av superegg:

Någon som kan sammanfatta vad det är för säkerhetshål?

Har inte lust att punga ut 10-15 tusen kronor på en ny mobil.

Ovan verkar ha klippt ut de viktiga. (Har själv inte läst nyheten)

Visa signatur

AMD 5800x3d | ASUS x570 | Samsung SSD EVO 850 500GB | Corsair 32GB (2x8GB) 3600Mhz | Noctua NH-D15 | ASUS TUF OC 4090 | Fractal design R6 | Corsair RM1000X | LG UltraGear 27GL850 x2

Permalänk
Medlem

Det handlar om MMS alltså? Vem skickar MMS i dag!? Tror det är två mobiler sen jag fick ett... 2012 kanske?

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Hedersmedlem
Skrivet av cyklonen:

Det handlar om MMS alltså? Vem skickar MMS i dag!? Tror det är två mobiler sen jag fick ett... 2012 kanske?

Egentligen inte, det är en bugg i avkodningen av ett visst bildformat. MMS råkar bara vara det enklaste sättet att få en telefon man inte känner att öppna en bild.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem
Skrivet av Gender Bender:

Det är fan dags att EU tar tag i det här. Ställ hårdare krav på Google att göra det möjligt att köra senaste versionen av Android, vare vilken telefon man har, även om det blir en avskalad version. Att bara få säkerhetsuppdateringar i 2 år om man har flaggskepp är inte acceptabelt. Blir det ingen förbättring så övergår jag till Iphone. Apple tar i alla fall säkerhet på allvar.

Visst kan man känna så. Men S7 som är nyaste flagskeppet samsung inte supportar är 4 år gammalt vid det här laget.

Permalänk
Medlem
Skrivet av cyklonen:

Precis. Min S8 får tydligen bara kvartalsvis nu, och snart bumpas den väl av helt.
Hade det inte varit för Mobilt BankID så hade jag rootat den för länge sen.

Roota med magisk o ch kör magisk hide. Done

Visa signatur

Citera för svar!

Permalänk
Hedersmedlem
Skrivet av Chrisj:

Visst kan man känna så. Men S7 som är nyaste flagskeppet samsung inte supportar är 4 år gammalt vid det här laget.

Samtidigt har den sålts under hela den tiden, proshop t ex har 15 st i lager just nu. Om den då har ett så här allvarligt fel och det finns noll chans att tillverkaren släpper en fix, borde man rimligen kunna reklamera den till butiken inom de vanliga 3 år från köpet.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Avstängd
Skrivet av Zippeer:

Ovan verkar ha klippt ut de viktiga. (Har själv inte läst nyheten)

ah, tack har IG på Engelska så fick använda Google översätt.

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Permalänk

Hur stor risk är det med gamla mobiler inloggade på ens wifi? Letar sig skiten in i bara själva mobilen, eller sprids den i hemnätverket? Är det vanligt? Barnen leker och spelar med familylinkkontrollerade androidmobiler från 2013 här och är inloggade på wifi. Själv kör jag s7 och VAR nöjd, tills jag började fundera över det här.

Är helt okunnig, men nojigt lagd. Vet inte riktigt vad jag ska göra nu. Vill inte byta mobiler i onödan.

Permalänk
Inaktiv

Haha jag blir överraskad varje gång när jag ser folk som bryr sig om vilken varriant av android de har på luren.

Jag har själv ingen aning alls! Har fått några uppdateringar pushade till min galaxy note 8 och då har jag väl kört de trots att jag inte märkt någon större skillad på någonting efteråt utöver att jag fick lite förbättrade kamerafunktioner en gång..det var ju kul. Använt den en gång.

Om det är någon av er som inbillar sig att eran mobil är "säker" så är ni riktigt korkade.

Permalänk
Medlem

Säkerhetsuppdateringar brukar inte märkas i UX, de ändringarna är oftast under huven så att säga.

Om man inte bryr sig om att installera uppdateringar ökar risken att bli hackad / ägd.

Permalänk
Inaktiv
Skrivet av torbjorn_75:

Säkerhetsuppdateringar brukar inte märkas i UX, de ändringarna är oftast under huven så att säga.

Om man inte bryr sig om att installera uppdateringar ökar risken att bli hackad / ägd.

Känner du någon som blivit ägd då?

Är det inte bättre att alltid vara fullt medveten om att mobilen är helt öppen än att gå runt och inbilla sig att några uppdateringar varannan dag håller den "privat" ?

Permalänk
Medlem
Skrivet av Zoxx0:

Använder Textra i dagsläget så check på den. Men vet du hur man stänger av parsing av MMS?

Google är din vän
https://www.google.com/search?client=firefox-b-d&q=disabling+...

Visa signatur

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D
--
I can Explain it to you, but I can't Understand it for you!

Permalänk
Skrivet av evil penguin:

Jag tror något sådant gäller de telefoner som levereras med Android 10, men inte nödvändigtvis de som fått uppgradering till 10.

Hm, vet att Goole behövde göra så när android ver 8 kom ut (där mobiler som uppdaterade inte behövde följa samma krav). Men skulle vara tvång i framtiden, men men Google tvingades väl backa på det så mobilerna blir uppdaterade överhuvudtaget.

Skrivet av snajk:

Stämmer tyvärr inte, Google uppdaterar sina Pixel-telefoner ungefär som Samsung. Två år av OS-uppdateringar och ytterligare ett år med säkerhetsuppdateringar. Å andra sidan kommer de förstås snabbare till pixel än till Samsungs telefoner. De var lite otydliga i sin marknadsföring om detta, två år av OS och tre år av säkerhetsuppdateringar gjorde att folk trodde fem år totalt, men så är det inte. Tjejens Pixel 1 sitter fast på oktober 2019 exempelvis.
Många av de förinstallerade apparna som inte är tillverkarens egna, typ Facebook eller Office, är bara stubs som inte installeras på riktigt förrän man använder dem. Fortfarande störigt men inte så farligt ur säkerhetssynpunkt i alla fall.

På min var dessa installerade på riktigt, ingen installation/nerladdning startade när man öppna appen så det är mer än en dummy (och är det dummy borde man ha full rätt få bort dessa).

Lär när jag köper ny, se till man har möjlighet använda root, så man kan ta bort all reklam och skräp. Microsoft är ljusår bättre (där kan man i alla fall få bort all bloatware, även om det kan vara bökigt så går det).

Vet min samsung hade någon väder wighet, som åt resurser helt i onödan (enda sättet bli av med allt skräp var installera ny rom, då blev mobilen som den borde varit när jag köpte den).

Visa signatur

Min spel rigg:FD Define R4|VX 550W|i5 2500K|Corsair LP 4GBX2|Mammabräda P67 Extreme4|GTX 670 windforce|23tum u2312hm
Min gamla/HTPC:AMD 6000+|Ram 2GbX2|Radeon HD5770| XFX 450/nu XFX 550
Mitt bygge: ByggloggFri frakt INET:Fraktfritt sweclockers vid köp över 500kr

#Gilla inlägg som är bra & Använd citera/@"namn" vid snabbt svar

Permalänk
Medlem
Skrivet av cyklonen:

Det handlar om MMS alltså? Vem skickar MMS i dag!? Tror det är två mobiler sen jag fick ett... 2012 kanske?

Den som vill in i din mobil, självfallet

Intressanta är att du inte ens behöver veta om att någon har skickat ett meddelande till dig, trevligt va?

Tysta SMS och "Short SMS" är en del av standarden, Short SMS är vad som ex ett meddelande som visa på skärmen men som inte normalt lagras. Jag skickade sådana för 25-år sådana i skämt syfte.
Det mesta i SMS standarden trillade över till MMS när det kom.

När sen bilden som skickas med MMS läses in, så sker en buffert overrun som placerar bilden i körbart minne via en bugg i Qmage image format och attacken är ett faktum, helt utan din vetskap.

Kan du fortfarande säga att du inte har fått något MMS?

Visa signatur

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D
--
I can Explain it to you, but I can't Understand it for you!

Permalänk
Inaktiv
Skrivet av Jygge:

Tur att man sluta med Samsung i tid kör på Huawei p30 pro den fungerar fint

Jo visst, finns nog inga ”säkerhetshål” i en telefon som utvecklats i kina. Avsiktliga eller ”oavsiktliga”. De är ju väldigt måna om personlig integritet 😂

Permalänk
Medlem
Skrivet av cyklonen:

Precis. Min S8 får tydligen bara kvartalsvis nu, och snart bumpas den väl av helt.
Hade det inte varit för Mobilt BankID så hade jag rootat den för länge sen.

Varför skulle det vara problem att roota med bankID?

Visa signatur

Nybörjare på Linux? Se hit! #15665841

Permalänk

@Gender Bender: Det är inte Google som är (huvud-) problemet. Google har uppdaterat villkoren för android och modulariserat aystemet, vilket betyder att du kommer kunna få uppdaterinar på grundsystemet direkt från Google och endast "drivers, appar och skins" från tillverkaren. Det blir kanske inte riktigt så modulärt från start men redan nu gäller nya licensvillkor som förhindrar att tillverkare senarelägger updates för att testa eller applicera sin custom design.

Permalänk
Medlem
Skrivet av anon56869:

Känner du någon som blivit ägd då?

Nej, inte på det sättet tror jag. Men vi ökar då och då vilken version av Android som krävs för att köra appen som jag jobbar med, och så svartlistar vi gamla versioner av appen. På det sättet tvingar vi fram hög säkerhet, alltså att både appen och operativsystemet är hyffsat nya bland användarna.

Skrivet av anon56869:

Är det inte bättre att alltid vara fullt medveten om att mobilen är helt öppen än att gå runt och inbilla sig att några uppdateringar varannan dag håller den "privat" ?

Jag skulle säga att det bästa är att göra mobiltelefonen så säker som möjligt, samtidigt som man är medveten om att den ändå kan bli hackad. Jämför med att låsa dörren när du lämnar huset eller lägenheten, det är en bra säkerhetsåtgärd, trots att det kan bli inbrott ändå. Det ska ju inte vara helt öppet liksom. Själv har jag installerat en säkerhetsdörr för att ytterligare försvåra inbrott.

Permalänk
Medlem

Känns som att det borde vara relativt enkelt för operatörerna att scanna inkommande MMS efter kod som inte är media och helt enkelt inte leverera det? Men jag kanske bara inte är tillräckligt insatt i tekniken för att veta bättre.

Visa signatur

Lian Li TU150 Silver # ASUS ROG Crosshair VIII Impact [AMD Ryzen 3700X|G.Skill Trident Z Neo 3600MHz CL16 (2x16GB)|Samsung 970 EVO plus (500GB)|Intel 660p (2TB)|MSI RTX 2070 Super Ventus OC 8GB] + Seasonic FOCUS SGX 650W #