Dat staat vermeld op de Amerikaanse National Vulnerability Database en werd gedemonstreerd door de veiligheidsexpert Mohamed A. Baset middels twee Youtube-video’s.
De Find My Mobile-functie op Samsung-telefoons laat eigenaars hun telefoon op vergrendelen of weer ontgrendelen, maar kan ook gebruikt worden om alle data van de telefoon te wissen.
Samsung-telefoons zouden echter niet valideren wat de bron van dit soort verzoeken is, waardoor het mogelijk wordt voor hackers om hun eigen informatie, zoals een zelf ingestelde vergrendelcode, naar de smartphones te sturen.
Baset demonstreerde de zwakheid door onder meer een Samsung-toestel op afstand te vergrendelen, ontgrendelen en de ringtone te laten afgaan.
CSRF-aanval
Hij maakte hiervoor gebruik van de Find My Mobile-website via een ’Cross-Site Request Forgery’-aanval. Hierbij worden zonder medeweten of toestemming van een bezoeker gegevens meegestuurd die de website aanmerkt alsof die van deze bezoeker afkomstig zijn.
Baset kon zo een zelf verzonnen vergrendelcode meesturen, samen met de boodschap “Dit apparaat is vergrendeld door SymbianSyMoh”, zijn gebruikersnaam op Twitter.
Samsung maakte onlangs juist nog bekend dat het in Nederland de zogeheten ‘killswitch’-functie, het op afstand wissen van een telefoon, een prominentere plek gaat geven in zijn toestellen.
Veiligheidscampagne Samsung
De optie om deze killswitch aan te zetten wordt in nieuwe Nederlandse Samsung-smartphones al bij installatie aan gebruikers voorgelegd.
Het Zuid-Koreaanse bedrijf doet dit in samenwerking met het Ministerie van Veiligheid en Justitie als onderdeel van een voorlichtingscampagne over het beveiligen van telefoons tegen diefstal.
De eerste telefoon die de killswitch-optie al in de installatieprocedure opneemt, is de Galaxy Note 4. Samsung heeft nog niet gereageerd op de ontdekte zwakheid.
Bekijk een demonstratie van het lek:
Galaxy Note 4: Samsung blijft overeind ondanks toenemende concurrentie