Samsungs nieuwste versie van Magician, versie 5.1, dicht een zeer belangrijk beveiligingslek in zijn updateprotocol. Magician is de software die het levert voor het onderhouden, testen en updaten van zijn SSD's. Het bedrijf probeerde een soortgelijk lek al eens te dichten in versie 5.0, maar had dit niet goed aangepakt waardoor miljoenen gebruikers nog steeds vatbaar zijn. Vorig jaar waren er ook al problemen met de software, toen Samsung een firmware-update weigerde zonder datacollectie.
Vóór versie 5.0 maakte Magician gebruik van een http-verbinding voor het controleren en downloaden van updates. Dit werd in versie 5.0 'opgelost' door het gebruik van https in te voeren. Dit dichtte het lek echter niet compleet, want de software controleerde het aangeboden SSL-certificaat niet.
Deze twee lekken zorgden ervoor dat een zogenaamde man-in-the-middle-attack mogelijk was. Dit soort aanval kan de data die uitgewisseld wordt met de server onderscheppen en eventueel vervangen. Vervolgens kan de aanvaller een kwaadwillende update aanbieden, die code met adminrechten kan uitvoeren.
Samsung raadt gebruikers aan om de software van de officiële website te downloaden en niet gebruik te maken van de ingebouwde updatefunctie. Versie 5.1 van de Magician-software vind je op deze webpagina; als je in het bezit bent van een Samsung-SSD raden we je aan om zo snel mogelijk te updaten.
Update 22/06: Wij hebben Samsung om een statement gevraagd en zij hebben het volgende geantwoord:
Samsung neemt beveiligingsproblemen zeer serieus. Wij zijn op de hoogte van deze kwestie en hebben op 2 juni een update via Samsung Magician 5.1 uitgegeven om dit probleem aan te pakken. Wij raden gebruikers aan om de laatste versie van deze software te downloaden via onze officiële Samsung SSD-website.
Samsung Magician
Bron: CERT
