image

"Beveiliging Android toestellen verschrikkelijk"

donderdag 20 januari 2011, 12:26 door Redactie, 11 reacties

Het stelen van vertrouwelijke informatie van Android-toestellen is een stuk eenvoudiger geworden, nu een exploit aan de populaire hackertool Metasploit is toegevoegd. De kwetsbaarheid in het besturingssysteem werd vorig jaar november onthuld en laat aanvallers de inhoud van SD-kaarten stelen, maar ook andere informatie en bestanden op de telefoon zouden toegankelijk zijn.

Google liet weten dat het lek via Android 2.3 gepatcht wordt. "Dat is op zichzelf is nog niet zo belachelijk, de werkelijkheid is dat Google slechts één bij Android betrokken partij is", zegt Joshua “jduck” Drake van het Metasploit team. Er zijn ook nog twee andere groepen, namelijk fabrikanten en carriers, die ervoor moeten zorgen dat hun gebruikers de update krijgen. "Hoewel Android toestellen steeds functioneler worden, is de beveiliging nog steeds verschrikkelijk."

Olievlek
De onderzoeker die het lek onthulde verwijderde later enkele details om gebruikers te beschermen. "Ik denk dat responsible disclosure tweerichtingsverkeer is dat verantwoordelijkheid aan beide kanten vereist. Aangezien Google, fabrikanten en carriers onverantwoord blijven handelen, is het nodig om meer aandacht aan dit probleem en de situatie in z'n geheel te geven."

De aan Metasploit toegevoegde exploit maakt het mogelijk om onder andere bookmarks en surfgeschiedenis te stelen, die een aanvaller toegang tot opgeslagen wachtwoorden en sessie-cookies kunnen geven. "Ik hoop dat het Android beveiligingsdebacle snel wordt opgelost", zegt Drake. Als de situatie niet wordt opgelost, verwacht hij dat het aantal besmette Android-toestellen zich als een olievlek zal verspreiden.

Reacties (11)
20-01-2011, 12:53 door Anoniem
Gelukkig draait mijn HTC desire al een (custom) android 2.3 rom :)
20-01-2011, 14:30 door Syzygy
Door Anoniem: Gelukkig draait mijn HTC desire al een (custom) android 2.3 rom :)

Daar was heel Security.nl nou erg benieuwd naar !!
20-01-2011, 14:49 door Anoniem
Precies!
Zijn mobiele toestellen eigenlijk uberhaupt goed te beveiligen daar de encryptie van Apple en Blackberry (android heeft volgens mij geen encrypted disk software of dergelijke on board) binnen enkele minuten te kraken zijn?
Daar ben ik zelf wel geinteresseerd in.
Zoiets als TC,Luks, Ecyptfs voor Mobiel.
20-01-2011, 14:59 door Anoniem
De eerste de beste hacker die zinvolle gegevens van mijn SD kaart weet te toveren moet nog geboren worden. Allereerst kom ik mijn met Android niet op foute websites (of nu.nl, security.nl en isc.org moeten besmet zijn) en de rest gaat toch via apps.

Kvind het wel opvallend dat er veel Android 'fouten' ontdekt worden die geen impact hebben juist ten tijde dat WP7 aan het wurmen is om voet aan wal te krijgen.
20-01-2011, 15:22 door Mysterio
Jaha, maar je vergeet dat driekwart van de applicaties al van zichzelf jouw gegevens doorvertellen. Het is uiteraard wachten op grove schandalen eer dat er serieus naar gekeken wordt. We wachten geduldig.
20-01-2011, 15:29 door Anoniem
Door Anoniem: De eerste de beste hacker die zinvolle gegevens van mijn SD kaart weet te toveren moet nog geboren worden. Allereerst kom ik mijn met Android niet op foute websites (of nu.nl, security.nl en isc.org moeten besmet zijn) en de rest gaat toch via apps.

Kvind het wel opvallend dat er veel Android 'fouten' ontdekt worden die geen impact hebben juist ten tijde dat WP7 aan het wurmen is om voet aan wal te krijgen.

Als iemand jouw toestel heeft kan hij dan niet met weinig moeite jouw email settings er af halen zonder problemen?
Ik wil dat als mijn mobieltje net zoals mijn laptop encrypted is zodat niemand er iets mee kan doen.
Jammer van het toestel maar mijn prive en zakelijke email op mijn toestel is niet te bereiken voor derden.
20-01-2011, 15:46 door xy22
Door Anoniem: Precies!
Zijn mobiele toestellen eigenlijk uberhaupt goed te beveiligen daar de encryptie van Apple en Blackberry (android heeft volgens mij geen encrypted disk software of dergelijke on board) binnen enkele minuten te kraken zijn?
Daar ben ik zelf wel geinteresseerd in.
Zoiets als TC,Luks, Ecyptfs voor Mobiel.
er zijn een aantal applicaties om een Android toestel te beveiligen en/of voor encryptie beschikbaar. (Zullen er ongetwijfeld meer zijn dan deze 2:)
http://www.nitrodesk.com/ en http://www.nitrodesk.com/features.aspx

http://www.mocana.com/dsf-android.html

Grootste vraag, lijkt mij, vertrouw je die software-makers?
20-01-2011, 17:16 door prikkebeen
Now for the #fail. Android, like Windows Phone, is largely designed to be an open platform. Windows Phone does require licensing, but supports many handset makers similar to the Android strategy. What do I mean by this? Many carriers and manufacturers of handsets are encouraged and able to use the operating system and adapt it to just about any form factor they can imagine. HTC, Samsung, Motorola, Acer and others each can make interesting, innovative devices and customize the operating system to meet their needs.

This sounds like a good thing, right? It is awesome if you are a consumer and want the maximum amount of choice and flexibility. The problem comes in when you have to patch or maintain the software that drives these devices when they only have the most basic components in common. This is the security nightmare that Android is beginning to face. Every device on every carrier has a slightly unique configuration that requires that phone's manufacturer and carrier to update its software independent of what Google may have provided.

Als je bovenstaande stuk van Cannon even leest zul je dus zien dat Google/android hier niet veel tegen kan ondernemen.
De carrier heeft het toestel zover dichtgespijkerd dat je er zelf niets meer mee kunt en afhankelijk bent van diezelfde carrier todat die de patch aan hun specificaties aangepast hebben en pushen naar de toestellen.
Android komt er op deze manier wel erg bekaaid af en dat is niet helemaal aan Google te wijten.
Een unlocked toestel kun je fixen met een patch wanneer jij dat wilt.
21-01-2011, 09:38 door Anoniem
Door prikkebeen: De carrier heeft het toestel zover dichtgespijkerd dat je er zelf niets meer mee kunt en afhankelijk bent van diezelfde carrier todat die de patch aan hun specificaties aangepast hebben en pushen naar de toestellen.
Android komt er op deze manier wel erg bekaaid af en dat is niet helemaal aan Google te wijten.

Dat is de reden dat ik bij voorkeur zelf mijn toestel koop en dan een sim-only abonnement afneem. Als je kijkt naar het prijsverschil tussen een abonnement met en zonder toestel, heb je dat toestel aan het eind van de abonnementsperiode ook zelf betaald. En je kunt niet halverwege overstappen omdat de carrier andere tarieven gaat hanteren. Ja, officieel wel, maar probeer dan maar eens een unlock code te krijgen.

Peter
21-01-2011, 10:16 door xy22
Door Anoniem:
Door prikkebeen: De carrier heeft het toestel zover dichtgespijkerd dat je er zelf niets meer mee kunt en afhankelijk bent van diezelfde carrier todat die de patch aan hun specificaties aangepast hebben en pushen naar de toestellen.
Android komt er op deze manier wel erg bekaaid af en dat is niet helemaal aan Google te wijten.

Dat is de reden dat ik bij voorkeur zelf mijn toestel koop en dan een sim-only abonnement afneem. Als je kijkt naar het prijsverschil tussen een abonnement met en zonder toestel, heb je dat toestel aan het eind van de abonnementsperiode ook zelf betaald. En je kunt niet halverwege overstappen omdat de carrier andere tarieven gaat hanteren. Ja, officieel wel, maar probeer dan maar eens een unlock code te krijgen.

Peter
Hangt ook van je gebruik af, denk ik. Maar over het halverwege overstappen met unlockcode; dat is niet zo lastig, je betaalt dan in een keer de resterende maanden abonnementsgeld, krijgt geen belminuten/sms/internet daarvoor, maar wel een unlockcode mee. Bij mijn weten kan dat bij (bijna) elke provider.
21-01-2011, 13:37 door 2tirds
Ja logisch, moet gewoon uit zijn kinderjasje geholpen worden. Toch wel een super ontwikkeling hoor dat android. Nou ja ik ben nu met linux aan het kloten op zon toestel, maar dat zal nog wel ff duren... leuke voorbeelden:

http://goodereader.com/blog/electronic-readers/google-android-market-alternatives-and-must-have-e-reader-applications/

http://www.product-reviews.net/2010/08/28/ipad-alternatives-tablet-pc-2010-2011-list/

http://geektechnique.org/projectlab/767/put-flash-memory-into-almost-any-ipod

http://www.rockbox.org/

of nou ja er is zoveel ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.