Nieuws

Ernstig lek in alle Android-telefoons onthuld

dinsdag 28 februari 2012, 11:30 door Redactie, 7 reacties

Er zit een ernstig beveiligingslek in alle Android-telefoons, waardoor aanvallers automatisch malware kunnen installeren als slachtoffers een linkje openen. Morgen zal voormalig McAfee-onderzoeker Dmitri Alperovitch de aanval demonstreren. De kwetsbaarheid die de onderzoeker misbruikt bevindt zich in de Webkit browser-engine. Deze software wordt zowel door Google Chrome als Safari gebruikt. Aangezien de veiligheid van mobiele telefoons ten opzichte van desktop computers beperkt is, is de aanval hier eenvoudiger uit te voeren.

De aanval bestaat uit een sms-bericht met een linkje. Zodra het slachtoffer het linkje opent, wordt een Trojaans paard geïnstalleerd waarmee Alperovitch telefoongesprekken kan afluisteren, maar ook allerlei gegevens kan stelen. "Er is geen beveiligingsmechanisme op de telefoon", aldus Alperovitch tegenover Cnet. "Er is geen app die je bij een beveiligingsaanbieder kan kopen die je hier tegen beschermt. Het fundamentele ontwerp van het besturingssysteem geeft geen enkele app beheerderstoegang tot het apparaat, dus ben je aan de genade van de aanbieder van het besturingssysteem overgeleverd."

Update
Het lek zit zowel in de Webkit-versies op het iPhone- als het Android-platform. De aanval van Alperovitch is echter alleen voor Android-toestellen uitgewerkt. "Ze demonstreren wederom dat mobiele apparaten net computers zijn, die op dezelfde manier zijn aan te vallen", zegt Mac-hacker Charlie Miller. "Een interessant verschil is dat mobiele apparaten niet over beveiligingssoftware beschikken die wel op desktop computers aanwezig is."

Om het beveiligingslek op te lossen, zou een firmware update vereist zijn. Het kan echter weken of maanden duren voordat de verschillende fabrikanten de updates voor hun toestel gereed hebben.

Chinese smartphone in trek bij cybercriminelen

Roemeense skimmers op heterdaad betrapt

Reacties (7)

28-02-2012, 12:17 door Vergeten

Waarom staat in de titel alleen Android en niet iOS dan?

Word beetje moe van dit soort berichten, Apple fanboys maken van dit soort berichten gelijk weer gebruik van als één van hun argumenten zonder te lezen dat het voor beide systemen zijn.

Maar goed dit bewijst maar weer eens dat je niet zomaar linkjes moet aanklikken uit emails en smsjes.

28-02-2012, 12:38 door Anoniem

Ben het eens met gebruiker Vergeten dat dit weer erg overkomt als een stukje anti-PR voor een systeem.

28-02-2012, 12:44 door Rasalom

Door Vergeten: Maar goed dit bewijst maar weer eens dat je niet zomaar linkjes moet aanklikken uit emails en smsjes.

Als ik het artikel goed begrijp, is dat alleen de aanvalsvector van deze proof of concept. Het echte probleem lijkt veel breder.

Als het lek in webkit zit, Kan het zich op verschillende manieren manifesteren. Waarschijnlijk zelfs als je op een geprepareerde link op het web klikt.

Een andere browser (met een andere engine) zoals Opera Mini gebruiken zal wellicht nog wat verlichting bieden?

Ik ga Cyanogen goed in de gaten houden. Eens kijken wat ze er daar van vinden en of ze het lek kunnen dichten.

28-02-2012, 15:11 door Anoniem

"Aangezien de veiligheid van mobiele telefoons ten opzichte van desktop computers beperkt is, is de aanval hier eenvoudiger uit te voeren."

Dat juist andersom. Op een desktop (Windows) computer is men verplicht scanners, blockers en anti-malware tools te installeren omdat desktop computers beperkter beveiligd zijn dan smart phones.

28-02-2012, 15:34 door Rasalom

Basically, in the demo scheduled for 10:40 a.m. PT Wednesday, Alperovitch plans to send a targeted SMS message to a planted victim that masquerades as a message from the carrier. The message will warn that the recipient's data plan is about to expire unless the recipient follows a Web link provided to renew service. Once the link is opened in the browser the malware is installed on the device without the victim doing anything else.

Read more: http://news.cnet.com/8301-27080_3-57386319-245/researcher-to-demo-smartphone-attack-at-rsa/#ixzz1nge8ucBN

Het installeren van een niet Webkit browser is dus een valide workaround. Dat stelt mij als Opera Mini gebruiker alweer een stuk geruster.

Ik meen dat alternatieve browser engines op iOS niet toegestaan waren, dus dit lek heeft daar in theorie meer impact op de korte termijn. Maar het belabberde patchbeleid van de Android phone bouwers, maakt het voor Android een lange termijn probleem.

28-02-2012, 16:06 door Anoniem

Ernstig lek in Webkit, niet in Android (of iOS).
Ja, de stock browser van Android (en iOS) is op webkit gebaseerd, maar mijn default browser is Opera Mobile, dus ik heb nergens last van...

Jammer van de titel, neemt niet weg dat het voor 99% van de Android en iPhone gebruikers wel gevaar loopt...

28-02-2012, 23:47 door Anoniem

Lang leve mijn oude niet smartphone! :)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer