image

Groot privacylek in 75% Android-toestellen ontdekt

dinsdag 16 september 2014, 09:51 door Redactie, 18 reacties

Een lek dat in 75% van de Android-toestellen aanwezig is is een grote privacyramp, zo waarschuwt een beveiligingsexpert. Via de kwetsbaarheid kan een kwaadaardige site de inhoud van andere geopende websites bekijken. De aanvaller kan zo bijvoorbeeld webmaildata uitlezen en zien wat de browser ziet.

Ook is het mogelijk om het sessiecookie van de aangevallen gebruiker te stelen, waardoor de aanvaller de sessie volledig kan overnemen en in naam van het slachtoffer bijvoorbeeld e-mails kan lezen en versturen. De kwetsbaarheid bevindt zich in de Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging omzeild kan worden.

Privacyramp

"Dit is een privacyramp. De Same-Origin Policy is de hoeksteen van webprivacy en is belangrijk onderdeel voor browserbeveiliging", zegt Todd Beardsley van beveiligingsbedrijf Rapid7. Het lek was ontdekt door beveiligingsonderzoeker Rafay Baloch, die de kwetsbaarheid op 1 september via zijn blog openbaar maakte. Toen Baloch de kwetsbaarheid rapporteerde kreeg hij geen enkele reactie van Google.

De kwetsbaarheid is aanwezig in alle Android-versies voor Android 4.4. Dat houdt in dat 75% van de Android-toestellen risico loopt. Er is inmiddels een module voor de hackertool Metasploit verschenen waardoor het mogelijk is om van het lek misbruik te maken. Metasploit is een tool voor hackers, security professionals en penetratietesters om de veiligheid van systemen en netwerken te testen. Later deze week zal Beardsley een videodemonstratie van de kwetsbaarheid online zetten.

Reacties (18)
16-09-2014, 10:18 door Vandy
Kortom, een andere dan de standaardbrowser gebruiken. Firefox, Chrome, Dolphin, of wat dan ook.
16-09-2014, 10:20 door Anoniem
Stel ik maak gebruik van google chrome als browser. Loop ik dan nog enig risico? if zeg ik nu heel iets stoms
16-09-2014, 10:26 door Anoniem
Als je nu nog geen 4.4 hebt moet je toch echt afvragen waarom je die gsm gekozen hebt.
#1 je leverancier had al op 4.4.x moeten zitten
#2 je gsm had genoeg resources moeten hebben bij aanschaf voor 4.4

Wat hebben we geleerd?
640kb is not enough.
16-09-2014, 10:43 door spatieman
what about idiots dat simpelweg GEEN updates leveren, maar simpelweg zeggen, koop maar een nieuw toestel.
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.
16-09-2014, 10:50 door Anoniem
Door Anoniem: Als je nu nog geen 4.4 hebt moet je toch echt afvragen waarom je die gsm gekozen hebt.
#1 je leverancier had al op 4.4.x moeten zitten
#2 je gsm had genoeg resources moeten hebben bij aanschaf voor 4.4

Wat hebben we geleerd?
640kb is not enough.
Nog niet zo lang geleden Android Gingerbread gekocht. Ik ga toch echt niet een nieuwe phone kopen zeg. Dan moeten ze maar gewoon met een patch komen!
16-09-2014, 11:10 door Anoniem
Door spatieman: what about idiots dat simpelweg GEEN updates leveren, maar simpelweg zeggen, koop maar een nieuw toestel.

Klacht indienen bij het ACM tegen de provider die de telefoon heeft geleverd. Vooral als de leverancier je een telefoon verkoopt die bij levering al niet de laatste versie heeft. Hij levert bewust een onveilig apparaat.

Er zijn al een aantal van die klachten ingediend. Als het echter niet structureel gebeurt, doet ACM er niets aan. Pas bij een redelijk aantal (dat aantal is me niet verteld) gaan ze stappen ondernemen tegen de leveranciers.

Peter
16-09-2014, 11:13 door Anoniem
Door spatieman: what about idiots dat simpelweg GEEN updates leveren, maar simpelweg zeggen, koop maar een nieuw toestel.
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.

Misschien dan maar stellen: inderdaad ander toestel kopen EN NIET MEER VAN DIT MERK. Waarbij een toestel dat aangepast is door jouw provider betekent: NIET MEER VAN DEZE PROVIDER.

Ieder bedrijf dat updates onmogelijk maakt en dus geen oplossingen voor dit soort problemen biedt, hoort van de markt te verdwijnen of zich aan te passen. En gebruikers stemmen met hun portemonnee, dus niet kopen is: leren of verdwijnen.
16-09-2014, 11:22 door Anoniem
Door spatieman: what about idiots dat simpelweg GEEN updates leveren, maar simpelweg zeggen, koop maar een nieuw toestel.
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.

een iPhone, je kan elke paar maanden een nieuwe Android of WP kopen voor hetzelfde geld...
Prijs/kwaliteit ratio is alang naar de vaantjes bij Apple. Nu telt enkel de winst nog voor de aandeelhouders, en die moet maximaal zijn.
16-09-2014, 11:27 door N4ppy
Waarom zou je je mail in een webbrowser lezen?
16-09-2014, 11:59 door Anoniem
Ik heb een Nokia waar je mee kunt bellen en sms'n.

Mee dan voldoende, zo blijkt.
16-09-2014, 12:20 door johanw
Door Anoniem:
Nog niet zo lang geleden Android Gingerbread gekocht. Ik ga toch echt niet een nieuwe phone kopen zeg. Dan moeten ze maar gewoon met een patch komen!
Dat is dan wel een extreem budget toestel, zels de goedkoopste Aldi telefoon draait al op 4.3. Waarschijnlijk krijg je er niet eens 4.x op wegens ruimtetekort.

Leer er mee leven en bekijk geen gevoelige data via de browser. En maak vaak de cashe/cookies/history leeg.
16-09-2014, 12:24 door johanw - Bijgewerkt: 16-09-2014, 12:27
Door Anoniem:Misschien dan maar stellen: inderdaad ander toestel kopen EN NIET MEER VAN DIT MERK.
In tegenstelling tot Apple, die het aanpassen van apps exclusief voor nieuwe versies verplicht zodat je toestel onbruikbaar wordt als je een paar updates mist (en te traag als je er teveel binnenhaalt), maakt het bij Android qua applicaties niet zoveel uit welke versie je gebruikt. Veel werkt inderdaad niet meer onder 2.x, maar de minimum ondersteunde versie is eigenlijk altijd wel 4.0.

De windows phone crowd laat natuurlijk ook weer van zich horen. Voor die speelt dat punt niet zo veel omdat er voor windows phone toch nauwelijks iets uitkomt. En blijkbaar hebben die hun lesje bij de overgang WP7 - 8 niet geleerd. Geeft niet, als windows phone 9 uitkomt krijgen ze nog zo'n les.
16-09-2014, 14:41 door Anoniem
Het gaat hier om de standaard browser... Als je bijf Chrome gebruikt is er niks aan de hand...
16-09-2014, 14:51 door Anoniem
Ik heb 4.4.2 kitkat android op mijn Samsung Galaxy s4 ook heeft Samsung in de tussentijd nog een firmware uitgebracht.
Maar ja wat de verbeteringen zijn,kan ik niet achterhalan.
16-09-2014, 16:22 door Anoniem
Door Anoniem: Ik heb een Nokia waar je mee kunt bellen en sms'n.

Mee dan voldoende, zo blijkt.
Ja zo zie je maar hoe simpel het kan zijn.
geweldig,hier hou ik van!
17-09-2014, 10:38 door Anoniem
Door Anoniem: Ik heb een Nokia waar je mee kunt bellen en sms'n.

Mee dan voldoende, zo blijkt.
+1

- Iedere smartphone = privacy-lek (da's namelijk de bedoeling...)
- smartphone insinueert dumbuser...


Maar lekker met z'n allen op een schermpje blijven kijken, wordt vanzelf een bril die meekijkt (Google Glass bijvoorbeeld) om uit te komen op een chip in je hoofd. Duurt nog even, maar dan heb je wat...
17-09-2014, 12:41 door xclude - Bijgewerkt: 17-09-2014, 12:43
Binnenkort wordt en goedkope smartphone van Google zelf op de markt gebracht, de Android One http://www.neowin.net/news/android-one-debuts-in-india-more-countries-to-follow. Deze goedkope smartphone wordt door Google zelf met de regelmaat van de klok van nieuwe firmware updates voorzien, ben je dus bang dat je geen updates meer krijgt dan is dit over een paar maanden misschien een goede keuze.

Ik zelf heb een Samsung Galaxy S3 van nog net geen twee jaar oud, die geen updates meer krijgt sinds v 4.3. Ik ben er zelf mee aan de slag gegaan en hij draaid nu keurig op Caynogenmod M9 met Android Kitkat 4.4.4. Maar dat is natuurlijk niet voor iedereen weggelegd. ;)
22-09-2014, 14:16 door Anoniem
Door xclude: Binnenkort wordt en goedkope smartphone van Google zelf op de markt gebracht, de Android One http://www.neowin.net/news/android-one-debuts-in-india-more-countries-to-follow. Deze goedkope smartphone wordt door Google zelf met de regelmaat van de klok van nieuwe firmware updates voorzien, ben je dus bang dat je geen updates meer krijgt dan is dit over een paar maanden misschien een goede keuze.

Yup, en ondertussen worden je privé gegevens gewoon door Google, of andere 'legitieme' bedrijven gekopieerd dus is privacy ook daar ver te zoeken. De vele updates zullen, naast security fixes, ook zaken als nieuwe tracking technieken bevatte zonder dat je dit in de gaten hebt. Hoe je het ook went of keert, indien privacy je lief is, gebruik geen smartphone want daarbij ben jezelf het product. Met een dumbphone kun je niet zoveel maar kunnen bedrijven in ieder geval niet je persoonlijke data uitlezen. Of root je smartphone, installeer een vuurmuur (Android Firewall), een privacy too (App Ops)l en een goede virusscanner en flikker alles van Google, Facebook of Twitter er direct af. Helaas heb je dan geen appstore meer en kun je geen Google apps meer gebruiken meer maar apps zijn ook buiten de stores om te krijgen. Een android apk file is gewoon een zipflie welke je kunt uitpakken met o.a. 7-zip en vervolgens kan laten scannen op malware, indien je scanner de apk's als 1 enkel file ziet. Of je upload het apk file naar Jotti en/of VirusTotal, dan weet je direct of deze malware bevat of niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.