image

Google Play-lek maakt automatische installatie apps mogelijk

woensdag 11 februari 2015, 14:06 door Redactie, 5 reacties

Een kwetsbaarheid in de Google Play Store maakt het voor kwaadwillenden mogelijk om op afstand automatisch apps uit de store op de toestellen van Androidgebruikers te installeren. Het probleem wordt veroorzaakt doordat het Google Play-domein geen X-Frame-Options (XFO) ondersteunt.

Een kwaadaardige gebruiker kan vervolgens via Cross-Site Scripting (XSS) in een bepaald deel van de Google Play webapplicatie, of via Universal XSS (UXSS), op afstand een willekeurige app uit Google Play installeren en starten. Volgens Todd Beardsley van beveiligingsbedrijf Rapid7 worden veel versies van Android 4.3 (Jelly bean) en eerder met browsers geleverd die kwetsbaar voor UXSS zijn.

Daarnaast is er de mogelijkheid dat gebruikers zelf een kwetsbare browsers hebben geïnstalleerd. Gebruikers die zich tegen het probleem willen beschermen krijgen dan ook het advies een browser te gebruiken waar niet regelmatig UXSS-kwetsbaarheden in worden aangetroffen, zoals Google Chrome, Mozilla Firefox of de Dolphin Browser. Een andere oplossing is niet ingelogd te zijn op een Google-account tijdens het surfen.

Aanval

Het probleem werd op 12 december vorig jaar aan Google gerapporteerd. Er wordt echter geen melding gemaakt of de kwetsbaarheid ook is verholpen. Rapid7 heeft wel een module voor Metasploit gemaakt om de kwetsbaarheid te demonstreren. Metasploit is een framework voor het testen van de veiligheid van systemen. De nu verschenen module combineert twee kwetsbaarheden om willekeurige code op Androidtoestellen uit te voeren.

Eerst maakt de module gebruik van een UXSS-lek in de standaard Androidbrowser, alsmede verschillende andere browsers, op Android 4.3 en ouder. Daarnaast handhaaft de Google Play webinterface geen X-Frame-Options en is daardoor kwetsbaar voor scriptinjectie. Het eindresultaat is het op afstand uitvoeren van code via Google Play's feature om op afstand apps te installeren. Een aanvaller kan zodoende elke willekeurige op in de Play-store installeren en starten.

Reacties (5)
11-02-2015, 14:21 door Anoniem
Hoe zit het dan met applockers die het installeren en de-installeren van apps blokkeren zonder authenticatie? Lijkt me niet dat deze exploit een goeie applocker kan omzeilen? Ik zit zelf met een hardnekkige fabrikant die niet wil upgraden naar 4.4.x en zit dus nog op 4.2.x...
11-02-2015, 14:48 door Anoniem
Door Anoniem: Ik zit zelf met een hardnekkige fabrikant die niet wil upgraden naar 4.4.x en zit dus nog op 4.2.x...

Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.

Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.
11-02-2015, 19:29 door Flashback956
Door Anoniem:
Door Anoniem: Ik zit zelf met een hardnekkige fabrikant die niet wil upgraden naar 4.4.x en zit dus nog op 4.2.x...

Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.

Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.

Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
12-02-2015, 09:36 door Anoniem
Door Flashback956:
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.

En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.
12-02-2015, 12:40 door Anoniem
Door Anoniem:
Door Flashback956:
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.

En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.

Dat is hetzelfde als Dell/HP/... verantwoordelijk maken voor het uitrollen van windows patches.
Google zou verantwoordelijk moeten zijn voor de uitrol van patches voor het OS.
De fabrikanten zouden alleen verantwoordelijk moeten zijn voor drivers.

Nooit begrepen waarom dit model niet door google gebruikt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.