Google Play-lek maakt automatische installatie apps mogelijk
Een kwetsbaarheid in de Google Play Store maakt het voor kwaadwillenden mogelijk om op afstand automatisch apps uit de store op de toestellen van Androidgebruikers te installeren. Het probleem wordt veroorzaakt doordat het Google Play-domein geen X-Frame-Options (XFO) ondersteunt.
Een kwaadaardige gebruiker kan vervolgens via Cross-Site Scripting (XSS) in een bepaald deel van de Google Play webapplicatie, of via Universal XSS (UXSS), op afstand een willekeurige app uit Google Play installeren en starten. Volgens Todd Beardsley van beveiligingsbedrijf Rapid7 worden veel versies van Android 4.3 (Jelly bean) en eerder met browsers geleverd die kwetsbaar voor UXSS zijn.
Daarnaast is er de mogelijkheid dat gebruikers zelf een kwetsbare browsers hebben geïnstalleerd. Gebruikers die zich tegen het probleem willen beschermen krijgen dan ook het advies een browser te gebruiken waar niet regelmatig UXSS-kwetsbaarheden in worden aangetroffen, zoals Google Chrome, Mozilla Firefox of de Dolphin Browser. Een andere oplossing is niet ingelogd te zijn op een Google-account tijdens het surfen.
Aanval
Het probleem werd op 12 december vorig jaar aan Google gerapporteerd. Er wordt echter geen melding gemaakt of de kwetsbaarheid ook is verholpen. Rapid7 heeft wel een module voor Metasploit gemaakt om de kwetsbaarheid te demonstreren. Metasploit is een framework voor het testen van de veiligheid van systemen. De nu verschenen module combineert twee kwetsbaarheden om willekeurige code op Androidtoestellen uit te voeren.
Eerst maakt de module gebruik van een UXSS-lek in de standaard Androidbrowser, alsmede verschillende andere browsers, op Android 4.3 en ouder. Daarnaast handhaaft de Google Play webinterface geen X-Frame-Options en is daardoor kwetsbaar voor scriptinjectie. Het eindresultaat is het op afstand uitvoeren van code via Google Play's feature om op afstand apps te installeren. Een aanvaller kan zodoende elke willekeurige op in de Play-store installeren en starten.
Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.
Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.
Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.
Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.
Dat is hetzelfde als Dell/HP/... verantwoordelijk maken voor het uitrollen van windows patches.
Google zou verantwoordelijk moeten zijn voor de uitrol van patches voor het OS.
De fabrikanten zouden alleen verantwoordelijk moeten zijn voor drivers.
Nooit begrepen waarom dit model niet door google gebruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
