image

VU-onderzoekers onthullen beveiligingsprobleem in Android

zondag 28 juni 2015, 18:08 door Redactie, 21 reacties

Onderzoekers van de Vrije Universiteit in Amsterdam hebben een beveiligingsprobleem in Android onthuld waardoor een aanvaller via de gestolen inloggegevens van een Google-account in een aantal stappen kwaadaardige apps op toestellen kan installeren.

Het probleem wordt veroorzaakt doordat Google één account voor verschillende apparaten gebruikt. Een aanvaller die de computer van een Androidgebruiker weet te infecteren en erin slaagt om het wachtwoord van het Google-account te stelen, kan vervolgens apps op alle Androidtoestellen installeren die bij dat account horen, zo lieten de onderzoekers dit weekend aan de Volkskrant weten. De toestellen die de onderzoekers gebruikten lieten alleen tijdens het installatieproces meldingen zien in de notificatiebalk, zoals het downloaden en installeren van de app.

"Maar zodra dit klaar was, was er niets meer te zien totdat het notificatiescherm expliciet geopend wordt. Ook is het zo dat het icoon van de app niet altijd op het hoofdscherm terecht komt, maar soms alleen bij het 'alle apps' overzicht, bijvoorbeeld als je hoofdscherm al vol staat, of - als de app op de juiste manier wordt gepublished - helemaal niet. Wij maken gebruik van dit laatste", zegt VU-onderzoeker Victor van der Veen tegenover Security.NL. Samen met onderzoeker Radhesh Krishnan en hoogleraar systeem- en netwerkbeveiliging Herbert Bos ontdekte en onderzocht hij het probleem.

Play Store

Van der Veen stelt dat via de aanvalsvector alleen apps uit de Play Store geïnstalleerd kunnen worden. Volgens de onderzoeker heeft een aanvaller vervolgens twee opties. Of het plaatsen van een eenvoudige app op Google Play, die na geopend te worden een nieuwe malafide app installeert. Hiervoor zou de gebruiker echter wel zelf moeten instellen dat apps van externe bronnen kunnen worden geïnstalleerd. Iets dat standaard staat uitgeschakeld. De tweede optie is het plaatsen van een app op Google Play met daarin al kwaadaardige code. "We hebben ondertussen verschillende 'foute' apps in de Play Store gekregen zonder dat deze gedetecteerd zijn als malafide door Google", aldus Van der Veen.

Via de kwaadaardige app kan een aanvaller vervolgens allerlei acties op het toestel uitvoeren, zoals het onderscheppen van sms-berichten of het inschakelen van de camera. De onderzoekers waarschuwden Google eind vorig jaar, maar de internetgigant zou niets aan het probleem willen doen. Van der Veen adviseert gebruikers die zich tegen eventuele aanvallen willen beschermen om op te letten. Zo moeten ongevraagd gedownloade apps direct worden verwijderd en moet de optie "installeren van externe bronnen" staan uitgeschakeld. Ook moeten gebruikers regelmatig hun wachtwoorden wijzigen. "Zeker als er verdachte of vreemde signalen zijn. En bescherm je pc, want daar komen de criminelen voor het eerst binnen", merkt de onderzoeker op.

Reacties (21)
28-06-2015, 18:41 door Anoniem
Wat is hier nieuw aan ?
Volgens mij kan dit al heel erg lang.
28-06-2015, 19:29 door Anoniem
Hoe kan je nakijken of, "installeren van externe bronnen" staat in of uitgeschakeld?
28-06-2015, 19:40 door Anoniem
Iets met soep, eten en opdienen. ALS je zo dom bent om buiten de app store om een app te accepteren en installeren ben je de pineut. Dat is binnen Android altijd het geval. Inherent aan het security model.
28-06-2015, 21:25 door [Account Verwijderd]
[Verwijderd]
28-06-2015, 21:30 door [Account Verwijderd]
[Verwijderd]
28-06-2015, 22:11 door Anoniem
@ iedereen hierboven, het probleem is niet externe bronnen, maar je google wachtwoord. Als ze dat hebben kunnen ze een app uit de playstore op je phone zetten.
29-06-2015, 00:38 door johanw
Kortom, je bent hier veilig voor als je geen Google account op de telefoon aanmaakt en alle programma's sideload. Installers kun je o.a. van Google Play downloaden met een tool als Raccoon.
29-06-2015, 10:10 door Anoniem
Onderzoekers van de VU hebben ontdekt dat als iemand je wachtwoord weet hij nare dingen kan uithalen?
Nou dat lijkt me wereldnieuws! De hele Android beveiling siddert.

Ik denk dat ze beter eens kunnen gaan onderzoeken of een wachtwoord wel een fatsoenlijke manier van
authenticatie is, daar hebben we meer aan....
29-06-2015, 10:21 door Anoniem
Voorbeeld van een exploit ontdekken door al te weten wat het wachtwoord is en een open deur intrappen als eind conclusie geven -_-..

Security onderzoeks -_-...
29-06-2015, 10:30 door Anoniem
Waarom wordt er in het artikel niet aangegeven dat deze aanval veel lastiger wordt door het instellen van 2 factor auth op je Google account? Dit is sowieso een goed idee ook al heb je geen Android apparaat...
29-06-2015, 10:55 door Anoniem
Het fijnste van alles is nog, dat een patch die Google hiervoor verzint en in Android versie x.y zit, bij veel mensen niet zal komen. Dankzij de geweldige manier waarop leveranciers van Android toestellen werken, worden die toestellen alleen geupdate, wanneer diezelfde leverancier een passende versie aanmaakt. Maar die verkoopt liever een nieuw toestel en steekt nauwelijks tot geen tijd in de software voor verkochte modellen, zelfs niet binnen de eerste 2 jaar na verkoop.
29-06-2015, 11:05 door Erik van Straten
28-06-2015, 21:30 Door Anak Krakatau:
Door Anoniem: Hoe kan je nakijken of, "installeren van externe bronnen" staat in of uitgeschakeld?
kijk eens bij "instellingen" en daarna bij "beveiliging". daar zou "onbekende bronnen" o.i.d. moeten staan.
Op mijn, Engelse-taal-ingestelde Samsum Note-2: Settings -> More -> Security. In die pagina:
Unkown sources         [  ]
Allow installation of apps from sources other than the Play Store.

29-06-2015, 00:38 door johanw: Kortom, je bent hier veilig voor als je geen Google account op de telefoon aanmaakt en alle programma's sideload. Installers kun je o.a. van Google Play downloaden met een tool als Raccoon.
Dank voor de tip! Bovenaan Google staat bij mij http://www.onyxbits.de/raccoon. Ik ga er eens naar kijken.
29-06-2015, 13:46 door Anoniem
Samenvatting: als je een account van iemand gehackt hebt dan kun je alle systemen misbruiken waarop dat account gebruikt wordt. Gras is groen, water is nat. Dus Microsoft Active Directory is ook lek omdat je software kan installeren als je het wachtwoord van de Administrator hebt gestolen? Toegangssysteem banken is ook lek omdat als je een toegangspasje gestolen hebt door alle deuren het pand in kan? Right :)
29-06-2015, 14:40 door Anoniem
mijn god. tja VU. dat is nog erger dan radboudt.
klinkt een beetje als " wanneer je op je PC je virusscanner uit zet, naar malware.ru gaat en dan de gratis variant van "winzip malware edition" installeert en dan naar de website gaat van ing.nl.infected.nu gaat en daar je pincode opgeeft, kan je creditcard leeggehaald worden als je op bungler.cn een apple lightning connecter bestelt.
29-06-2015, 16:13 door Anoniem
Wel de collega's van Computerworld maken van dit onderzoek van de UVA gehakt zogezegd.
Onzinnig geblaat over ' 'groot Android-lek' heet dat artikel.
http://computerworld.nl/beveiliging/86672-onzinnig-geblaat-over--groot-android-lek
29-06-2015, 17:35 door Anoniem
Door Anoniem: Wel de collega's van Computerworld maken van dit onderzoek van de UVA gehakt zogezegd.
Onzinnig geblaat over ' 'groot Android-lek' heet dat artikel.

Computerworld..... de pot verwijt de ketel dat hij zwart ziet.... als er 1 site op internet is die fud uitkraamt zijn het wel de idg boys.....
29-06-2015, 21:45 door Anoniem
Kan ik deze 'seamless' mode nog ergens uitschakelen? Ik gebruik het niet, dus wil het risico gewoon (volledig) uitzetten.
30-06-2015, 09:26 door Anoniem
Door Anoniem: Kan ik deze 'seamless' mode nog ergens uitschakelen? Ik gebruik het niet, dus wil het risico gewoon (volledig) uitzetten.
En dat is dus precies het probleem: je kan dit niet uitzetten. Als je op je desktop bent ingelogd in GMail, YouTube, Google Search, etc dan kan malware op je PC je Google authenticatie token stelen en een app installeren op je Android telefoon. Google kan dit makkelijk beter beveiligen, bijvoorbeeld door bij het installeren eerst om je wachtwoord te vragen. Maar kennelijk vindt Google het gemak van deze feature belangrijker dan het risico dat hiermee malware wordt geïnstalleerd.
30-06-2015, 14:48 door Anoniem
Bij mij wordt er al eerst om mijn wachtwoord gevraagd. Ik heb wel 2f auth aanstaan, maar het lijkt me dat dit hier geen invloed op heeft.
01-07-2015, 14:30 door Anoniem
Je kunt het inderdaad niet uitzetten en het is wel echt een probleem.

Het is erger dan een gehackte browser op je PC. De reden waarom zoveel diensten gebruik maken van 2-factor-authentication (2FA) is nu net dat de browser niet vertrouwd wordt. Malware zoals Zeus, SpyEye, Dyre, Dridex, Carberp, etc. drijven op Man-in-the-Browser functionaliteit. Zij kunnen dus inderdaad heel makkelijk je username en password stelen. Maar het was (tot nu toe) lastig voor ze om bijv. geld over te maken bij banken die gebruik maken van 2FA via de telefoon (of DigiD te misbruiken bij mensen die gebruik maken van de 'veilige' variant met sms verificatie, of...). Dat werkte omdat je telefoon en je PC browser gescheiden werelden waren. Nu dus niet meer: je MitB heeft ook gelijk toegang tot de verificatiecodes die naar je telefoon gestuurd worden.

Wel een probleem dus.
07-07-2015, 19:17 door Jan Veen
Snap niet dat iemand zomaar apps kan installeren, je Android is toch beveiligd voor onbekende bronnen?
Daarnaast als je gebruik maakt van een goeie antivirus/firewall zoals die van http://www.webroot.com/nl/nl/, dan komt geen enkele Chinese of Russische hacker meer op je mobiel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.