Nieuws
image

Miljoenen Android-toestellen kwetsbaar door nieuw lek

maandag 27 juli 2015, 16:18 door Redactie, 17 reacties

Onderzoekers hebben een ernstig beveiligingslek in Android ontdekt waardoor het mogelijk is om toegang tot toestellen te krijgen door alleen een mms-bericht te versturen. Vervolgens kan een aanvaller informatie stelen, e-mails lezen, de microfoon inschakelen en andere taken uitvoeren. De kwetsbaarheid bevindt zich in Stagefright, een mediabibliotheek die verschillende populaire mediaformaten verwerkt.

Beveiligingsbedrijf Zimperium ontdekte de kwetsbaarheid in het Android-onderdeel, dat het zelf het ergste Android-lek tot nu toe noemt. Een aanvaller hoeft namelijk alleen een mms-bericht te versturen om code op het toestel uit te voeren. Het is daarbij zelfs mogelijk om het bericht te verwijderen voordat de gebruiker dit te zien krijgt. Alleen de ontvangstmelding is het enige dat zichtbaar is. De onderzoekers waarschuwen dat de kwetsbaarheid zeer ernstig is, aangezien er geen enkele interactie van het slachtoffer is vereist.

Volgens schattingen zouden 950 miljoen Android-toestellen risico lopen. Het probleem speelt vooral bij Android-versies voor Jelly Bean, wat zo'n 11% van alle Android-toestellen is. Zimperium waarschuwde Google, dat inmiddels patches voor Android heeft uitgerold. In veel gevallen zijn telecomaanbieders en fabrikanten echter verantwoordelijk voor het verspreiden van updates onder hun gebruikers en het beveiligingsbedrijf vreest dan ook dat het erg lang kan duren voordat iedereen beschermd is.

Twee fabrikanten zijn echter een positieve uitzondering. De Blackphone van SilentCircle is inmiddels gepatcht en ook Mozilla Firefox is tegen het probleem beschermd. Tijdens de aankomende Black Hat conferentie in Las Vegas zullen meer details over de kwetsbaarheid bekend worden gemaakt.

Reacties (17)
27-07-2015, 16:24 door Anoniem
Ik zou graag testen of mijn tel vulnerable is. Iemand een idee?
27-07-2015, 16:46 door Anoniem
Weet iermand of dit al wel is gefixt in nightly builds van Cyanogen Mod?
27-07-2015, 17:09 door Anoniem
Door Anoniem: Ik zou graag testen of mijn tel vulnerable is. Iemand een idee?

"Tijdens de aankomende Black Hat conferentie in Las Vegas zullen meer details over de kwetsbaarheid bekend worden gemaakt. "
27-07-2015, 17:10 door SecOff
Door Anoniem: Ik zou graag testen of mijn tel vulnerable is. Iemand een idee?
Als je android phone een MSS met video automatisch afspeelt kun je ervanuit gaan dat je kwetsbaar bent.
De bug zit nl in een core android component (stagefright)
27-07-2015, 17:21 door Anoniem
Om mijn eerder gesteld vraag te beantwoorden een quote van tweakers.net

jacobras
27 juli 2015 16:10
Afgaande op de code die Joshua Drake in CyanogenMod's repository heeft gecommit1 lijkt de bug te zitten in het inlezen van metadata uit een 3GPP-video (de boundaries van een buffer kunnen worden overschreden).

Het lek kan dus ook misbruikt worden als een 3GPP-video online wordt bekeken (of in een andere messaging-app).

https://github.com/CyanogenMod/android_frameworks_av/commit/57db9b42418b434751f609ac7e5539367e9f01a6
27-07-2015, 17:30 door Anoniem
De mobile security kan worden ingesteld om anonieme of zelfs niet anonieme maar onbekende smsjes en mms-jes te blokkeren,is dit een goede manier om deze besmetting te voorkomen? En indien wel besmet is terugzetten naar fabrieksinstelingen toereikend om de malware weer te verwijderen? Sd kaart moet zeker ook worden gewiped of hoe dat ook heet? Deze besmettings-methode is volgens mij niet nieuw,volgens mij werdt die al eerder toegepast om simpeler mobieltjes te hacken,die immers ook geen antivirus en firewall aan boord hadden.
27-07-2015, 18:16 door Anoniem
"Het probleem speelt vooral bij Android-versies voor Jelly Bean" waar halen jullie die info vandaan?

Hier lees ik iets anders.
"Only Android phones below version 2.2 are not affected"

http://www.forbes.com/sites/thomasbrewster/2015/07/27/android-text-attacks/
27-07-2015, 20:38 door Anoniem
@ anoniem, lees blog van Zimperium: Devices running Android versions prior to Jelly Bean (roughly 11% of devices)
are at the worst risk due to inadequate exploit mitigations
27-07-2015, 21:17 door Anoniem
Dan is dat alles boven 2.2 dus.
28-07-2015, 06:25 door Anoniem
misschien helpt auto-retrieve van mms uitzetten (messager setting)?
28-07-2015, 08:55 door Anoniem
Door Anoniem: De mobile security kan worden ingesteld om anonieme of zelfs niet anonieme maar onbekende smsjes en mms-jes te blokkeren,is dit een goede manier om deze besmetting te voorkomen?

Als een bekende besmet is, kan die nog steeds malware naar jou sturen. Als jij jezelf beschermt zou ik aanraden dat ook aan je vrienden te adviseren.

Peter
28-07-2015, 08:57 door Anoniem
Door Anoniem: Dan is dat alles boven 2.2 dus.

En geen enkele (andere) leverancier zal zich hier iets van aantrekken.

Ik wil iedereen aanraden om hun leverancier te bellen en een update te eisen. Dat betekent dus je telecom provider en, als je nog in de garantieperiode zit, de winkel waar je hem hebt gekocht. Ook als hij ouder is dan 6 maanden zal het niet moeilijk zijn om aan te tonen dat de fout vanaf het begin in het apparaat zat. De leverancier zal niet aannemelijk kunnen maken dat de fout is ontstaan door jouw handelingen.

Peter
28-07-2015, 09:44 door Anoniem - Bijgewerkt: 28-07-2015, 13:23
"Since media processing is often time-sensitive, the library is implemented in native code (C++) that is more prone to memory corruption than memory-safe languages like Java.
--See more at: http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android"

Het schrijven van native code zou veel meer vermeden (zo niet verboden) moeten worden en indien het toch moet gebeuren dan moet het samengaan met zeer uitgebreide en formele code reviews, -inspecties en tests!
28-07-2015, 09:53 door Anoniem
Door Anoniem: misschien helpt auto-retrieve van mms uitzetten (messager setting)?

Hier wordt gesteld dat dit inderdaad enige bescherming biedt: https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html. Maar op andere sites is men daar niet zo zeker van. Ik heb auto-retrieve desondanks toch maar uitgezet.
28-07-2015, 12:54 door Anoniem
Wordt het niet eens tijd dat de Amerikaanse federale regering en de EU Microsoft,Google,Blackberry en de smartphone en computerfabrikanten eens gaan dwingen om sneller patches en updates te ontwikkelen en te distribueren met name voor enrnstige lekken waarbij de aanvaller de controle over het device in zn geheel kan overnemen?Bijv. een (tijdelijk) verkoopverbod voor de apparaten waarop lekke OS is geinstallleerd,of hoge boetes/dwangsommen op te leggen om bedrijven te dwingen om sneller met patches/updates/upgrades te komen.
28-07-2015, 15:40 door Anoniem
Auto retrieve uitzetten, btw wie gebruikt MMS en bv heeft ook ooit MMS gebruikt?
28-07-2015, 21:25 door Anoniem
Je kan naar berichten gaan op je telefoon en dan kies je instellingen en onder MMS zet je automatisch ophalen uit en dan wel uitkijken wat je binnenhaalt en van wie!
Ga dan naar hangouts en kies instellingen en dan jou account en dan uitnodigingen aanpassen, dan zet je vrienden en familie op uitnodigen en al het andere op kunnen geen contact met je opnemen.
Dit is een noodoplossing maar voorlopig kun je wel je even mee behelpen maar uitkijken blijft geboden!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure