image

Aanval op zeer ernstig Android-lek bijna openbaar

maandag 3 augustus 2015, 12:49 door Redactie, 29 reacties

Op een Chinees forum is informatie verschenen over hoe een zeer ernstig lek in Android kan worden gebruikt om miljoenen Android-telefoons via alleen een enkel mms-bericht aan te vallen, hoewel de kwetsbaarheid ook via apps en websites is uit te buiten. Dat meldt beveiligingsbedrijf Zimperium.

Zimperium ontdekte de kwetsbaarheid, die de naam Stagefright kreeg. Later bleek dat ook anti-virusbedrijf Trend Micro hetzelfde beveiligingslek onafhankelijk had ontdekt. Volgens Zimperium treft het probleem 950 miljoen Android-toestellen. Naar schatting zou in 50% van de kwetsbare toestellen de aanval zonder enige interactie van gebruikers zijn uit te voeren. In de andere gevallen is het openen van een mms-bericht voldoende.

Rechten

Via de aanval kan een aanvaller willekeurige code met media- of systeemrechten op het toestel uitvoeren. Zo kan een aanvaller volledige controle over de camera en microfoon krijgen, bijvoorbeeld om gebruikers af te luisteren. Op sommige toestellen draait de kwetsbare software die via het mms-bericht wordt aangevallen met systeemrechten. In dit geval heeft een aanvaller verhoogde rechten en kan bijna alles op het toestel doen dat de gebruiker kan. Zimperium stelt dat dit echter op "sommige" toestellen is. Een aanvaller die willekeurige code op een toestel kan uitvoeren, ook al is het met media-rechten, kan vervolgens echter proberen om zijn rechten te verhogen.

Oorspronkelijk zou het beveiligingsbedrijf tijdens de Black Hat conferentie in Las Vegas deze week een exploit publiceren. Verschillende organisaties vroegen Zimperium om hiermee te wachten. Iets waar het bedrijf mee akkoord is gegaan. De beveiligingsupdates voor Android zijn echter open source. Daardoor werken inmiddels veel onderzoekers aan een exploit om de kwetsbaarheid aan te kunnen vallen, zo meldt het bedrijf. "We denken daarom dat het slechts een kwestie van tijd is voordat we aanvallen in het wild zien, ervan uitgaande dat ze al niet plaatsvinden", zo liet beveiligingsonderzoeker Zuk Avraham van Zimperium afgelopen zaterdag weten. Vanochtend waarschuwde het bedrijf via Twitter dat een exploit nu bijna openbaar is

Updates

Het probleem is dat veel Android-gebruikers voor updates van hun telecomaanbieder of de fabrikant van het toestel afhankelijk zijn, in plaats van Google. Daardoor kan het vrij lang duren voordat updates uiteindelijk worden aangeboden, als het toestel nog wordt ondersteund. Verschillende oudere Android-modellen die ook kwetsbaar zijn en niet meer worden ondersteund missen een belangrijke beveiligingsmaatregel. Daardoor is de impact op deze toestellen veel groter.

Het zou in totaal om 60 miljoen toestellen gaan. Volgens Avraham kan een aanvaller hierdoor een netwerkworm creëren om mms-berichten te versturen. Bij elkaar zouden de toestellen, na te zijn geïnfecteerd, 6 miljard mms-berichten per dag kunnen versturen. Iets dat ook gevolgen voor het netwerk van telecomaanbieders kan hebben.

Maatregelen

Gebruikers die zich willen beschermen krijgen van Zimperium het advies om het toestel up-to-date te houden. In het geval het toestel niet meer wordt ondersteund kunnen gebruikers op een besturingssysteem zoals CyanogenMod overstappen, dat oudere toestellen langer ondersteunt. Een andere maatregel die genomen kan worden is het uitschakelen van het automatisch ophalen van mms-berichten.

Reacties (29)
03-08-2015, 12:53 door johanw
Dat enkel sturen van een mms bericht is alleen van belang als je een sms/mms client hebt die automatisch video afspeelt. Dat doen ze lang niet allemaal, SMSSecure bijvoorbeeld doet dat niet.
03-08-2015, 13:43 door Anoniem
Heb zelf een Androïd en je kunt bij de Alcatel OneTouch het beste het volgende doen:

1) Ga naar pictogram tekstberichten en raak dit aan.
2) Ga naar instellingen (in mijn geval het pictogram rechtsonder op de telefoon)

Daar staat SMS ingeschakeld (tekstbericht) SMS en Multimediabericht (MMS)
Schakel nu het automatisch ophalen (van MMS berichten) uit door het vinkje weg te halen (bij mij stond hij gewoon aangevinkt!)

Hierdoor is een aanval via Stagefright met een MMS-bericht niet meer mogelijk.
03-08-2015, 13:47 door Anoniem
Welke maatregelen kunnen gebruikers nemen dan, tot de tijd dat er een patch is uitgekomen?

Hier kan ik bijzonder weinig over vinden?
03-08-2015, 14:02 door Anoniem
NAtuurlijk de website even vertaald in het engels. .en hoppa
Genoeg informatie om de exploit te testen!

En het werkt ook nog!
03-08-2015, 15:41 door Anoniem
Door Anoniem: NAtuurlijk de website even vertaald in het engels. .en hoppa
Genoeg informatie om de exploit te testen!

En het werkt ook nog!

Link?
03-08-2015, 16:05 door [Account Verwijderd] - Bijgewerkt: 03-08-2015, 16:16
[Verwijderd]
03-08-2015, 16:34 door [Account Verwijderd]
[Verwijderd]
03-08-2015, 16:37 door Erik van Straten
Door Anoniem: Heb zelf een Androïd en je kunt bij de Alcatel OneTouch het beste het volgende doen:

1) Ga naar pictogram tekstberichten en raak dit aan.
2) Ga naar instellingen (in mijn geval het pictogram rechtsonder op de telefoon)

Daar staat SMS ingeschakeld (tekstbericht) SMS en Multimediabericht (MMS)
Schakel nu het automatisch ophalen (van MMS berichten) uit door het vinkje weg te halen (bij mij stond hij gewoon aangevinkt!)

Hierdoor is een aanval via Stagefright met een MMS-bericht niet meer mogelijk.
Dat is, helaas, onvolledige informatie. Je kunt het MMS bericht dan nog steeds (handmatig) downloaden, de instructie dat je dat dus beslist niet moet doen (in elk geval bij onbekende en/of niet vertrouwde afzenders) hoort hierbij. Deze waarschuwing zou ook gelden voor gebruikers van alternatieve SMS/MMS apps!

Bron: in https://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/ waarschuwen de vinders van deze bug dat zowel het genereren van een preview (thumbnail) van een MMS als het afspelen ervan tot RCE (Remote Code Execution) kunnen leiden.

In http://phandroid.com/2015/07/31/stagefright-protection-feature/ wordt ervoor gemeld dat Textra and ChompSMS slechts zouden waarschuwen bij MMS downloads, maar dat je niet beschermd bent als je besluit zo'n MMS te bekijken.

Het enige dat vermoedelijk echt helpt tegen deze bug is het patchen van de kwetsbare (StageFright) code. Een andere fix zou kunnen zijn alternatieve code voor het previewen/afspelen van MMS berichten en video's te installeren, maar zo'n app ken ik niet.

Nb. volgens bovengenoemde Zimperium pagina zouden oudere versies dan 38.0 van Firefox voor Android ook kwetsbaar zijn (bij het afspelen van multimedia bestanden).
03-08-2015, 16:54 door cyberpunk
Door Anoniem: Welke maatregelen kunnen gebruikers nemen dan, tot de tijd dat er een patch is uitgekomen

Dit is wat avast! voorstelt:

Mobile Security: Protect your mobile device from Stagefright – new Android vulnerability
What is Stagefright and how to protect my device?

https://www.avast.com/faq.php?article=AVKB230#artTitle
03-08-2015, 17:57 door Anoniem
Hoe kan ik Google hangouts in mn android telefoon uitschakelen,aangezien ik Google Hangouts de auto mms ontvangst niet kan uitschakelen,vinkje weghalen wil niet lukken.Dus dan maar Google hangouts maar weer de-activeren/uitschakelen.Maar hoe doe ik dat?
03-08-2015, 18:15 door Anoniem
Door Muria: Groot nadeel van CyanogenMod is trouwens - volgens mij nog steeds (?) - dat nl-alert niet werkt.
Dat is juist een voordeel. Denk je dat nl-alert ook maar één keer zinvol gebruikt gaat worden gedurende de levensduur van je huidige telefoon (of zelfs überhaupt)?
03-08-2015, 18:25 door Anoniem
De gevolgen van Stagefright,nl.de malware en de verhoogde rechten van de aanvaller,is dit alles ongedaan te maken door android device terug te zetten naar fabrieksinstellingen,of helpt dat niet? Heeft dat dan geen zin meer? En als je een niet ge-root android toestel hebt,ben je dan wel of niet kwetsbaar voor het Stagefright lek?
03-08-2015, 18:27 door Anoniem
Op het blog van Trend Micro vind je een uitgebreide verhandeling: http://blog.trendmicro.com/trendlabs-security-intelligence/
03-08-2015, 21:17 door yobi - Bijgewerkt: 04-08-2015, 10:39
Android dat was toch gebaseerd op de Linux-kernel? Jammer dan dat een dergelijk proces root-rechten heeft.
03-08-2015, 21:42 door Anoniem
Door yobi: Even wat reacties losweken:
Android dat was toch gebaseerd op de Linux-kernel?

Antwoord: Ja.

Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
03-08-2015, 22:52 door spatieman
toestel up 2 date houden.
lol..
moeten de fabrikanten wel mee werken aan een nieuwe firmware.
03-08-2015, 22:56 door Anoniem
Even wat reacties losweken:
Android dat was toch gebaseerd op de Linux-kernel?

Verwerkt de standaard Linux kernel MMS berichten ?
03-08-2015, 23:22 door [Account Verwijderd] - Bijgewerkt: 03-08-2015, 23:26
[Verwijderd]
03-08-2015, 23:24 door [Account Verwijderd]
[Verwijderd]
04-08-2015, 09:36 door Anoniem
Door Muria:
Door Anoniem:
Door Muria: Groot nadeel van CyanogenMod is trouwens - volgens mij nog steeds (?) - dat nl-alert niet werkt.
Dat is juist een voordeel. Denk je dat nl-alert ook maar één keer zinvol gebruikt gaat worden gedurende de levensduur van je huidige telefoon (of zelfs überhaupt)?

Gesteld dat ze de kinderziektes eruit krijgen en dat mensen massaal hun telefoon ervoor instellen, kan het zeker zinvol zijn bij bv. branden, gifwolken, e.d.

Maar zover is het nog niet: http://tweakers.net/nieuws/89491/nl-alert-faalt-bij-grootschalig-gebruik-bij-brand-in-noord-brabant.html

Zo zo, een bericht uit 2013....
04-08-2015, 09:40 door [Account Verwijderd] - Bijgewerkt: 08-08-2015, 15:02
[Verwijderd]
04-08-2015, 10:19 door User2048
Door Erik van Straten: [...] Je kunt het MMS bericht dan nog steeds (handmatig) downloaden, de instructie dat je dat dus beslist niet moet doen (in elk geval bij onbekende en/of niet vertrouwde afzenders) hoort hierbij. Deze waarschuwing zou ook gelden voor gebruikers van alternatieve SMS/MMS apps! [...]
Het artikel vermeldt dat besmette toestellen elkaar besmette MMS berichten kunnen sturen. Het bericht kan dus van een bekende en/of vertrouwde afzender komen. Zolang er geen patch is kun je MMS dus maar beter helemaal mijden.
04-08-2015, 10:26 door Anoniem
De Consumentenbond heeft inmiddels ook een aardige pagina over Stagefright:
http://www.consumentenbond.nl/campagnes/updaten/stagefright/

Stagefright maakt het feit dat een niet up-to-date android toestel gevaar loopt wel heel concreet.

Als werkelijk meer consumenten bewust raken van de update-problematiek zou dat best eens kunnen gaan helpen. Dan kiezen ze voor andere toestellen. Bijvoorbeeld voor toestellen waar de fabrikant echt en snel zorgt voor updates. En voor toestellen die provider-onafhankelijk zijn. Want is de software die Vodafone of T-mobile nog toevoegt nou echt zo waardevol? ( https://www.security.nl/posting/435542/Consumentenbond%3A+Vodafone+en+T-Mobile+traag+met+Android-updates )

(Inmiddels staat de actie teller op + 20.000 zie ik ... )
04-08-2015, 10:44 door Anoniem
Door Anoniem:
Door yobi: Even wat reacties losweken:
Android dat was toch gebaseerd op de Linux-kernel?

Antwoord: Ja.

Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
Door Anoniem:
Door yobi: Even wat reacties losweken:
Android dat was toch gebaseerd op de Linux-kernel?

Antwoord: Ja.

Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
Door Anoniem:
Door yobi: Even wat reacties losweken:
Android dat was toch gebaseerd op de Linux-kernel?

Antwoord: Ja.

Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.

Zolang op zo'n beetje ieder Windows bericht de Linuxzeloten inhaken met de boodschap dat Linux het antwoord is op ieder probleem kan ik dat soort speldenprikjes wel waarderen. Bovendien is het pleiten voor het tegenhouden ervan zelfs een beetje hypocriet. Hou de Windowsdraadjes dan ook zuiver a.u.b.
04-08-2015, 13:33 door Anoniem
Door Muria: Groot nadeel van CyanogenMod is trouwens - volgens mij nog steeds (?) - dat nl-alert niet werkt.

Ik gebruik CyanogenMod 11 op een S4. Bij mij werkt NL-Alert.
04-08-2015, 15:50 door Anoniem
Door User2048:
Door Erik van Straten: [...] Je kunt het MMS bericht dan nog steeds (handmatig) downloaden, de instructie dat je dat dus beslist niet moet doen (in elk geval bij onbekende en/of niet vertrouwde afzenders) hoort hierbij. Deze waarschuwing zou ook gelden voor gebruikers van alternatieve SMS/MMS apps! [...]
Het artikel vermeldt dat besmette toestellen elkaar besmette MMS berichten kunnen sturen. Het bericht kan dus van een bekende en/of vertrouwde afzender komen. Zolang er geen patch is kun je MMS dus maar beter helemaal mijden.

Stel iemand stuurt je een MMS bericht, hoe kun je dat dan verwijderen zonder het per ongeluk te openen? want je moet een bericht toch selecteren om het te kunnen verwijderen?
04-08-2015, 16:11 door [Account Verwijderd] - Bijgewerkt: 05-08-2015, 14:36
[Verwijderd]
10-08-2015, 15:10 door Anoniem
Loop je met een tablet ook gevaar?
05-12-2015, 11:23 door Anoniem
Ik draai al een flinke tijd op CM12.1 en bij mijn galaxy S3 heb ik nog nooit een nl-alert kunnen ontvangen. Alle instellingen heb ik al sinds CM11 goed staan, maar toch faalt het altijd.

Aanstaande maandag is er weer een landelijke test, ben nog even mn instellingen doorgegaan en weer afwachten maar of het dit keer iets doet.
Ik heb weinig hoop... erg jammer aangezien dit systeem wel de sirenes moet gaan vervangen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.