Aanval op zeer ernstig Android-lek bijna openbaar
Op een Chinees forum is informatie verschenen over hoe een zeer ernstig lek in Android kan worden gebruikt om miljoenen Android-telefoons via alleen een enkel mms-bericht aan te vallen, hoewel de kwetsbaarheid ook via apps en websites is uit te buiten. Dat meldt beveiligingsbedrijf Zimperium.
Zimperium ontdekte de kwetsbaarheid, die de naam Stagefright kreeg. Later bleek dat ook anti-virusbedrijf Trend Micro hetzelfde beveiligingslek onafhankelijk had ontdekt. Volgens Zimperium treft het probleem 950 miljoen Android-toestellen. Naar schatting zou in 50% van de kwetsbare toestellen de aanval zonder enige interactie van gebruikers zijn uit te voeren. In de andere gevallen is het openen van een mms-bericht voldoende.
Rechten
Via de aanval kan een aanvaller willekeurige code met media- of systeemrechten op het toestel uitvoeren. Zo kan een aanvaller volledige controle over de camera en microfoon krijgen, bijvoorbeeld om gebruikers af te luisteren. Op sommige toestellen draait de kwetsbare software die via het mms-bericht wordt aangevallen met systeemrechten. In dit geval heeft een aanvaller verhoogde rechten en kan bijna alles op het toestel doen dat de gebruiker kan. Zimperium stelt dat dit echter op "sommige" toestellen is. Een aanvaller die willekeurige code op een toestel kan uitvoeren, ook al is het met media-rechten, kan vervolgens echter proberen om zijn rechten te verhogen.
Oorspronkelijk zou het beveiligingsbedrijf tijdens de Black Hat conferentie in Las Vegas deze week een exploit publiceren. Verschillende organisaties vroegen Zimperium om hiermee te wachten. Iets waar het bedrijf mee akkoord is gegaan. De beveiligingsupdates voor Android zijn echter open source. Daardoor werken inmiddels veel onderzoekers aan een exploit om de kwetsbaarheid aan te kunnen vallen, zo meldt het bedrijf. "We denken daarom dat het slechts een kwestie van tijd is voordat we aanvallen in het wild zien, ervan uitgaande dat ze al niet plaatsvinden", zo liet beveiligingsonderzoeker Zuk Avraham van Zimperium afgelopen zaterdag weten. Vanochtend waarschuwde het bedrijf via Twitter dat een exploit nu bijna openbaar is
Updates
Het probleem is dat veel Android-gebruikers voor updates van hun telecomaanbieder of de fabrikant van het toestel afhankelijk zijn, in plaats van Google. Daardoor kan het vrij lang duren voordat updates uiteindelijk worden aangeboden, als het toestel nog wordt ondersteund. Verschillende oudere Android-modellen die ook kwetsbaar zijn en niet meer worden ondersteund missen een belangrijke beveiligingsmaatregel. Daardoor is de impact op deze toestellen veel groter.
Het zou in totaal om 60 miljoen toestellen gaan. Volgens Avraham kan een aanvaller hierdoor een netwerkworm creëren om mms-berichten te versturen. Bij elkaar zouden de toestellen, na te zijn geïnfecteerd, 6 miljard mms-berichten per dag kunnen versturen. Iets dat ook gevolgen voor het netwerk van telecomaanbieders kan hebben.
Maatregelen
Gebruikers die zich willen beschermen krijgen van Zimperium het advies om het toestel up-to-date te houden. In het geval het toestel niet meer wordt ondersteund kunnen gebruikers op een besturingssysteem zoals CyanogenMod overstappen, dat oudere toestellen langer ondersteunt. Een andere maatregel die genomen kan worden is het uitschakelen van het automatisch ophalen van mms-berichten.
1) Ga naar pictogram tekstberichten en raak dit aan.
2) Ga naar instellingen (in mijn geval het pictogram rechtsonder op de telefoon)
Daar staat SMS ingeschakeld (tekstbericht) SMS en Multimediabericht (MMS)
Schakel nu het automatisch ophalen (van MMS berichten) uit door het vinkje weg te halen (bij mij stond hij gewoon aangevinkt!)
Hierdoor is een aanval via Stagefright met een MMS-bericht niet meer mogelijk.
Hier kan ik bijzonder weinig over vinden?
Genoeg informatie om de exploit te testen!
En het werkt ook nog!
Genoeg informatie om de exploit te testen!
En het werkt ook nog!
Link?
1) Ga naar pictogram tekstberichten en raak dit aan.
2) Ga naar instellingen (in mijn geval het pictogram rechtsonder op de telefoon)
Daar staat SMS ingeschakeld (tekstbericht) SMS en Multimediabericht (MMS)
Schakel nu het automatisch ophalen (van MMS berichten) uit door het vinkje weg te halen (bij mij stond hij gewoon aangevinkt!)
Hierdoor is een aanval via Stagefright met een MMS-bericht niet meer mogelijk.
Bron: in https://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/ waarschuwen de vinders van deze bug dat zowel het genereren van een preview (thumbnail) van een MMS als het afspelen ervan tot RCE (Remote Code Execution) kunnen leiden.
In http://phandroid.com/2015/07/31/stagefright-protection-feature/ wordt ervoor gemeld dat Textra and ChompSMS slechts zouden waarschuwen bij MMS downloads, maar dat je niet beschermd bent als je besluit zo'n MMS te bekijken.
Het enige dat vermoedelijk echt helpt tegen deze bug is het patchen van de kwetsbare (StageFright) code. Een andere fix zou kunnen zijn alternatieve code voor het previewen/afspelen van MMS berichten en video's te installeren, maar zo'n app ken ik niet.
Nb. volgens bovengenoemde Zimperium pagina zouden oudere versies dan 38.0 van Firefox voor Android ook kwetsbaar zijn (bij het afspelen van multimedia bestanden).
Dit is wat avast! voorstelt:
Mobile Security: Protect your mobile device from Stagefright – new Android vulnerability
What is Stagefright and how to protect my device?
https://www.avast.com/faq.php?article=AVKB230#artTitle
Android dat was toch gebaseerd op de Linux-kernel?
Antwoord: Ja.
Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
lol..
moeten de fabrikanten wel mee werken aan een nieuwe firmware.
Android dat was toch gebaseerd op de Linux-kernel?
Verwerkt de standaard Linux kernel MMS berichten ?
Gesteld dat ze de kinderziektes eruit krijgen en dat mensen massaal hun telefoon ervoor instellen, kan het zeker zinvol zijn bij bv. branden, gifwolken, e.d.
Maar zover is het nog niet: http://tweakers.net/nieuws/89491/nl-alert-faalt-bij-grootschalig-gebruik-bij-brand-in-noord-brabant.html
Zo zo, een bericht uit 2013....
http://www.consumentenbond.nl/campagnes/updaten/stagefright/
Stagefright maakt het feit dat een niet up-to-date android toestel gevaar loopt wel heel concreet.
Als werkelijk meer consumenten bewust raken van de update-problematiek zou dat best eens kunnen gaan helpen. Dan kiezen ze voor andere toestellen. Bijvoorbeeld voor toestellen waar de fabrikant echt en snel zorgt voor updates. En voor toestellen die provider-onafhankelijk zijn. Want is de software die Vodafone of T-mobile nog toevoegt nou echt zo waardevol? ( https://www.security.nl/posting/435542/Consumentenbond%3A+Vodafone+en+T-Mobile+traag+met+Android-updates )
(Inmiddels staat de actie teller op + 20.000 zie ik ... )
Android dat was toch gebaseerd op de Linux-kernel?
Antwoord: Ja.
Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
Android dat was toch gebaseerd op de Linux-kernel?
Antwoord: Ja.
Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
Android dat was toch gebaseerd op de Linux-kernel?
Antwoord: Ja.
Ik vind het daarnaast überhaupt gek dat flamebait posts worden doorgelaten, maar dat terzijde.
Zolang op zo'n beetje ieder Windows bericht de Linuxzeloten inhaken met de boodschap dat Linux het antwoord is op ieder probleem kan ik dat soort speldenprikjes wel waarderen. Bovendien is het pleiten voor het tegenhouden ervan zelfs een beetje hypocriet. Hou de Windowsdraadjes dan ook zuiver a.u.b.
Ik gebruik CyanogenMod 11 op een S4. Bij mij werkt NL-Alert.
Stel iemand stuurt je een MMS bericht, hoe kun je dat dan verwijderen zonder het per ongeluk te openen? want je moet een bericht toch selecteren om het te kunnen verwijderen?
Aanstaande maandag is er weer een landelijke test, ben nog even mn instellingen doorgegaan en weer afwachten maar of het dit keer iets doet.
Ik heb weinig hoop... erg jammer aangezien dit systeem wel de sirenes moet gaan vervangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
