5 jaar oud Androidlek onthult sms- en belgeschiedenis
Een beveiligingslek in Android dat al 5 jaar bestaat maakt het mogelijk voor aanvallers om de sms- en belgeschiedenis te achterhalen. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye vandaag. Het lek bevindt zich in software van Qualcomm en zou op mogelijk honderden modellen aanwezig zijn.
De kwetsbaarheid werd in 2011 door Qualcomm geïntroduceerd en raakt Android Jellybean (4.3), Kitkat (4.4) en Lollipop (5.0). Om het beveiligingslek uit te buiten zijn er twee mogelijke manieren. Een aanvaller heeft fysiek toegang tot een ontgrendelde Androidtelefoon of de gebruiker installeert een kwaadaardige app. Daarbij zou de app waarschijnlijk niet door Google Play als kwaadaardig worden bestempeld, aldus FireEye.
De app kan vervolgens de databases op de telefoon met sms- en belgeschiedenis uitlezen. Qualcomm heeft het probleem inmiddels gepatcht en begin maart alle fabrikanten gewaarschuwd die van de kwetsbare code gebruikmaken. Wanneer deze partijen met een update uitkomen is onbekend. Volgens FireEye zullen veel toestellen waarschijnlijk nooit een beveiligingsupdate ontvangen.
Wow......
How would an attacker exploit this vulnerability?
There are two ways to exploit this vulnerability, though this does not account for a determined attacker who possesses additional vulnerabilities. The first is to have physical access to an unlocked device, and the second is to have a user install a malicious application on the device.
Wow......
Google moet zoiets natuurlijk voorkomen het is hun fout. Beetje onzinnig, ik weet het. Maar als het om MS gaat vallen ze over elkaar heen om zoiets te roepen.
Wow......
Inderdaad..... Als een aanvaller fysiek toegang heeft tot een telefoon, over wat voor beveiligings issue hebben we het dan?
Menu -> SMS berichten -> Verzonden / ontvangen
Menu -> Bellen -> Geschiedenis
Ik zou Hart van Nederland maar bellen: "Nieuw security lek ontdekt!!!! Iemand die je telefoon vast heeft kan je SMS berichten en bel geschiedenis inzien" -_-
Voor wat betreft het inzien van de data door zogenaamde ' malifide apps":
Mensen (lees: schapen) kijken toch niet naar welke rechten een APP vraagt als ze die instaleren. Heel veel apps hebben al toestemming tot je belgeschiedenis enz enz
How would an attacker exploit this vulnerability?
There are two ways to exploit this vulnerability, though this does not account for a determined attacker who possesses additional vulnerabilities. The first is to have physical access to an unlocked device, and the second is to have a user install a malicious application on the device.[/quote]
Misschien heb je het niet goed gelezen, maar de Redactie schrijft: "Om het beveiligingslek uit te buiten zijn er twee mogelijke manieren. Een aanvaller heeft fysiek toegang tot een ontgrendelde Androidtelefoon of de gebruiker installeert een kwaadaardige app."
Dat lijkt me toch een volledige vertaling. Ja dat er niet vermeld wordt dat een 'determined attacker who possesses additional vulnerabilities' niet wordt vermeld lijkt me duidelijk. Dat is zo'n dood doener. Elk lek kan door een determined attack met additional lekken worden gebriukt.
Wow......
Inderdaad..... Als een aanvaller fysiek toegang heeft tot een telefoon, over wat voor beveiligings issue hebben we het dan?
Menu -> SMS berichten -> Verzonden / ontvangen
Menu -> Bellen -> Geschiedenis
Ik zou Hart van Nederland maar bellen: "Nieuw security lek ontdekt!!!! Iemand die je telefoon vast heeft kan je SMS berichten en bel geschiedenis inzien" -_-
Voor wat betreft het inzien van de data door zogenaamde ' malifide apps":
Mensen (lees: schapen) kijken toch niet naar welke rechten een APP vraagt als ze die instaleren. Heel veel apps hebben al toestemming tot je belgeschiedenis enz enz
Het is een kleine aanname, maar de vertaling van 'unlocked' device is niet helemaal goed gegaan. In dit geval gaat het om een 'unlocked' bootloader van een device, zodat je met adb/fastboot 'ongelimiteerde' toegang hebt. Het gaat in dit geval dus niet om een ontgrendeld telefoon vanuit een gebruikersperspectief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
