image

Veel Androidtoestellen kwetsbaar door Linux-lek

dinsdag 16 augustus 2016, 11:19 door Redactie, 11 reacties

Een ernstige kwetsbaarheid in een internetprotocol waar Linux gebruik van maakt en waardoor het voor aanvallers mogelijk is om in het verkeer tussen websites en hun bezoekers malware te injecteren raakt ook bijna 80% van de Androidtoestellen, zo claimt beveiligingsbedrijf Lookout.

Het probleem bevindt zich in de implementatie van de RFC 5961-standaard, bedoeld om verschillende soorten aanvallen te voorkomen. De standaard blijkt internetgebruikers echter aan aanvallen bloot te stellen. Aanvallers, ongeacht waar ze zich bevinden, kunnen via de kwetsbaarheid namelijk detecteren wanneer twee partijen met elkaar op het internet communiceren. Vervolgens is het mogelijk om de verbinding te verbreken, verkeer te onderscheppen en in het geval het om een onversleutelde verbinding gaat kan er zelfs kwaadaardige code in het verkeer worden geïnjecteerd.

In tegenstelling tot veel andere aanvallen hoeft de aanvaller zoals gezegd zich niet tussen de bron en bestemming te bevinden. Wel moet hij het ip-adres van de server en het slachtoffer weten. Volgens Lookout speelt het probleem bij alle Androidversies die Linux-kernel 3.6 draaien. Het zou om zo'n 80% van de Androidtoestellen gaan. Om het probleem te verhelpen moet de Linux-kernel van Androidtoestellen wordt gepatcht.

Gezien de updateproblematiek rond Android kan het echter lang duren voordat een dergelijke update wordt uitgerold en bestaat de kans dat veel toestellen de update niet zullen ontvangen. Gebruikers kunnen zich echter beschermen door hun internetverkeer te versleutelen, bijvoorbeeld via een vpn. Een andere oplossing is voor eigenaren van een geroot Androidtoestel het gebruik van de sysctl-tool. Vooralsnog zijn er echter geen aanvallen in het wild waargenomen die van deze kwetsbaarheid gebruikmaken.

Reacties (11)
16-08-2016, 13:14 door buttonius - Bijgewerkt: 16-08-2016, 13:23
Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.
16-08-2016, 13:37 door Anoniem
Zoals altijd weer in dit soort situaties is de berichtgeving tendentieus. Het is HELEMAAL NIET gemakkelijk om dit
probleem te misbruiken op een willekeurige internet verbinding en er wat nuttigs mee te doen.
Het zou beter zijn als dit soort overdreven aandacht gericht werd op de echte problemen in plaats van op zo iets
theoretisch.

Ga maar eens een BCP38 campagne voeren bijvoorbeeld. daar hebben we tenminste allemaal wat aan!
16-08-2016, 14:03 door potshot
Door buttonius: Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.
grappig die goedpraterij altijd bij linux,alles altijd bagataliseren en alles is de fout van microsoft..
16-08-2016, 14:10 door Anoniem
Door potshot:
Door buttonius: Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.
grappig die goedpraterij altijd bij linux,alles altijd bagataliseren en alles is de fout van microsoft..

Ah, hier spreekt een Windows liefhebber. Deed het zeer?
16-08-2016, 14:52 door [Account Verwijderd] - Bijgewerkt: 16-08-2016, 19:55
[Verwijderd]
16-08-2016, 16:20 door ph-cofi
Hallo heren OS-flamers, stop daarmee aub, het voegt niets toe en verlaagt de waarde van deze site. Het jaagt lezers weg richting sites waar men wel serieus met elkaar omgaat.

Op deze pagina: http://www.theregister.co.uk/2016/08/10/linux_tor_users_open_corrupted_communications/ worden de onderzoekers geciteerd die ik nu ook weer citeer:
The root cause of the vulnerability is the introduction of the challenge ACK responses and the global rate limit imposed on certain TCP control packets. The feature is outlined in RFC 5961, which is implemented faithfully in Linux kernel version 3.6 from late 2012.
"Faitfully" suggereert dat de kwetsbaarheid een gevolg is van de RFC zelf, terwijl "outlined" suggereert dat de kernelbouwers de veroorzaker zijn, bijvoorbeeld omdat de RFC niet heel duidelijk was. Maakt geen deuk uit overigens, want feit blijft dat (hoeveel?) miljoenen apparaten op onze aardbol kwetsbaar zijn. En het probleem gaat pas weg als een deel van die apparaten stuk zijn (die geen updates meer krijgen van hun fabrikanten). Dat het ook Android raakt, hadden de oorspronkelijke onderzoekers ook al gemeld, dus dit artikel is eigenlijk geen nieuws.

De vraag nu is: hoe groot is de kans dat deze kwetsbaarheid wordt misbruikt en welke invloed heeft een aanvaller dan eigenlijk?
Kans: je kunt erop wachten dat dit gebruikt gaat worden als een manier om credentials te stelen en malware te verspreiden, maar dit is nog niet gebeurd?

Invloed: voor HTTP verbindingen blijkbaar "meelezen, aanpassen, injecteren malware", voor HTTPS is het "verbreken" en blijkbaar niet meer dan dat.

We moeten blijkbaar aan de HTTPS voor alles dat we belangrijk vinden (wisten we al). Of IoT apparaten en Android apps dat altijd doen, kunnen we wel controleren, maar niet beheersen. Te wantrouwen spul dus (wisten we al).

Ik begrijp dat een workaround mogelijk is in sysctl. Eigenlijk is het een verplaatsing van de kwetsbaarheid naar "dat het langer duurt", lijkt me. Mischien treedt wel een kernel crash op als de "999999999" bereikt is?

Ik hoop dat alle leveranciers die wel updates uitgeven deze sysctl setting in hun distributies doorgeven (ik denk aan servers, workstations/PC's, telefoons die net gekocht zijn, IoT apparaten van fabrikanten die hun klanten serieus nemen). Voor servers en workstations/PC's kunnen de beheerders het zelf.

Voor de overige apparaten geldt "yet another vulnerability" (zonder omvang probleem te bagatelliseren).
16-08-2016, 22:04 door Anoniem
Door Muria:
Door buttonius: Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.

Het artikel leest toch echt: Het probleem bevindt zich in de implementatie van de RFC 5961-standaard. Maar dat maakt niet uit want in elke implementatie zitten fouten. Het is veel erger dat Microsoft nog helemaal geen implementatie heeft van de verbeteringen in de veiligheid die de RFC 5961-standaard biedt.

Maar neem het Microsoft niet al te kwalijk: ze zijn veel te druk bezig met het continu rebooten van hun ontwikkelsystemen. En als ze al aan werken toekomen dan gaat de inspanning primair naar het oplossen van problemen in de functionaliteit die ze wel hebben geïmplementeerd. Kortom: best zielig en ik roep alle Linux gebruikers hierbij op om als blijk van medeleven ook eens een keer te rebooten. Niet omdat het moet maar omdat het kan!

#Reboot4Windows (10)
Sorry om het te zeggen maar ik maak toch regelmatig met Linux mee dat het helaas moet en niet omdat het kan.
17-08-2016, 08:27 door Anoniem
Door ph-cofi: Hallo heren OS-flamers, stop daarmee aub, het voegt niets toe en verlaagt de waarde van deze site. Het jaagt lezers weg richting sites waar men wel serieus met elkaar omgaat.... .//// ..... /// ... .

Je krijgt een virtuele 'plus' voor bovenstaande regels!

flamewars.. zo vreselijk 2010..
17-08-2016, 10:22 door Anoniem
Door Anoniem:
Door ph-cofi: Hallo heren OS-flamers, stop daarmee aub, het voegt niets toe en verlaagt de waarde van deze site. Het jaagt lezers weg richting sites waar men wel serieus met elkaar omgaat.... .//// ..... /// ... .

Je krijgt een virtuele 'plus' voor bovenstaande regels!

flamewars.. zo vreselijk 2010..
Helemaal mee eens, ik probeer al een tijdje heel selectief de commentaren en reacties te lezen vanwege al deze ongein. Gelukkig zit er zo nu en dan toch een goede en informatieve reactie tussen waar je mee verder kunt maar dan valt je oog toch helaas weer op een van die andere 99% inhoudsloze en/of hatelijk bedoelde reacties en dat is toch wel heel erg jammer want ik neem aan dat deze site daar niet voor bedoeld is.
17-08-2016, 10:55 door [Account Verwijderd] - Bijgewerkt: 17-08-2016, 10:56
[Verwijderd]
17-08-2016, 13:19 door Anoniem
Door buttonius: Als ik het goed heb begrepen bevindt het probleem zich niet in de implementatie, maar in de RFC 5961 standaard. Je kunt de makers van linux en android niet echt kwalijk nemen dat ze een standaard sneller implementeren dan (bijvoorbeeld) Microsoft.
Nee, maar dat ontslaat ze niet van de verantwoordelijkheid om met een oplossing van de kwetsbaarheid te komen. Er is ook al een patch die op 10 juli, dus een maand voor de Usenix-presentatie, in kernel 4.8-rc2 is aangebracht.

https://github.com/torvalds/linux/commit/75ff39ccc1bd5d3c455b6822ab09e533c551f758

Daarmee is de patch nog niet in Linux-distro's en Android-devices beschikbaar, die gebruiken niet de laatste release candidate van een kernel. Het is dus wachten op het aanbrengen van dezelfde wijziging in oudere kernels door de diverse distro's. Waarom dat (bijvoorbeeld bij Debian) nog niet gebeurd is? Ik vermoed omdat hun inschatting van de ernst "medium" en niet "critical" is. Ik weet er zelf onvoldoende van om te kunnen beoordelen hoe goed of slecht dit inschatting is.

De status is dus dat de makers van de Linux-kernel zelf hun verantwoordelijkheid wel degelijk hebben genomen maar dat het doordringen ervan tot de gebruikers kennelijk meer tijd kost. En zoals het artikel meldt kan dat bij Android door lakse fabrikanten lang duren.

En wat Linux/Windows/whatever bashen betreft: bedenk eens dat een besturingssysteem iets anders is dan een voetbalclub en een voorkeur voor een besturingssysteem iets anders dan lidmaatschap van een supportersvereniging. De manier om te "scoren" in een omgeving waar kennis en inzicht ertoe doen is niet om een "tegenpartij" te overtroeven maar om ernaar te streven jezelf te overtreffen, door je kennis, inzicht en vaardigheid toe te laten nemen dus, zodat wat je te melden hebt steeds interessanter is voor anderen. Als je last hebt van competitiedrang is een sport beoefenen vermoedelijk een heel wat betere uitlaatklep dan kinderachtige welles/nietes-spelletjes te voeren op discussiefora.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.