Gevaarlijke aanval bedreigt miljoenen Androidtoestellen
Begin dit jaar stond onderzoeker Andrew Brandt van beveiligingsbedrijf Blue Coat vreemd te kijken toen zijn Androidtoestel opeens met ransomware geïnfecteerd raakte, zonder enige interactie behalve het bezoeken van een website. Dit soort aanvallen worden drive by-downloads genoemd en zijn eerder op Mac OS X en Windows waargenomen. Tot april van dit jaar was een dergelijke aanval nog nooit op het Androidplatform gezien. Voor zover bekend raakten Androidtoestellen alleen besmet als gebruikers zelf een kwaadaardige app installeerden.
Verder onderzoek wees uit dat de aanvallers achter deze nieuwe aanvalsmethode op het Androidplatform al maanden bezig waren en selectief honderden toestellen hadden geïnfecteerd, zo laat Brandt in een interview met Security.NL weten. In april publiceerde de onderzoeker al een blogpost over de aanval, toch bevatte die niet alle details, zoals de exacte werking van de aanval en waarom de beveiligingsmaatregelen in Android, zoals Verify Apps, geen alarm sloegen.
Ransomware
Net als andere beveiligingsbedrijven zoekt Blue Coat op populaire websites naar malware. Vaak gaat het om automatische scans, maar de analisten controleren sommige websites die malware verspreiden ook handmatig. Vaak worden hiervoor Windowscomputers gebruikt, maar van tijd tot tijd test Brandt ook met Androidtoestellen. Op een maandagmorgen in april besloot de onderzoeker met een Androidtoestel te beginnen en de eerste website op zijn lijst liet opeens een pop-up zien dat het toestel werd geüpdatet en niet moest worden uitgeschakeld. De melding bleef op het scherm staan en kon ook niet worden gesloten, waarop Brandt het toestel herstartte.
Tot zijn grote verbazing was er ransomware op het toestel geïnstalleerd, ook al had hij alleen een website bezocht. Het ging hier niet om crypto-ransomware die gegevens voor losgeld versleutelt, maar om ransomware die claimde van een Amerikaanse opsporingsdienst afkomstig te zijn en stelde dat de gebruiker een misdrijf had begaan. Vervolgens moest er een boete worden betaald om weer toegang tot het apparaat te krijgen Het bleek niet mogelijk om de ransomware te verwijderen.
Advertenties en exploits
De aanval was uitgevoerd via advertenties op een niet nader genoemde pornosite die Brandt testte. De advertenties stuurden bezoekers, die op basis van verschillende kenmerken zoals gebruikte Androidversie werden gekozen, naar maar liefst zes verschillende websites door voordat de exploit, die uiteindelijk de ransomware installeerde, werd geladen. Deze exploit bleek afkomstig te zijn van het Italiaanse bedrijf Hacking Team dat vorig jaar werd gehackt en over exploits voor allerlei onbekende kwetsbaarheden bleek te beschikken. In het geval van de aanval op het toestel van Brandt ging het om een exploit die gebruikmaakte van een kwetsbaarheid in de Androidbrowser, die tot en met Android 4.3 standaard werd meegeleverd. De aanvallers achter de aanval hadden de exploit van Hacking Team bijna één op één overgenomen. Via deze exploit was het mogelijk om zonder interactie van de gebruiker, behalve het bezoeken van een website of het tonen van een advertentie, kwaadaardige code op het toestel uit te voeren.
Deze exploit riep vervolgens een andere exploit genaamd Towelroot aan. Towelroot maakt gebruik van een kwetsbaarheid in Android waardoor het mogelijk is om rootrechten te krijgen. Sommige Androidgebruikers gebruiken deze specifieke exploit om hun toestel te rooten. De Towelroot-exploit die onderzoeker Brandt zag werd als APK-bestand op het toestel gedownload. Android beschikt over een beveiligingsmaatregel genaamd Verify Apps om kwaadaardige apps te blokkeren. Het Duitse anti-virusbedrijf G Data laat aan Security.NL weten dat Verify Apps de Towel Root-exploit kan detecteren en stoppen.
Toch kon de aanval in het geval van Brandt gewoon plaatsvinden. Dit kwam omdat het APK-bestand met de Towel Root-exploit direct vanuit het browserproces werd aangeroepen, buiten de normale "package installer" om. Op deze manier konden de aanvallers de Verify Apps-controle van Android omzeilen. Via de Towel Root-exploit werd vervolgens de ransomware gedownload en met rootrechten uitgevoerd. Hierdoor was de ransomware niet door een gebruiker met normale rechten te verwijderen. Verder werd het systeem zo aangepast dat de ransomware als eerste werd geladen.
Windows XP
Nadat de technische details van de aanval duidelijk waren besloot Brandt te kijken naar de websites die bij deze aanval en mogelijk ook andere aanvallen betrokken waren, alsmede naar slachtoffers van deze drive-by download. De onderzoeker was naar eigen zeggen geschokt dat niemand de aanval eerder had waargenomen en dat er zo lauw op werd gereageerd. "Dit hield namelijk in dat oudere Androidversies eigenlijk Windows XP aan het worden zijn. Ze blijven kwetsbaar, zullen nooit updates ontvangen en de gebruikers van deze apparaten blijven ze gebruiken totdat ze stuk gaan." Hierdoor ontstaat er volgens Brandt een gevaarlijk platform dat permanent kwetsbaar is en continu op verschillende manieren kan worden aangevallen.
Ook al was de gebruikte ransomware niet bijzonder, de aanval en gebruikte code zaten zeer professioneel in elkaar. Volgens Brandt leek het dan ook op een testrun, waarbij de lading door elke willekeurige Androidmalware uiteindelijk kon worden vervangen. Het onderzoek naar de gebruikte domeinen bij de aanval wees uit dat de aanval in oktober vorig jaar al was begonnen. Aan de hand van het verkeer dat met de domeinen werd uitgewisseld werd duidelijk dat de aanvallers dezelfde maand hun eerste succesvolle infectie te pakken hadden.
In de weken die volgden verfijnden de aanvallers hun tactieken, maar pasten de aanval op een beperkte schaal toe. Wel bleek uit het verkeer dat verschillende Androidversies besmet raakten, waaronder versie 4.4.4, dat nog steeds een zeer groot marktaandeel heeft. Het aantal besmette toestellen passeerde in de maanden van oktober tot april de 500. Het ging ook nog eens om 224 verschillende soorten modellen, wat het bereik van de aanval aantoont. Nadat Blue Coat in april het onderzoek over de aanval had gepubliceerd verdwenen de aanvallers opeens. Alle gebruikte domeinen werden verlaten en kregen geen verkeer meer. Ook stopten ze met het verspreiden van de exploit. “De aanvallers hadden door dat ze waren betrapt”, laat Brandt weten.
Hoewel het aantal slachtoffers in vergelijking met veel andere aanvallen laag is, denkt de onderzoeker dat het hier om een "proof of concept" ging om te kijken of drive by-downloads op het Androidplatform de moeite waard zijn. Gezien het resultaat en de effectiviteit van drive-by downloads verwacht Brandt dan ook dat er meer van dit soort aanvallen zullen plaatsvinden en het gebruik van ongepatchte Androidtoestellen steeds gevaarlijker wordt.
Oplossing
Gebruikers van een niet meer ondersteund toestel kunnen verschillende maatregelen nemen om het risico van een aanval te verkleinen. De belangrijkste stap is het installeren en gebruiken van een andere browser. De aanval die Brandt waarnam vereist het gebruik van de standaard Androidbrowser. Google Chrome en Firefox, te downloaden via de Play Store, zijn niet kwetsbaar voor deze specifieke exploit. Brandt waarschuwt dat de aanval die hij op zijn toestel waarnam tegen Android 4.2.2 was gericht. De aanvallen tegen Android 4.4.4 maakten van een andere exploit gebruik. Welke exploit dit is, is op het moment nog onbekend aangezien het verkeer niet kon worden geanalyseerd. De onderzoeker is er zo goed als zeker van dat de aanvallers op deze toestellen de Androidbrowser-exploit niet gebruikten, aangezien deze versie niet over de standaard Androidbrowser beschikt. Er moet dan ook een ander beveiligingslek zijn aangevallen. Een andere oplossing voor gebruikers van een ouder Androidtoestel is het installeren van een aangepaste versie van het Androidbesturingssysteem, zoals Cyanogenmod. Dit is echter niet voor alle modellen mogelijk.
"Naarmate er meer Android-exploits worden ontdekt zullen aanvallers daar gebruik van maken", gaat Brandt verder. Vorig jaar september liet Google weten dat er 1,4 miljard actieve Androidgebruikers zijn. Een aantal dat mogelijk nu al naar 2 miljard is opgelopen. Volgens cijfers van Google zit 49,3% van alle Androidtoestellen op Android 4.4 of ouder. Niet alle gebruikers in deze groep zullen de standaardbrowser gebruiken, maar gezien het feit dat veel Androidtoestellen geen updates meer ontvangen stelt Brandt dat drive-by downloads ook een probleem voor Androidgebruikers zullen worden. "Je loopt nu met een kleine tijdbom rond", zegt de onderzoeker over ongepatchte toestellen.
"Het probleem is dat deze apparaten voor zeer persoonlijke zaken en vaak voor langere tijd worden gebruikt, en mensen geven ze uiteindelijk door. Dat is geen oplossing voor het probleem dat fabrikanten technisch verantwoordelijk zijn voor het uitbrengen van updates. Er is echter geen verplichting voor ze om dit te doen." Het gaat daarbij niet alleen om oudere apparaten. Brandt merkt op dat hij afgelopen kerst nog een tablet met Android 4.4.4 heeft gekocht, maar het apparaat inmiddels al niet meer wordt ondersteund. "Dit blijft een probleem totdat fabrikanten standaard nieuwere versies gaan installeren en ondersteunen."
1. Wipe je gehele Android device;
2. Gooi je Android device vervolgens in de sloot (of breng hem naar de milieustraat);
3. Koop een iOS device;
4. Beveilig je iOS device met een code van minimaal 8 karakters;
5. Maak gebruik van 2FA voor je Apple ID;
6. Update je nieuwe device direct zodra er een nieuwe iOS versie uitkomt;
7. Gebruik Lookout voor extra bescherming.
1. Wipe je gehele Android device;
2. Gooi je Android device vervolgens in de sloot (of breng hem naar de milieustraat);
3. Koop een iOS device;
4. Beveilig je iOS device met een code van minimaal 8 karakters;
5. Maak gebruik van 2FA voor je Apple ID;
6. Update je nieuwe device direct zodra er een nieuwe iOS versie uitkomt;
7. Gebruik Lookout voor extra bescherming.
LOL. Want iOS is 100% veilig. LOL.
Goedkoper en simpeler:
1 . Zet geen gevoelige informatie op je toestel. Dus gebruik hem bv niet om te bankieren.
2. Bewaar geen wachtwoorden.
3. Bewaar email en telefoonnummers in een handig papieren boekje.
4. Ruim met enige regelmaat je "history" op het toestel op.
5. En draai je browser in een zandbak.
Zet geen persoonlijke dingen op je mobiele telefoon. Gebruik het alleen om zelf gebeld te worden. Wis alle gesprekken van de dag. Sla zo weinig mogelijk gegevens op van jezelf en al helemaal niet van anderen in verband met de privacy-gevoeligheid. Schrijf alles op papier, goed voor de ogen, geen vals licht op je ogen van smartphones of mobiele telefoons. Dan hou je alleen je p.c. nog over. Als de printer stuk gaat, koop dan geen nieuwe. Het is allemaal zonde van het geld. Een printer is, als je het veel gebruikt, vrij snel kapot. Je blijft printers en dure inkt kopen dan. En wat een milieuvervuiling allemaal.
Verder een vraag. Hoe kan je op een snelle manier ontdigitaliseren, zodat je Internetvrij bent, géén computer meer. Of is het simpel op te lossen met het opzeggen van je abonnement van een bepaalde Provider? Hoe laat je het weten aan bedrijven waar je een account hebt, dat je geen gebruik meer wilt maken van het Internet en liefst alles weer met de gewone post wil hebben. Brieven, rekeningen e.d.. En hoe zeg je het de Belastingdienst, die alles digitaal wil hebben?
Terug naar de POST! Eerlijk, eenvoudig en rustig. De tijd om rustig te lezen, zonder je ogen te beschadigen.
Als dat eens zou kunnen! Dan zal ik hier niet meer gaan schrijven. Een iemand minder die reageert, wel net zo rustig voor de anderen, die hier nog wel blijven reageren.
iOS is niet 100% veilig, maar wel 99,999999999999999999999999% veiliger dan Android.
Los van wellicht de Nexus toestellen lopen ALLE Android devices achter met beveiligingsupdates. Zoals in het artikel aagegeven 49,3% nog op Android 4.4, dan kun je dit toch niet meer serieus nemen.... en vergelijken met iOS (of andere OS'sen) Die discussie is zinloos.
Niets is 100% veilig, maar een smartphone (of welk device of OS dan ook) zonder beveiligingsupdates moet je echt niet gebruiken.
Heb die telefoons al sedert versie 6.4 en 8.1
Nu de Microsoft 550 met Win 10 (perfect toestel, maar 'k had liever de 650 XL lol).
Gewoon niet teveel (lees: helemaal niet) downloaden of onbekende sites bezoeken.
Dat doe je op een normale (Windows) PC met ad-, flash- en script-blokker.
Hier een linkje naar wat onderzoek, http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/ maar er is meer over te vinden.
Apple en security lopen zeker niet hand in hand.
Hier een linkje naar wat onderzoek, http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/ maar er is meer over te vinden.
Apple en security lopen zeker niet hand in hand.
Dit gaat nergens over, betreft een kwantitatief onderzoek over alle iOS versies. Daarnaast patched Apple juist wel alle iOS devices en is derhalve juist heel goed bezig. Er blijven updates voor uitkomen. Ik zou me meer zorgen maken om die 130 kwetsbaarheden op Android devices waar GEEN update voor uitkomt.
Ik begrijp wel dat één iOS makkelijker up to date te houden is dan al die Android varianten. Dat is het voordeel van Apple, ze hebben alles in eigen beheer qua hard- en software. Maar wat sommige reageerders hier niet moeten vergeten is dat niet iedereen zich een (te) dure iPhone kan veroorloven. Ik heb een Moto E van 110 euro die alles prima en snel kan wat ik er van verlang en een iPhone van 700 euro zou daar niets aan toevoegen.
1. Wipe je gehele Android device;
2. Gooi je Android device vervolgens in de sloot (of breng hem naar de milieustraat);
3. Koop een iOS device;
4. Beveilig je iOS device met een code van minimaal 8 karakters;
5. Maak gebruik van 2FA voor je Apple ID;
6. Update je nieuwe device direct zodra er een nieuwe iOS versie uitkomt;
7. Gebruik Lookout voor extra bescherming.
Nog beter en goedkoper:
1. haal de oude Nokia uit de la
2. stof hem af
3. laad hem op
4. Doe je SIM kaartje er in
bijkomende voordelen, wekelijks aan de lader i.p.v. dagelijks, en een stuk compacter \ lichter.. en een knappe jongen die hier randsomware op zet :-)
zonder dollen. Er is niets "meer" mis met Android dan het OS van Apple. Je bent in ieder geval een stuk flexibeler en hebt het gevoel dat je meer in control bent. De volgende keer is het een lek in IOS en dan moeten we allemaal naar google's OS
De aanval was uitgevoerd via advertenties op een niet nader genoemde pornosite die Brandt testte.
Dan nog de 'sla niks op - wis alles' reacties. Daar kun je in de praktijk niks mee. Dat is hetzelfde als een auto kopen en hem het hele jaar door in de garage laten staan; leuk voor een hobbyist, maar zo'n auto brengt me niet naar mijn werk. Ik _doe_ dingen op een mobiel, dus daar moet ook mijn data beschikbaar zijn.
Het probleem is eigenlijk heel eenvoudig. Mensen willen graag voor een dubbeltje op de eerste rang zitten. Bepaalde smartphonefabrikanten spelen hier op in door toestellen uit te brengen met ongezond lage marges; vooral de Chineese merken zijn daar goed in. Op het moment dat zo'n toestel de deur uit gaat wil de fabrikant er helemaal niks meer mee te maken hebben; elke seconde dat een engineer daar nog naar kijkt kost geld, welke uit die toch al zeer magere marge moet komen.
Conclusie: als wij íets meer geld zouden uitgeven, bijvoorbeeld aan iOS of een Windows Phone met voldoende specs, dan is er niets aan de hand. Je zult dan netjes patches krijgen. Android heeft ook bepaalde lijnen die een goed patch beleid hebben (Nexus, Motorola e.d.), al vrees ik dat er bij Android zaken in de kern niet goed zijn opgezet, wat deze problemen mede veroorzaakt. Zaken die ze recent hebben doorgevoerd (loskoppelen van bepaalde apps van het onderliggende systeem, zodat deze los geüpdatet kunnen worden) helpen hier wellicht bij in de toekomst, als ze tegen die tijd hun goede naam al niet te grabbel hebben gegooid.
1. Wipe je gehele Android device;
2. Gooi je Android device vervolgens in de sloot (of breng hem naar de milieustraat);
....
--knip--
Nog beter en goedkoper:
1. haal de oude Nokia uit de la
2. stof hem af
3. laad hem op
4. Doe je SIM kaartje er in
bijkomende voordelen, wekelijks aan de lader i.p.v. dagelijks, en een stuk compacter \ lichter.. en een knappe jongen die hier randsomware op zet :-)
zonder dollen.
--knip--
Zonder dollen, ik heb al jaren een Nokia "dumb" phone. Heerlijk! Om de 3 weken aan de lader. Geen flauwekul zoals "social" media, zorgen maken over hacks etc. Je houdt zo tijd over voor andere dingen.
Dan nog de 'sla niks op - wis alles' reacties. Daar kun je in de praktijk niks mee. Dat is hetzelfde als een auto kopen en hem het hele jaar door in de garage laten staan; leuk voor een hobbyist, maar zo'n auto brengt me niet naar mijn werk. Ik _doe_ dingen op een mobiel, dus daar moet ook mijn data beschikbaar zijn.
Het probleem dat jij denk ik hebt is dat je de manier waarop je dingen doet op een bepaalde manier hebt ingericht en die manier vervolgens behandelt alsof het niet anders zou kunnen. Als je het vroeger, toen de techniek wat minder ver ontwikkeld was, wél anders kon en als je daar niet diep ongelukkig van werd dan kan je je afvragen waarom je er nu wel diep ongelukkig van zou worden.
Je kan er wel degelijk voor kiezen om een desktopmachine te gaan gebruiken en die mobiele computertjes links te laten liggen. Je kan er wel degelijk voor kiezen om niet elk moment van je leven online beschikbaar te zijn (kan ik je zelfs aanbevelen). Je kan er wel degelijk voor kiezen om via e-mail te gaan communiceren. In tegenstelling tot veel apps is dat gebaseerd op open standaards die vanuit elk platform gebruikt kunnen worden, dus iedereen die jou de moeite waard vindt kan met je communiceren.
Ik zeg niet dat je dat ook echt moet doen, dat is helemaal aan jou, en alle technische snufjes van dit moment zijn in een hoop opzichten geweldig. Maar ik denk wel dat het goed is om te beseffen dat je geluk niet afhangt van wat je nu tot je beschikking hebt, dat andere manieren ook werken. Ik ben ruimschoots oud genoeg om zonder computers en internet te zijn opgegroeid, en ik ben echt niet ongelukkig geworden van het ontbreken daarvan. Ik zou het inmiddels ook vreselijk missen als het weg zou vallen, ik zou moeten afkicken, maar ik weet wel dat er dan nog steeds een leuk en boeiend leven te leiden valt, je gaat het gewoon in andere dingen zoeken, en de wereld heeft ook zonder electronica een hoop te bieden.
iOS is niet 100% veilig, maar wel 99,999999999999999999999999% veiliger dan Android.
En waar baseer je dat op? Ik heb liever open source toestel, waar ik tenminste weet wat er gebeurd en wie de baas is over het toestel. Apple daar in tegen hoe weet jij of zij niet zero-day exploits delen met inlichtingendiensten of decryptiesluitels gebruiken voor iMessage en andere zaken van 'Apple'. Dus als je een bewering maakt, doe dat dan op de juiste manier of keer terug naar 4chan. Jammer genoeg maak ik gebruik van een iShit Device en vind het geen reet aan! Doe mij maar Android.
http://www.digitaltrends.com/mobile/ios-os-x-stagefright-vulnerability/
Praat niet over zaken waar je geen verstand van hebt.
A.
iOS is niet 100% veilig, maar wel 99,999999999999999999999999% veiliger dan Android.
En waar baseer je dat op? Ik heb liever open source toestel, waar ik tenminste weet wat er gebeurd en wie de baas is over het toestel. Apple daar in tegen hoe weet jij of zij niet zero-day exploits delen met inlichtingendiensten of decryptiesluitels gebruiken voor iMessage en andere zaken van 'Apple'. Dus als je een bewering maakt, doe dat dan op de juiste manier of keer terug naar 4chan. Jammer genoeg maak ik gebruik van een iShit Device en vind het geen reet aan! Doe mij maar Android.
http://www.digitaltrends.com/mobile/ios-os-x-stagefright-vulnerability/
Praat niet over zaken waar je geen verstand van hebt.
A.
Baas over je eigen telefoon? Heb je te diep in het glaasje gekeken? Slechts 2.9% krijgt de nieuwste Android versie, meer dan 49% zit nog op Android 4.4 of lager. Met Android ben je aan de goden overgeleverd. Je moet maar hopen en bidden dat je een Android update krijgt.
Man, man, man, wat een figuren hier. Bang dat de overheid meekijkt maar het feit dat ze geen updates krijgen voor een kwetsbaar toestel is geen probleem. Vooral zo doorgaan, ik hoop niet dat beveiliging onderdeel van je beroep is, anders heb ik echt met je baas te doen.
iOS is niet 100% veilig, maar wel 99,999999999999999999999999% veiliger dan Android.
En waar baseer je dat op? Ik heb liever open source toestel, waar ik tenminste weet wat er gebeurd en wie de baas is over het toestel. Apple daar in tegen hoe weet jij of zij niet zero-day exploits delen met inlichtingendiensten of decryptiesluitels gebruiken voor iMessage en andere zaken van 'Apple'. Dus als je een bewering maakt, doe dat dan op de juiste manier of keer terug naar 4chan. Jammer genoeg maak ik gebruik van een iShit Device en vind het geen reet aan! Doe mij maar Android.
http://www.digitaltrends.com/mobile/ios-os-x-stagefright-vulnerability/
Praat niet over zaken waar je geen verstand van hebt.
A.
Blijkbaar heb jij er ook niet zo veel verstand van. Ik weet ook niet wat je intentie van het artikel is? Dit laat juist zien dat Apple wel met een oplossing tegen Stagefright komt. Dit in tegenstelling dat nog steeds miljoenen Android devices waar nog steeds geen oplossing voor is.
Een device zonder beveiligingsupdates is per definitie zeer onveilig.
Blijkbaar heb jij er ook niet zo veel verstand van. Ik weet ook niet wat je intentie van het artikel is? Dit laat juist zien dat Apple wel met een oplossing tegen Stagefright komt. Dit in tegenstelling dat nog steeds miljoenen Android devices waar nog steeds geen oplossing voor is.
Een device zonder beveiligingsupdates is per definitie zeer onveilig.
Ik heb een Nexus 5X. Onder 6.0.1 was die niet kwetsbaar voor Stagefright en nu hij onder 7.0 draait al zeker niet. Ik krijg maandelijks veiligheidsupdates (die van september heb ik juist gehad) en dat zal zo blijven tot minstens einde 2017.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
