Android-toestellen kwetsbaar voor RAMpage-aanval
Nagenoeg alle Android-toestellen die sinds 2012 zijn uitgekomen zijn kwetsbaar voor een nieuwe aanval genaamd RAMpage (pdf). De aanval is gebaseerd op de bekende Rowhammer-aanval en zorgt ervoor dat een kwaadaardige app zonder permissies volledige controle over het toestel kan krijgen.
De RAMpage-exploit kan het ION-geheugensubsysteem van Android gebruiken om herhaaldelijk de staat van een rij met geheugenbits te veranderen tot er bits in de nabijgelegen rij worden veranderd. Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's. "RAMpage breekt de fundamentele scheiding tussen gebruikersapplicaties en het besturingssysteem. Via de aanval kan een app volledige controle over het toestel krijgen", aldus de onderzoekers, die onder andere van de Vrije Universiteit Amsterdam afkomstig zijn.
Android-toestellen die over LPDDR2-, LPDDR3- of LPDDR4-geheugen beschikken lopen risico. Het gaat hier om nagenoeg alle Android-toestellen sinds 2012. Volgens de onderzoekers is het niet veilig om met gevoelige informatie te werken op Android-toestellen met dit geheugen en een ongepatcht besturingssysteem. Op dit moment zijn er echter nog geen updates beschikbaar die tegen RAMpage moeten beschermen.
Wel zijn de onderzoekers in overleg met Google en hebben ze een gratis app gemaakt genaamd Guardion die bescherming biedt. Het is nog onduidelijk of besturingssystemen voor de desktop ook kwetsbaar voor RAMpage zijn, maar dit is volgens de onderzoekers zeer waarschijnlijk.
iedere smartphone.
Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS
Mij Galaxy S7 doorstaat de test op de meest agressieve test-setting en blijft naar bit-flips zoeken.
Mijn Galaxy S8+ echter reboot tijdens het uitvoeren v/d test. Wellicht een beveiliging tegen het overnemen van je telefoon.
Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS
zucht een hoop geblaat terwijl je blijkbaar niet eens weet waar je het over hebt.
"omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten"
zal het kort houden
Google brengt netjes veiligheidsupdates uit voor android.
Het update probleem zit hem bij de fabrikanten van de toestellen en niet bij Google.
Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS
zucht een hoop geblaat terwijl je blijkbaar niet eens weet waar je het over hebt.
"omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten"
zal het kort houden
Google brengt netjes veiligheidsupdates uit voor android.
Het update probleem zit hem bij de fabrikanten van de toestellen en niet bij Google.
Juist en daarom moeten we dus van die branded zooi af en terug naar origineel android,
ik snap zowieso toch niet waarom elke fabriekant z'n eigen zooi in een foon wil dauwe...
Alleen schijnen die er nog niet te zijn volgens de PDF, hoewel natuurlijk dit "onderzoek" wel mensen op de gedachte brengt.
Inkomsten (bv betaald krijgen om bloatware mee te leveren), naamsbekendheid (branding), etc.
De oorspronkelijke fout ligt bij Google die (heel lang) heeft na gelaten om het core-OS te scheiden van de schil waar fabrikanten mee mogen spelen. dan had Google zelf het core-OS gepatcht kunnen houden ipv dit over te laten aan ongeinteresseerde fabrikanten. Voor fabrikanten zijn het alleen maar extra kosten. Er zit geen verdien-model in.
Juich dus niet te hard als je een iPhone hebt. Juich zelfs niet als je op een desktop computer werkt.
Daarnaast: de praktische uitvoerbaarheid kon nog wel eens een probleem blijken te zijn...
Daar ligt de ene kant van het probleem, terwijl de patch coders hun stinkende best doen
ten behoeve van mitigatie aan de andere kant. Een droevig verhaal eigenlijk.
Jodocus Oyevaer
Waarom is men "flauw bezig" als men de waarheid vertelt
of kan je het door mij genoemde feit "debunken".
Ik gun die Israëlische entrepreneurs hun inkomsten overigens zeker,
terwijl ze zich ook wel zullen moeten houden aan hun eigen export restricties, vermoed ik.
Uiteindelijk is de distributeur van de software verantwoordelijk voor de veiligheid ervan
en kan Google ons niet overal voor behoeden (rowhammer en DRAMMER bij voorbeeld).
Trouwens ze willen het nog niet patchen vanwege de impact die ze claimen,
alhoewel ik vermoed dat het weer over hun kern business gaat,
die ze natuurlijk niet door "(onnodige) patches" in de weg willen zitten,
hetgeen begrijpelijk is ook.
Kijk naar een bescherming-appje als GuardION bijvoorbeeld:
git clone https://android.googlesource.com/kernel/msm
cd msm
git checkout -b android-msm-marlin-3.18-nougat-mr1 origin/android-msm-marlin-3.18-nougat-mr1
export CROSS_COMPILE=/opt/android-ndk-r11c/sysroot-arm64/bin/aarch64-linux-android-
export ARCH=arm64
make marlin_defconfig
make -j6
cd ~/msm
cp /path/to/guardion/ion/isolation.patch .
cp /path/to/guardion/bitmap/bitmap.patch .
git apply -v isolation.patch
make -j6
Denk niet dat deze dreiging alleen uitgaat naar android en niet voor andere devices geldt,
zoals uw desktop etc. De problemen zijn dus veel generieker dan men weleens aanneemt.
of zoals ze gepresenteerd worden.
Jodocus Oyevaer
iedere smartphone.
Dat is kort door de bocht. Elk systeem dat door mensenhanden is gemaakt kent risico's. PC's en laptops zijn daarbij gevaarlijker dan een gesloten systeem als Android of IOS.
iedere smartphone.
Omdat de ' mobiele' bankieren applicaties veel meer beveiligingsmaatregelen ('defence-in-depth' ) hebben dan web-based internet-bankieren. Daarom is het veiliger. Als je een onveilig/kwetsbaar apparaat gebruikt, is ELKE applicatie/website/toepassing kwetsbaar. En Rowhammer type aanvallen zijn ook mogelijk op niet-mobiele computersystemen, RAMpage is gewoon een mobiel-specifieke variant ervan. Maar om je gerust te stellen; vrijwel elke desktop CPU is momenteel kwetsbaar voor Spectre/Meltdown varianten met dezelfde impact; en de hele wereld gebruikt ze toch nog gewoon; 'calculated risk' heet dat; we zijn nog niet vergaan. Terwijl dat lek niet in software te patchen is; RAMpage wel ...
iedere smartphone.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
