image

Malafide apps in Play Store kaapten telefoons via Android-lek

maandag 6 januari 2020, 15:25 door Redactie, 23 reacties
Laatst bijgewerkt: 07-01-2020, 17:10

Onderzoekers hebben in de Google Play Store drie malafide apps ontdekt die een beveiligingslek in Android gebruikten om volledige controle over toestellen te krijgen. De kwetsbaarheid werd al eerder bij zeroday-aanvallen tegen Androidgebruikers ingezet, maar is inmiddels door Google gepatcht.

Google waarschuwde Androidgebruikers in oktober voor de kwetsbaarheid, die op dat moment al actief werd aangevallen. Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn. Het gaat om een zogeheten "local privilege escalation" waarmee een aanvaller die al toegang tot een Androidtoestel heeft volledige controle over het apparaat kan krijgen.

Om misbruik van de kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek vereist. "Ondanks dat er een patch in de upstream-Linuxkernel beschikbaar was, was het bijna twee jaar niet gepatcht in Androidtoestellen. We denken dat aanvallers in die periode dit lek hebben gebruikt om gebruikers aan te vallen", liet Maddie Stone van Google in november weten.

Specifiek ging het om de Pegasus-spyware die via de kwetsbaarheid werd geïnstalleerd. De spyware is ontwikkeld door de NSO Group, een Israëlisch bedrijf dat software aanbiedt waarmee overheidsinstanties en opsporingsdiensten op afstand toegang tot smartphones kunnen krijgen. Google vermoedt dat de exploit die misbruik van de kwetsbaarheid maakt is gebruikt om spyware van de NSO Group te verspreiden.

Vandaag meldt antivirusbedrijf Trend Micro dat het drie apps in de Google Play Store heeft ontdekt die het beveiligingslek gebruikten om volledige controle over toestellen te krijgen. Zodra gebruikers de apps, "FileCrypt Manager", "callCam" en "Camero" wilden installeren, gebruikte de malware het lek om toestellen te rooten. Het ging specifiek om Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) en Redmi 6A-telefoons.

De malware in de apps verzamelde locatiegegevens, informatie over bestanden op het toestel, geïnstalleerde apps, camera-informatie, screenshots, accountgegevens, wifi-informatie en data van WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail en Chrome. Trend Micro vermoedt dat de drie malafide apps sinds maart 2019 in de Google Play Store waren te vinden. Inmiddels zijn ze door Google verwijderd. Afgelopen oktober en november verhielp Google de kwetsbaarheid in Android. Veel Androidtoestellen ontvangen echter geen updates meer of op een later moment.

Image

Reacties (23)
06-01-2020, 16:10 door Anoniem
Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.
06-01-2020, 16:11 door spatieman
goh, ik dacht dat android zo veilig is.
oh wacht, koop maar een nieuw toestel, en hoop dat het probleem daar in is opgelost (niet dus)
06-01-2020, 16:13 door Anoniem
Ze hadden beter de lek gemeld om op eerlijke manier geld te ontvangen van google ipv tijd in te steken om malafide apps te maken. Er is amper geinstalleerd en nu zijn ze van de google store verwijderd. Wat hebben ze nu verdient? Niks...
06-01-2020, 16:25 door Anoniem
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Dat is niet waar ik heb zelf een Samsung S9+ en krijg nog steeds mijn updates terwijl de S10 maart 2019 is uitgekomen?
06-01-2020, 16:28 door [Account Verwijderd] - Bijgewerkt: 06-01-2020, 16:31
Door spatieman: goh, ik dacht dat android zo veilig is.

Waar je die wetenschap vandaan hebt weet ik niet maar Android kan alleen veilig zijn indien er regelmatig patches uitgebracht worden door de fabrikant en daar schort het meestal aan. Vandaar dat er nu meer dan 1 miljard lekke Android dingen (hoeven niet per se telefoons te zijn) rondzwerven.
06-01-2020, 16:41 door The FOSS
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.
06-01-2020, 16:45 door Anoniem
"Google vermoedt dat de exploit die misbruik van de kwetsbaarheid maakt is ontwikkeld door de NSO Group, een bedrijf dat spyware voor overheidsinstanties en opsporingsdiensten ontwikkelt. "

Google is een tool van diezelfde spionagediensten. Zit in hun verdienmodel. Naast het alom bekende moedwillig "verouderen " van hun toestellen. Dat het 2 jaar duurt voordat CVE-2019-2215 is gepatcht -en dat slechts voor de nieuwere toestellen- , zegt genoeg. Security voor de bühne dus.
06-01-2020, 17:05 door Anoniem
Door The FOSS:
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.

Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

Het probleem ligt hem niet in een toestel van 7 jaar oud, wel die toestellen van 3,2,1, jaar of zelfs 3 maanden die al geen update meer krijgen. Ik hoop dan ook dat er een verplichting komt voor de leverancier om X jaar veplicht te moeten patchen.
06-01-2020, 17:06 door Anoniem
Door Sjef van Heesch:
Door spatieman: goh, ik dacht dat android zo veilig is.

Waar je die wetenschap vandaan hebt weet ik niet maar Android kan alleen veilig zijn indien er regelmatig patches uitgebracht worden door de fabrikant en daar schort het meestal aan. Vandaar dat er nu meer dan 1 miljard lekke Android dingen (hoeven niet per se telefoons te zijn) rondzwerven.

Veilig, was is veilig? Als al je data naar Google lekt vind ik dat nog steeds niet veilig. :)
06-01-2020, 18:28 door Briolet
Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn.

En wie beweerd hier steeds dat Linux zo veilig is omdat het direct geupdate wordt?
06-01-2020, 19:35 door Anoniem
Is er al iets over de daders bekend?

Of gaan we gewoon weer de hele dag elkaar afzeiken over linux mac en windows apple rotzooi en dergelijke.

De boeven lachen ons finaal uit, dat snap je wel he!?
06-01-2020, 19:46 door Anoniem
Door Anoniem:Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

De geijkte manier voor iemand die dat niet zelf kan, is door een handig neefje of nichtje in te schakelen. Iemand die een goede ICT opleiding heeft genoten en een betrouwbare reputatie heeft. Het alternatief is bij een elektronica zaak te vragen naar een goed erkende ICT hobbyclub of Repair Café in de buurt, waar ze dat vast ook wel graag voor je tante willen doen. Een geschikt mobieltje met LineageOS flashen is vrij eenvoudig en zo gedaan. Klaar, terwijl u wacht!

Hobby Computer Club
https://www.hcc.nl/

Weggooien? Mooi niet!
https://repaircafe.org/
06-01-2020, 20:03 door The FOSS
Door Anoniem:
Door The FOSS:
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.

Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

Wat? Doe jij dat niet even voor haar?

Door Anoniem: Het probleem ligt hem niet in een toestel van 7 jaar oud, wel die toestellen van 3,2,1, jaar of zelfs 3 maanden die al geen update meer krijgen. Ik hoop dan ook dat er een verplichting komt voor de leverancier om X jaar veplicht te moeten patchen.

Dat lijkt me overdreven (3 maanden). Maar het niet updaten zou inderdaad verboden moeten worden.
06-01-2020, 20:10 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.

Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

Wat? Doe jij dat niet even voor haar?

Nee, ik wil gewoon een werkend apparaat met nog een soort van privacy.


Door Anoniem: Het probleem ligt hem niet in een toestel van 7 jaar oud, wel die toestellen van 3,2,1, jaar of zelfs 3 maanden die al geen update meer krijgen. Ik hoop dan ook dat er een verplichting komt voor de leverancier om X jaar veplicht te moeten patchen.

Dat lijkt me overdreven (3 maanden). Maar het niet updaten zou inderdaad verboden moeten worden.

https://tweakers.net/nieuws/129621/lenovo-geeft-drie-maanden-oude-moto-e4-smartphones-geen-update-naar-android-8.html
06-01-2020, 20:21 door [Account Verwijderd] - Bijgewerkt: 06-01-2020, 20:22
Door Briolet:
Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn.

En wie beweerd hier steeds dat Linux zo veilig is omdat het direct geupdate wordt?

Goh, deze zag ik al van mijlen ver aankomen.

In dit specifieke geval is er een fout gemaakt maar in zijn algemeenheid:

Ja, Android op zich wordt goed onderhouden door Google en dus gepatched, maar fabrikanten die Android in licentie hebben zijn daar veel te laks in of doen er helemaal niks aan. Google zou de licentie in kunnen trekken, dit keer niet omdat Trump dat wil (Huawei), maar vanwege veiligheid en daar heeft zelfs Google de ballen niet voor.
06-01-2020, 22:25 door Anoniem
Door Briolet:
Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn.

En wie beweerd hier steeds dat Linux zo veilig is omdat het direct geupdate wordt?

Linux update wel, maar fabrikanten rollen niet allemaal en altijd uit helaas.
07-01-2020, 06:17 door iCQ at SPCL.tk
[Verwijderd door moderator]
07-01-2020, 06:55 door Anoniem
Behalve over OS/Updates te spreken....
Hoe komen dit soort apps uberhaupt in de Play Store?
07-01-2020, 07:56 door The FOSS
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.

Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

Wat? Doe jij dat niet even voor haar?

Nee, ik wil gewoon een werkend apparaat met nog een soort van privacy.

En jouw tante, wat wil die? Een betaalbare telefoon of een heel dure.

Door Anoniem:

Door Anoniem: Het probleem ligt hem niet in een toestel van 7 jaar oud, wel die toestellen van 3,2,1, jaar of zelfs 3 maanden die al geen update meer krijgen. Ik hoop dan ook dat er een verplichting komt voor de leverancier om X jaar veplicht te moeten patchen.

Dat lijkt me overdreven (3 maanden). Maar het niet updaten zou inderdaad verboden moeten worden.

https://tweakers.net/nieuws/129621/lenovo-geeft-drie-maanden-oude-moto-e4-smartphones-geen-update-naar-android-8.html

Geen updates klopt niet. Want het is een upgrade van Android 7 naar Android 8 (die men dus niet geeft). Dat wil nog niet zeggen dat de af fabriek geïnstalleerde Android 7 geen updates meer zou krijgen bij bv. beveiligingsproblemen.
07-01-2020, 08:19 door spatieman
Door Sjef van Heesch:
Door spatieman: goh, ik dacht dat android zo veilig is.

Waar je die wetenschap vandaan hebt weet ik niet maar Android kan alleen veilig zijn indien er regelmatig patches uitgebracht worden door de fabrikant en daar schort het meestal aan. Vandaar dat er nu meer dan 1 miljard lekke Android dingen (hoeven niet per se telefoons te zijn) rondzwerven.

je slaat kop met spijkers, INDIEN er regelmatig patches uitgebracht worden,,,
staat in het bericht, ze hebben het niet verholpen, net al de nodige andere problemen (zoals ik die nu met mijn toestel heb met een uitvallende GPS driver)
07-01-2020, 09:29 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door The FOSS:
Door Anoniem: Gelukkig houd bv. samsung al zijn telefoon's up2date... not, dus velen willen wel updaten maar krijgen deze update gewoon niet omdat de leverende partij 1 mnd na instroductie van een nieuw toestel de vorige niet meer voorziet van updates.

Mijn Samsung Galaxy Note 3 uit 2013 heeft Android 9 met patchlevel 5 december 2019. In de vorm van de Lineage OS 16 custom ROM. Ze ondersteunen veel meer telefoons: https://wiki.lineageos.org/devices/.

Vertel jij mijn tante van 60 even hoe ze een custom ROM moet installeren?

Wat? Doe jij dat niet even voor haar?

Nee, ik wil gewoon een werkend apparaat met nog een soort van privacy.

En jouw tante, wat wil die? Een betaalbare telefoon of een heel dure.

Door Anoniem:

Door Anoniem: Het probleem ligt hem niet in een toestel van 7 jaar oud, wel die toestellen van 3,2,1, jaar of zelfs 3 maanden die al geen update meer krijgen. Ik hoop dan ook dat er een verplichting komt voor de leverancier om X jaar veplicht te moeten patchen.

Dat lijkt me overdreven (3 maanden). Maar het niet updaten zou inderdaad verboden moeten worden.

https://tweakers.net/nieuws/129621/lenovo-geeft-drie-maanden-oude-moto-e4-smartphones-geen-update-naar-android-8.html

Geen updates klopt niet. Want het is een upgrade van Android 7 naar Android 8 (die men dus niet geeft). Dat wil nog niet zeggen dat de af fabriek geïnstalleerde Android 7 geen updates meer zou krijgen bij bv. beveiligingsproblemen.

Volgens mij zit hier de kern; het is de privacy/euro ratio. Als je bereid bent voor een hoger segment telefoon te betalen (welke vendor of met welk OS dan ook) heb je langere ondersteuning en is je privacy beter beschermd. Google's business-model heeft baat bij een zo groot mogelijke user-base. Het intrekken van Android-licenties heeft hier direct invloed op dus dat gaan ze niet doen, het gaat om de knikkers.
07-01-2020, 11:00 door Anoniem
Door Briolet:
Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn.

En wie beweerd hier steeds dat Linux zo veilig is omdat het direct geupdate wordt?
Kernel-updates, ook voor Android, zijn ongeveer drie maanden na melden van de kwetsbaarheid uitgebracht, en ongeveer twintig maanden voor deze CVE. Drie maanden om het te verhelpen is al niet de snelste actie ooit, maar de grootste vertraging zit hier duidelijk in het uitrollen ervan door partijen die de wijzigingen in de kernel hadden moeten oppakken en verder verspreiden.

Wat "Linux" wordt genoemd slaat, in tegenstelling tot bijvoorbeeld Windows of OS/X of Z/OS, niet op één enkele leverancier. Je hebt een team dat de Linux-kernel beheert, je hebt ettelijke Linux-distributies die het resultaat in hun OS verwerken, en Google die het in Android verwerkt, wat weer de basis is voor wat ettelijke smartphone-fabrikanten onder hun klanten verspreiden. Zowel de kernel als al die distributies worden met "Linux" aangeduid. Android is gebaseerd op de Linux-kernel maar wordt gewoonlijk niet "Linux" genoemd maar "Android".

Laat ik "Linux op zijn best" gebruiken voor het kernel-team dat over het algemeen snel en adequaat reageert op security-issues en verschillende Linux-distrubuties die dat ook doen.

Laat ik "Linux op zijn slechtst" gebruiken voor de eindpunten van distributieketens waarin partijen zitten die laks tot ronduit incompetent zijn in het doorgeven van security updates, waaronder sommige smartphone- en IoT-fabrikanten, en ongetwijfeld diverse Linux-distributies die misschien een goede basis gebruiken maar zelf een stuk minder competent zijn dan de makers van die basis.

Je kan eindeloos bekvechten over de vraag of "Linux" veilig of onveilig is, maar als de een het over "Linux op zijn best" heeft en de ander het over "Linux op zijn slechtst" dan heb je het over verschillende dingen en praat je langs elkaar heen. Je hebt het bij alles wat door het labeltje "Linux" gedekt wordt domweg niet over een enkele leverancier, en je kan er dus ook niet met een enkel kwaliteitsoordeel al die diversiteit typeren.

Misschien vinden beide kampen in dit soort gebekvecht het vooral lekker om ruzie met elkaar te maken, maar als dat voor jou (en daarmee bedoel ik niet alleen Briolet) niet geldt en je geïnteresseerd bent in het voeren van serieuze discussies, begin dan eens om te onderkennen waar de ander eigenlijk aan refereert als die (bijvoorbeeld) "Linux" schrijft, en om te reageren op wat de ander bedoelt en niet op iets heel anders.

Als je dat overslaat dan heb je in het "aantonen" van het ongelijk van de ander zelf net zo grondig ongelijk. Het is misschien leuk als je een wedstrijdje elkaar de loef afsteken speelt, maar inhoudelijk voegt het geen donder toe en het komt nogal onvolwassen over.
08-01-2020, 08:18 door Anoniem
Geen enkel os is geheel veilig iOS is ook niet veilig en slaat ook informatie op voor apple. Het is vrijwel onmogelijk tegenwoordig om een waterdicht onkwetsbaar os te maken met al deze bedrijgingen. Als mensen malware willen plaatsen doen ze dat wel ze vinden altijd manieren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.