"Malwareschrijvers omzeilen nieuwe beveiligingsmaatregel Android 13"
De nieuwste versie van het Android-besturingssysteem moet nog verschijnen, maar malwareschrijvers zijn er al in geslaagd om een nieuwe beveiligingsmaatregel van Android 13 te omzeilen, zo beweert securitybedrijf ThreatFabric. De afgelopen jaren maakte veel Android-malware gebruik van de Accessibility Service permissie om gegevens van gebruikers te stelen. Securitybedrijf Security Research Labs sprak vorig jaar zelfs van een "pandemie" van Android-malware die misbruik van de Accessibility Service maakt.
De service is bedoeld voor mensen met een visuele beperking, maar biedt malwareschrijvers de mogelijkheid om een overlay boven een andere app te tonen, om zo ingevoerde inloggegeven te stelen. Daarnaast is de service als keylogger te gebruiken. Om misbruik van de service tegen te gaan is Android 13 voorzien van een nieuwe securityfeature. Die moet het lastiger voor malware maken om de betreffende permissie aan gebruikers te vragen.
Malwareschrijvers hebben echter een manier gevonden om deze feature te omzeilen, aldus ThreatFabric. Android 13 is voorzien van een "restricted setting". Daardoor kunnen apps die via sideloading zijn geïnstalleerd de Accessibility Service permissie niet vragen. Deze beperking is echter te omzeilen door middel van een session-gebaseerde installatie. Hierbij worden de packages van de app in kleinere delen opgedeeld en voorzien van identieke namen en certificaten. Android zal de installatie niet als sideloading beschouwen waardoor de beperking niet van toepassing is.
De onderzoekers van ThreatFabric hebben Android-malware ontdekt waarin deze bypass deels aanwezig was. Het is dan ook de verwachting dat malwareschrijvers de bypass verder zullen doorontwikkelen en gebruiken voor de installatie van banking trojans. Daarmee is "on-device" fraude te plegen, waarbij aanvallers vanaf het besmette toestel geld van de bankrekening van het slachtoffer kunnen overmaken.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Dit was ook het geval met de nieuwste iOS, die was ook zo lek als een mandje door malware makers.
iOS 16 beweren ze met lockdown mode dit te bevechten, maar ik ga er donkerbruin vanuit dat dit binnen luttele tijd ook omzeilt zal worden, of zelfs onmogelijk wordt gemaakt door malware om dit überhaupt te activeren.
Developers van malware zijn zeer goed in bedenken hoe beveiliging systemen te verprutsen.
Naja, mooi dat het nu al bekend is dat dit omzeilt wordt, de vraag nu is hoe ze dit doen, zodat Google daar weer een patch tegenaan kan gooien. Beter nu dan later.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Sommige banken als ING verplichten het de bankapp te gebruiken als een soort extra beveiliging. Zonder app kan ik geen bankzaken doen bij de ING. We worden ergens in gedwongen ondanks het systeem niet veilig is?
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Sommige banken als ING verplichten het de bankapp te gebruiken als een soort extra beveiliging. Zonder app kan ik geen bankzaken doen bij de ING. We worden ergens in gedwongen ondanks het systeem niet veilig is?
Als je zonder iDEAL en zonder (ING) creditcard kunt , kun je bij de ING puur op papier bankieren .
Verder heeft de ING (met enig gezeur) ook een authenticator device wat in plaats van de app als authenticatie kan dienen .
Verder is een telefoon gewoon een veiliger platform dan iedere reguliere desktop .
Ben je erg paranoide neem je een dedicated telefoon die je voor niks anders dan je bank (auihenticatie) gebruikt en thuis in de kluis legt.
'Mijn ING' is voor particulieren nog steeds via de desktop te gebruiken met de gebruikersnaam, het wachtwoord plus de ING scanner (met een vijf-cijferige PIN-code). Men kan de ING app via de Mijn ING website uitschakelen. Daarna kan men de ING scanner weer gebruiken om betalingen als vanouds te accorderen. Of dat verstandiger is, is vers twee.
https://www.ing.nl/particulier/digitaal-bankieren/internetbankieren/beginnen/scanner/index.html
Aanbevolen wordt op de Mijn ING website op een goed beveiligde en alleen daarvoor gereserveerde laptop te gebruiken.
https://www.security.nl/posting/764980/Apple+verhelpt+actief+aangevallen+zerodaylekken+in+iOS+en+macOS
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
