Ernstig lek in alle Android-telefoons onthuld
Er zit een ernstig beveiligingslek in alle Android-telefoons, waardoor aanvallers automatisch malware kunnen installeren als slachtoffers een linkje openen. Morgen zal voormalig McAfee-onderzoeker Dmitri Alperovitch de aanval demonstreren. De kwetsbaarheid die de onderzoeker misbruikt bevindt zich in de Webkit browser-engine. Deze software wordt zowel door Google Chrome als Safari gebruikt. Aangezien de veiligheid van mobiele telefoons ten opzichte van desktop computers beperkt is, is de aanval hier eenvoudiger uit te voeren.
De aanval bestaat uit een sms-bericht met een linkje. Zodra het slachtoffer het linkje opent, wordt een Trojaans paard geïnstalleerd waarmee Alperovitch telefoongesprekken kan afluisteren, maar ook allerlei gegevens kan stelen. "Er is geen beveiligingsmechanisme op de telefoon", aldus Alperovitch tegenover Cnet. "Er is geen app die je bij een beveiligingsaanbieder kan kopen die je hier tegen beschermt. Het fundamentele ontwerp van het besturingssysteem geeft geen enkele app beheerderstoegang tot het apparaat, dus ben je aan de genade van de aanbieder van het besturingssysteem overgeleverd."
Update
Het lek zit zowel in de Webkit-versies op het iPhone- als het Android-platform. De aanval van Alperovitch is echter alleen voor Android-toestellen uitgewerkt. "Ze demonstreren wederom dat mobiele apparaten net computers zijn, die op dezelfde manier zijn aan te vallen", zegt Mac-hacker Charlie Miller. "Een interessant verschil is dat mobiele apparaten niet over beveiligingssoftware beschikken die wel op desktop computers aanwezig is."
Om het beveiligingslek op te lossen, zou een firmware update vereist zijn. Het kan echter weken of maanden duren voordat de verschillende fabrikanten de updates voor hun toestel gereed hebben.
Word beetje moe van dit soort berichten, Apple fanboys maken van dit soort berichten gelijk weer gebruik van als één van hun argumenten zonder te lezen dat het voor beide systemen zijn.
Maar goed dit bewijst maar weer eens dat je niet zomaar linkjes moet aanklikken uit emails en smsjes.
Als het lek in webkit zit, Kan het zich op verschillende manieren manifesteren. Waarschijnlijk zelfs als je op een geprepareerde link op het web klikt.
Een andere browser (met een andere engine) zoals Opera Mini gebruiken zal wellicht nog wat verlichting bieden?
Ik ga Cyanogen goed in de gaten houden. Eens kijken wat ze er daar van vinden en of ze het lek kunnen dichten.
Dat juist andersom. Op een desktop (Windows) computer is men verplicht scanners, blockers en anti-malware tools te installeren omdat desktop computers beperkter beveiligd zijn dan smart phones.
Het installeren van een niet Webkit browser is dus een valide workaround. Dat stelt mij als Opera Mini gebruiker alweer een stuk geruster.
Ik meen dat alternatieve browser engines op iOS niet toegestaan waren, dus dit lek heeft daar in theorie meer impact op de korte termijn. Maar het belabberde patchbeleid van de Android phone bouwers, maakt het voor Android een lange termijn probleem.
Ja, de stock browser van Android (en iOS) is op webkit gebaseerd, maar mijn default browser is Opera Mobile, dus ik heb nergens last van...
Jammer van de titel, neemt niet weg dat het voor 99% van de Android en iPhone gebruikers wel gevaar loopt...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.