Groot privacylek in 75% Android-toestellen ontdekt
Een lek dat in 75% van de Android-toestellen aanwezig is is een grote privacyramp, zo waarschuwt een beveiligingsexpert. Via de kwetsbaarheid kan een kwaadaardige site de inhoud van andere geopende websites bekijken. De aanvaller kan zo bijvoorbeeld webmaildata uitlezen en zien wat de browser ziet.
Ook is het mogelijk om het sessiecookie van de aangevallen gebruiker te stelen, waardoor de aanvaller de sessie volledig kan overnemen en in naam van het slachtoffer bijvoorbeeld e-mails kan lezen en versturen. De kwetsbaarheid bevindt zich in de Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging omzeild kan worden.
Privacyramp
"Dit is een privacyramp. De Same-Origin Policy is de hoeksteen van webprivacy en is belangrijk onderdeel voor browserbeveiliging", zegt Todd Beardsley van beveiligingsbedrijf Rapid7. Het lek was ontdekt door beveiligingsonderzoeker Rafay Baloch, die de kwetsbaarheid op 1 september via zijn blog openbaar maakte. Toen Baloch de kwetsbaarheid rapporteerde kreeg hij geen enkele reactie van Google.
De kwetsbaarheid is aanwezig in alle Android-versies voor Android 4.4. Dat houdt in dat 75% van de Android-toestellen risico loopt. Er is inmiddels een module voor de hackertool Metasploit verschenen waardoor het mogelijk is om van het lek misbruik te maken. Metasploit is een tool voor hackers, security professionals en penetratietesters om de veiligheid van systemen en netwerken te testen. Later deze week zal Beardsley een videodemonstratie van de kwetsbaarheid online zetten.
#1 je leverancier had al op 4.4.x moeten zitten
#2 je gsm had genoeg resources moeten hebben bij aanschaf voor 4.4
Wat hebben we geleerd?
640kb is not enough.
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.
#1 je leverancier had al op 4.4.x moeten zitten
#2 je gsm had genoeg resources moeten hebben bij aanschaf voor 4.4
Wat hebben we geleerd?
640kb is not enough.
Klacht indienen bij het ACM tegen de provider die de telefoon heeft geleverd. Vooral als de leverancier je een telefoon verkoopt die bij levering al niet de laatste versie heeft. Hij levert bewust een onveilig apparaat.
Er zijn al een aantal van die klachten ingediend. Als het echter niet structureel gebeurt, doet ACM er niets aan. Pas bij een redelijk aantal (dat aantal is me niet verteld) gaan ze stappen ondernemen tegen de leveranciers.
Peter
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.
Misschien dan maar stellen: inderdaad ander toestel kopen EN NIET MEER VAN DIT MERK. Waarbij een toestel dat aangepast is door jouw provider betekent: NIET MEER VAN DEZE PROVIDER.
Ieder bedrijf dat updates onmogelijk maakt en dus geen oplossingen voor dit soort problemen biedt, hoort van de markt te verdwijnen of zich aan te passen. En gebruikers stemmen met hun portemonnee, dus niet kopen is: leren of verdwijnen.
in dat geval zou je haast zeggen,dan maar een apple, die updaten nog enig sinds, of het toestel moet al echt outdated zijn.
een iPhone, je kan elke paar maanden een nieuwe Android of WP kopen voor hetzelfde geld...
Prijs/kwaliteit ratio is alang naar de vaantjes bij Apple. Nu telt enkel de winst nog voor de aandeelhouders, en die moet maximaal zijn.
Mee dan voldoende, zo blijkt.
Leer er mee leven en bekijk geen gevoelige data via de browser. En maak vaak de cashe/cookies/history leeg.
De windows phone crowd laat natuurlijk ook weer van zich horen. Voor die speelt dat punt niet zo veel omdat er voor windows phone toch nauwelijks iets uitkomt. En blijkbaar hebben die hun lesje bij de overgang WP7 - 8 niet geleerd. Geeft niet, als windows phone 9 uitkomt krijgen ze nog zo'n les.
Maar ja wat de verbeteringen zijn,kan ik niet achterhalan.
Mee dan voldoende, zo blijkt.
geweldig,hier hou ik van!
Mee dan voldoende, zo blijkt.
- Iedere smartphone = privacy-lek (da's namelijk de bedoeling...)
- smartphone insinueert dumbuser...
Maar lekker met z'n allen op een schermpje blijven kijken, wordt vanzelf een bril die meekijkt (Google Glass bijvoorbeeld) om uit te komen op een chip in je hoofd. Duurt nog even, maar dan heb je wat...
Ik zelf heb een Samsung Galaxy S3 van nog net geen twee jaar oud, die geen updates meer krijgt sinds v 4.3. Ik ben er zelf mee aan de slag gegaan en hij draaid nu keurig op Caynogenmod M9 met Android Kitkat 4.4.4. Maar dat is natuurlijk niet voor iedereen weggelegd. ;)
Yup, en ondertussen worden je privé gegevens gewoon door Google, of andere 'legitieme' bedrijven gekopieerd dus is privacy ook daar ver te zoeken. De vele updates zullen, naast security fixes, ook zaken als nieuwe tracking technieken bevatte zonder dat je dit in de gaten hebt. Hoe je het ook went of keert, indien privacy je lief is, gebruik geen smartphone want daarbij ben jezelf het product. Met een dumbphone kun je niet zoveel maar kunnen bedrijven in ieder geval niet je persoonlijke data uitlezen. Of root je smartphone, installeer een vuurmuur (Android Firewall), een privacy too (App Ops)l en een goede virusscanner en flikker alles van Google, Facebook of Twitter er direct af. Helaas heb je dan geen appstore meer en kun je geen Google apps meer gebruiken meer maar apps zijn ook buiten de stores om te krijgen. Een android apk file is gewoon een zipflie welke je kunt uitpakken met o.a. 7-zip en vervolgens kan laten scannen op malware, indien je scanner de apk's als 1 enkel file ziet. Of je upload het apk file naar Jotti en/of VirusTotal, dan weet je direct of deze malware bevat of niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Officer
Wij zoeken een security officer met uitstekend gevoel voor dataveiligheid binnen een organisatie en in relatie met onze klanten en leveranciers. Heb jij informatiebeveiliging hoog in het vaandel? Weet je kennis over te brengen en bewustwording te creëren? Solliciteer en wees welkom in ons team!
