Google Play-lek maakt automatische installatie apps mogelijk
Een kwetsbaarheid in de Google Play Store maakt het voor kwaadwillenden mogelijk om op afstand automatisch apps uit de store op de toestellen van Androidgebruikers te installeren. Het probleem wordt veroorzaakt doordat het Google Play-domein geen X-Frame-Options (XFO) ondersteunt.
Een kwaadaardige gebruiker kan vervolgens via Cross-Site Scripting (XSS) in een bepaald deel van de Google Play webapplicatie, of via Universal XSS (UXSS), op afstand een willekeurige app uit Google Play installeren en starten. Volgens Todd Beardsley van beveiligingsbedrijf Rapid7 worden veel versies van Android 4.3 (Jelly bean) en eerder met browsers geleverd die kwetsbaar voor UXSS zijn.
Daarnaast is er de mogelijkheid dat gebruikers zelf een kwetsbare browsers hebben geïnstalleerd. Gebruikers die zich tegen het probleem willen beschermen krijgen dan ook het advies een browser te gebruiken waar niet regelmatig UXSS-kwetsbaarheden in worden aangetroffen, zoals Google Chrome, Mozilla Firefox of de Dolphin Browser. Een andere oplossing is niet ingelogd te zijn op een Google-account tijdens het surfen.
Aanval
Het probleem werd op 12 december vorig jaar aan Google gerapporteerd. Er wordt echter geen melding gemaakt of de kwetsbaarheid ook is verholpen. Rapid7 heeft wel een module voor Metasploit gemaakt om de kwetsbaarheid te demonstreren. Metasploit is een framework voor het testen van de veiligheid van systemen. De nu verschenen module combineert twee kwetsbaarheden om willekeurige code op Androidtoestellen uit te voeren.
Eerst maakt de module gebruik van een UXSS-lek in de standaard Androidbrowser, alsmede verschillende andere browsers, op Android 4.3 en ouder. Daarnaast handhaaft de Google Play webinterface geen X-Frame-Options en is daardoor kwetsbaar voor scriptinjectie. Het eindresultaat is het op afstand uitvoeren van code via Google Play's feature om op afstand apps te installeren. Een aanvaller kan zodoende elke willekeurige op in de Play-store installeren en starten.
Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.
Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.
Precies mijn probleem met Android. Maar dit is pas het eerste deel van dat probleem. Het andere deel is, dat bedrijven telefoons en tablets met een (te) oude versie van Android verkopen tegen dumpingprijzen. Mensen die minder geld hebben en toch iet willen hebben trappen daar in en leveren zichzelf (door gebrek aan kennis) over aan de goden. Die mensen kun je het eigenlijk niet kwalijk nemen, want niet iedereen kan dit snappen. Maar het is wel een fout van Google. Ze hadden de fabrikanten van apparatuur duidelijke voorwaarden moeten opleggen, dat ze tot 4 jaar na verkoop van een artikel nog in staat moeten zijn om het te updaten EN dit ook te doen.
Maar ja, dan worden de toestellen ineens een stuk duurder, vrees ik.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.
Nee, Google had Android zo moeten maken dat deze altijd updates kon krijgen wie de fabrikant ook was. Dan was dit gezeik nooit ontstaan.
En hoe zie je dat voor je? De basis is altijd beschikbaar, altijd al geweest ook. Het is aan de fabrikant om over die update hun eigen skin en hardware-ondersteuning heen te plakken, en daar gaat juist de tijd in zitten. Dat kun je Google niet aanrekenen.
Dat is hetzelfde als Dell/HP/... verantwoordelijk maken voor het uitrollen van windows patches.
Google zou verantwoordelijk moeten zijn voor de uitrol van patches voor het OS.
De fabrikanten zouden alleen verantwoordelijk moeten zijn voor drivers.
Nooit begrepen waarom dit model niet door google gebruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.