5 jaar oud Androidlek onthult sms- en belgeschiedenis
Een beveiligingslek in Android dat al 5 jaar bestaat maakt het mogelijk voor aanvallers om de sms- en belgeschiedenis te achterhalen. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye vandaag. Het lek bevindt zich in software van Qualcomm en zou op mogelijk honderden modellen aanwezig zijn.
De kwetsbaarheid werd in 2011 door Qualcomm geïntroduceerd en raakt Android Jellybean (4.3), Kitkat (4.4) en Lollipop (5.0). Om het beveiligingslek uit te buiten zijn er twee mogelijke manieren. Een aanvaller heeft fysiek toegang tot een ontgrendelde Androidtelefoon of de gebruiker installeert een kwaadaardige app. Daarbij zou de app waarschijnlijk niet door Google Play als kwaadaardig worden bestempeld, aldus FireEye.
De app kan vervolgens de databases op de telefoon met sms- en belgeschiedenis uitlezen. Qualcomm heeft het probleem inmiddels gepatcht en begin maart alle fabrikanten gewaarschuwd die van de kwetsbare code gebruikmaken. Wanneer deze partijen met een update uitkomen is onbekend. Volgens FireEye zullen veel toestellen waarschijnlijk nooit een beveiligingsupdate ontvangen.
Wow......
How would an attacker exploit this vulnerability?
There are two ways to exploit this vulnerability, though this does not account for a determined attacker who possesses additional vulnerabilities. The first is to have physical access to an unlocked device, and the second is to have a user install a malicious application on the device.
Wow......
Google moet zoiets natuurlijk voorkomen het is hun fout. Beetje onzinnig, ik weet het. Maar als het om MS gaat vallen ze over elkaar heen om zoiets te roepen.
Wow......
Inderdaad..... Als een aanvaller fysiek toegang heeft tot een telefoon, over wat voor beveiligings issue hebben we het dan?
Menu -> SMS berichten -> Verzonden / ontvangen
Menu -> Bellen -> Geschiedenis
Ik zou Hart van Nederland maar bellen: "Nieuw security lek ontdekt!!!! Iemand die je telefoon vast heeft kan je SMS berichten en bel geschiedenis inzien" -_-
Voor wat betreft het inzien van de data door zogenaamde ' malifide apps":
Mensen (lees: schapen) kijken toch niet naar welke rechten een APP vraagt als ze die instaleren. Heel veel apps hebben al toestemming tot je belgeschiedenis enz enz
How would an attacker exploit this vulnerability?
There are two ways to exploit this vulnerability, though this does not account for a determined attacker who possesses additional vulnerabilities. The first is to have physical access to an unlocked device, and the second is to have a user install a malicious application on the device.[/quote]
Misschien heb je het niet goed gelezen, maar de Redactie schrijft: "Om het beveiligingslek uit te buiten zijn er twee mogelijke manieren. Een aanvaller heeft fysiek toegang tot een ontgrendelde Androidtelefoon of de gebruiker installeert een kwaadaardige app."
Dat lijkt me toch een volledige vertaling. Ja dat er niet vermeld wordt dat een 'determined attacker who possesses additional vulnerabilities' niet wordt vermeld lijkt me duidelijk. Dat is zo'n dood doener. Elk lek kan door een determined attack met additional lekken worden gebriukt.
Wow......
Inderdaad..... Als een aanvaller fysiek toegang heeft tot een telefoon, over wat voor beveiligings issue hebben we het dan?
Menu -> SMS berichten -> Verzonden / ontvangen
Menu -> Bellen -> Geschiedenis
Ik zou Hart van Nederland maar bellen: "Nieuw security lek ontdekt!!!! Iemand die je telefoon vast heeft kan je SMS berichten en bel geschiedenis inzien" -_-
Voor wat betreft het inzien van de data door zogenaamde ' malifide apps":
Mensen (lees: schapen) kijken toch niet naar welke rechten een APP vraagt als ze die instaleren. Heel veel apps hebben al toestemming tot je belgeschiedenis enz enz
Het is een kleine aanname, maar de vertaling van 'unlocked' device is niet helemaal goed gegaan. In dit geval gaat het om een 'unlocked' bootloader van een device, zodat je met adb/fastboot 'ongelimiteerde' toegang hebt. Het gaat in dit geval dus niet om een ontgrendeld telefoon vanuit een gebruikersperspectief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.