image

Miljoenen Androidtoestellen via jpeg-plaatje te hacken

donderdag 8 september 2016, 12:05 door Redactie, 12 reacties

De beveiligingsupdates die Google deze week voor Android uitrolde blijken ook een ernstig lek te verhelpen waardoor het mogelijk is om via een kwaadaardig jpeg-plaatje toestellen aan te vallen. Een aanvaller hoeft de afbeelding alleen naar een slachtoffer te versturen, verdere interactie is niet vereist.

Het probleem wordt veroorzaakt door een softwarebibliotheek die Exif-data van jpeg-afbeeldingen probeert uit te lezen. Exif is de standaard voor het opslaan van metadata in foto's. De kwetsbaarheid werd door onderzoeker Tim Strazzere van beveiligingsbedrijf SentinelOne ontdekt. De onderzoeker testte zijn aanval met Gmail en Gchat, maar ook andere apps die de kwetsbare bibliotheek aanroepen lopen risico.

Zodra een gebruiker bijvoorbeeld een e-mail met de afbeelding opent, waarbij het niet nodig is om op de afbeelding te klikken of de bijlage te openen, wordt de kwaadaardige code in het jpeg-bestand automatisch uitgevoerd. Een aanvaller kan vervolgens willekeurige code op het toestel uitvoeren. De aanval kan echter ook via web-apps worden uitgevoerd, waarbij een gebruiker een kwaadaardig jpeg-bestand als profielfoto of avatar zou uploaden.

Bij sommige van de aanvalspogingen bleek Strazzere de toestellen die hij gebruikte te "bricken", zodat het besturingssysteem opnieuw geïnstalleerd moest worden. Ook kwam het voor dat de telefoons zichzelf eindeloos bleven herstarten, zo melden Forbes en ThreatPost. Hoewel Google updates voor het probleem heeft uitgebracht blijft het de vraag of alle kwetsbare Androidtoestellen die ook zullen ontvangen.

Reacties (12)
08-09-2016, 13:18 door Happy Linux User
Het digitale tijdperk wordt steeds complexer en moeilijker. Tevens wordt het steeds minder leuk om daar in te zitten met al die criminelen.
Zo jammer, dat we niet normaal kunnen leven met z'n allen. Wat gaat er mis in de wereld?

Vragen, vragen.......
08-09-2016, 14:21 door Anoniem
Maar als ik het goed begrijp moeten eigenaren van andere toestellen dan Nexus, wachten tot de fabrikant de updates doorvoert op de toestellen?
Dat kan dus maanden duren, en al die tijd is mijn toestel te hacken middels een simpele jpeg!?
08-09-2016, 14:44 door [Account Verwijderd]
[Verwijderd]
08-09-2016, 15:19 door Anoniem
Het probleem is hier dat de meeste android builds op allerlei manieren worden aangepast en dat er dus aanzienlijke test procedures zijn in de gelaagde wijze waarop de android software wordt gedistribueerd. Hierdoor is een Apple toestel die een dergelijke organisatie van het delivery model omtrent de software die op een telefoon draait beter beheersbaar. Wel vormen verschillende kwetsbaarheden hierdoor een veel bredere bedreiging wederom in het apple phone landschap. Daartegenover staat dat ook de fabrikanten en network operators best hun eigen broek mogen ophouden met tijdelijke patches om dergelijke aanvallen tegen te houden. Een idee zou kunnen zijn dat een mobiele telefoon een NG firewall krijgt die deep packet inspection kan doen en dergelijke aanvallen dus kan uitfilteren voordat deze de kernel of kwetsbare libraries kan raken. Iets wat commercieel gezien eigenlijk ook een primaire verantwoordelijkheid is van de verkopende partij als ze eens zouden willen laten zien dat ze zich serieus zorgen maken over security. Wederom aan de politici om eens wat wetgeving te bakken waarbij dergelijke maatregelen voor tablets, smart phones en IoT device (hubs) bijvoorbeeld vereist worden om kwetsbaarheden die kunnen leiden tot fysieke schade aan personen te beperken. Denk aan instellingen die via remote management kunnen resulteren in brand, vergiftiging, etc... Zie hiervoor ook de recente artikelen van bijvoorbeeld Bruce Schneier...

https://www.schneier.com/blog/archives/2016/07/real-world_secu.html

Waarbij de essentie is dat er eerst alleen wat data kon verdwijnen maar nu de fysieke manifestaties van security risico's een steeds realistischer scenario beginnen te worden. Zie verder het artikel...

My two cents...
08-09-2016, 15:52 door Tubamaniak
En ik wordt nu steeds blijer dat ik nog steeds met een Nokia 6310i werk. Die is naar mijn idee 100 % ongevoelig voor al dit soort van ellende. (ik gebruik natuurlijk ook geen bluetooth op dat toestel)

Als het gebruikersgemak goed was doorgeëvolueerd en de security goed op orde was geweest, was ik allang overgeschakeld op iets moderns. Sterker, 20 jaar geleden liep ik ruim vóór met alle gadgets.
Wie kent ze nog, palm pilot V in titanium behuizing, Nokia 55xx, 63xx + bedrade carkits ? Infrarood ogen ?
Compaq had vroeger laptops met standaard infrarood aan boord. Ideaal, kon ik alle apparaten veilig met elkaar laten communiceren, zonder last te hebben van externe indringers....
De carkit voorzag in een externe antenne én oplaadfunctie voor de telefoon. Eén keer geconnect kon/kan je bellen tot de benzinetank en de auto accu leeg zijn. En dat is laaaaaang.

Wie heeft meer dit soort ervaringen ?
08-09-2016, 16:19 door Anoniem
Door Tubamaniak: En ik wordt nu steeds blijer dat ik nog steeds met een Nokia 6310i werk. Die is naar mijn idee 100 % ongevoelig voor al dit soort van ellende. (ik gebruik natuurlijk ook geen bluetooth op dat toestel)

Als het gebruikersgemak goed was doorgeëvolueerd en de security goed op orde was geweest, was ik allang overgeschakeld op iets moderns. Sterker, 20 jaar geleden liep ik ruim vóór met alle gadgets.
Wie kent ze nog, palm pilot V in titanium behuizing, Nokia 55xx, 63xx + bedrade carkits ? Infrarood ogen ?
Compaq had vroeger laptops met standaard infrarood aan boord. Ideaal, kon ik alle apparaten veilig met elkaar laten communiceren, zonder last te hebben van externe indringers....
De carkit voorzag in een externe antenne én oplaadfunctie voor de telefoon. Eén keer geconnect kon/kan je bellen tot de benzinetank en de auto accu leeg zijn. En dat is laaaaaang.

Wie heeft meer dit soort ervaringen ?

3310... 3 weken standby, 1 week actief.
08-09-2016, 17:16 door Anoniem
Ehh, ja. En wat als de fabrikant van je 'goedkope' androïd toestel geen ondersteuning meer biedt, omdat het budget toestel meer dan een half jaar geleden uitkwam ?
08-09-2016, 17:55 door Anoniem
Door Anoniem: Ehh, ja. En wat als de fabrikant van je 'goedkope' androïd toestel geen ondersteuning meer biedt, omdat het budget toestel meer dan een half jaar geleden uitkwam ?
Dan ga je naar de winkel om de aankoop ongedaan te maken.
08-09-2016, 20:29 door [Account Verwijderd]
[Verwijderd]
08-09-2016, 20:39 door Anoniem
Door Hyper: Het wordt tijd dat Google eens met een universele LiveUpdate functie komt die niet afhankelijk is van de fabrikant van het toestel. Mijn Huawei krijgt bijvoorbeeld al enkele jaren geen updates meer.

Dat willen de fabrikanten niet. Volgende keer een toestel kopen waarop cyanogenmod geinstalleerd kan worden.
09-09-2016, 08:12 door Anoniem
Door Anoniem:
Door Anoniem: Ehh, ja. En wat als de fabrikant van je 'goedkope' androïd toestel geen ondersteuning meer biedt, omdat het budget toestel meer dan een half jaar geleden uitkwam ?
Dan ga je naar de winkel om de aankoop ongedaan te maken.

Haha! Op basis waarvan? Is een toestel ondeugdelijk als er na een half jaar geen update (meer) voor uitkomt?

Mijn idee is dat je dat ten tijde van de koop ook al had kunnen weten (dat betreffende fabrikant laat of geen updates uitbrengt) als je van te voren ook maar iets aan vooronderzoek had gedaan. Dan had je dat toestel dus niet moeten kopen.

Echt, de wereld gaat kapot doordat iedereen de verantwoordelijkheid voor z'n problemen afschuift op anderen en zonder nadenken als een zombie achter de meute aanloopt. Als het vervolgens ergens mis gaat verongelijkt schreeuwen en naar anderen wijzen. Man man man........
09-09-2016, 12:11 door Anoniem
Wie heeft meer dit soort ervaringen ?
Ik niet. Alle toestellen die jij noemt maken onder water gebruik van het SS7 protocol tussen providers. Daar vind geen enkele authenticatie of autorisatie op plaats. Aftappen van gesprekken en SMS verkeer is al meerdere malen aangetoond en er zijn al commerciele diensten die verkeer kunnen onderscheppen of de locatie van toestellen kunnen tonen, puur op basis van onderschept SS7 verkeer.

Smartphones met apps als WhatsApp, Telegram, iMessage, FaceTime enz gebruiken allemaal end-to-end encryptie. Dan maakt het niet meer uit hoe onveilig het onderliggende transport protocol is, de gegevens zelf zijn immers al gecrypt.

Daarom hoorde je de geheime diensten ook nooit klagen in de jaren '90 - '00, terwijl ze nu constant 'een volwassen gesprek willen over encryptie'. Oftewel: de huidige encryptie is zo goed dat ze er weinig meer mee kunnen. Dát is het bewijs dat we op de goede weg zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.