image

Android-toestellen kwetsbaar voor RAMpage-aanval

vrijdag 29 juni 2018, 10:50 door Redactie, 15 reacties

Nagenoeg alle Android-toestellen die sinds 2012 zijn uitgekomen zijn kwetsbaar voor een nieuwe aanval genaamd RAMpage (pdf). De aanval is gebaseerd op de bekende Rowhammer-aanval en zorgt ervoor dat een kwaadaardige app zonder permissies volledige controle over het toestel kan krijgen.

De RAMpage-exploit kan het ION-geheugensubsysteem van Android gebruiken om herhaaldelijk de staat van een rij met geheugenbits te veranderen tot er bits in de nabijgelegen rij worden veranderd. Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's. "RAMpage breekt de fundamentele scheiding tussen gebruikersapplicaties en het besturingssysteem. Via de aanval kan een app volledige controle over het toestel krijgen", aldus de onderzoekers, die onder andere van de Vrije Universiteit Amsterdam afkomstig zijn.

Android-toestellen die over LPDDR2-, LPDDR3- of LPDDR4-geheugen beschikken lopen risico. Het gaat hier om nagenoeg alle Android-toestellen sinds 2012. Volgens de onderzoekers is het niet veilig om met gevoelige informatie te werken op Android-toestellen met dit geheugen en een ongepatcht besturingssysteem. Op dit moment zijn er echter nog geen updates beschikbaar die tegen RAMpage moeten beschermen.

Wel zijn de onderzoekers in overleg met Google en hebben ze een gratis app gemaakt genaamd Guardion die bescherming biedt. Het is nog onduidelijk of besturingssystemen voor de desktop ook kwetsbaar voor RAMpage zijn, maar dit is volgens de onderzoekers zeer waarschijnlijk.

Reacties (15)
29-06-2018, 11:49 door Anoniem
Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's..
Hoe kunnen banken beweren dat bankieren via de smartphone zo veilig is als dat blijkbaar niet zo is, dit geld niet voor
iedere smartphone.
29-06-2018, 12:03 door Anoniem
Volgens de onderzoekers is het niet veilig om met gevoelige informatie te werken op Android-toestellen met dit geheugen en een ongepatcht besturingssysteem.

Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS
29-06-2018, 13:18 door Anoniem
Download de test-app en test het zelf zou ik zeggen. Via https://rampageattack.com/ of direct https://vvdveen.com/drammer.apk

Mij Galaxy S7 doorstaat de test op de meest agressieve test-setting en blijft naar bit-flips zoeken.
Mijn Galaxy S8+ echter reboot tijdens het uitvoeren v/d test. Wellicht een beveiliging tegen het overnemen van je telefoon.
29-06-2018, 15:07 door Anoniem
Door Anoniem:
Volgens de onderzoekers is het niet veilig om met gevoelige informatie te werken op Android-toestellen met dit geheugen en een ongepatcht besturingssysteem.

Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS

zucht een hoop geblaat terwijl je blijkbaar niet eens weet waar je het over hebt.

"omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten"

zal het kort houden
Google brengt netjes veiligheidsupdates uit voor android.
Het update probleem zit hem bij de fabrikanten van de toestellen en niet bij Google.
29-06-2018, 15:22 door Anoniem
Door Anoniem:
Door Anoniem:
Volgens de onderzoekers is het niet veilig om met gevoelige informatie te werken op Android-toestellen met dit geheugen en een ongepatcht besturingssysteem.

Dat zijn dus alle 2 miljard Android apparaten. En raad eens, 1,9 miljard zullen de benodigde beveiligingsupdate nooit krijgen omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten. Want mensen zullen dat weer eerder een nieuw Android apparaat kopen in plaats van na te denken en voor een besturingssysteem te kiezen dat wel updates krijgt, zoals Windows of iOS/macOS

zucht een hoop geblaat terwijl je blijkbaar niet eens weet waar je het over hebt.

"omdat Google geen ene f*** over je privacy en veiligheid geeft om ooit eens wat updates uit te rollen voor de kwetsbare apparaten"

zal het kort houden
Google brengt netjes veiligheidsupdates uit voor android.
Het update probleem zit hem bij de fabrikanten van de toestellen en niet bij Google.

Juist en daarom moeten we dus van die branded zooi af en terug naar origineel android,
ik snap zowieso toch niet waarom elke fabriekant z'n eigen zooi in een foon wil dauwe...
29-06-2018, 15:36 door Anoniem
Zoals te doen gebruikelijk moet je een "foute" app installeren om van deze exploit gebruik te kunnen maken.
Alleen schijnen die er nog niet te zijn volgens de PDF, hoewel natuurlijk dit "onderzoek" wel mensen op de gedachte brengt.
29-06-2018, 16:00 door Anoniem
Door Anoniem: ik snap zowieso toch niet waarom elke fabriekant z'n eigen zooi in een foon wil dauwe...

Inkomsten (bv betaald krijgen om bloatware mee te leveren), naamsbekendheid (branding), etc.

De oorspronkelijke fout ligt bij Google die (heel lang) heeft na gelaten om het core-OS te scheiden van de schil waar fabrikanten mee mogen spelen. dan had Google zelf het core-OS gepatcht kunnen houden ipv dit over te laten aan ongeinteresseerde fabrikanten. Voor fabrikanten zijn het alleen maar extra kosten. Er zit geen verdien-model in.
29-06-2018, 16:53 door Anoniem
Er is geen enkele reden om te veronderstellen dat deze aanval beperkt is tot Android, of zelfs tot telefoons.

Juich dus niet te hard als je een iPhone hebt. Juich zelfs niet als je op een desktop computer werkt.

Daarnaast: de praktische uitvoerbaarheid kon nog wel eens een probleem blijken te zijn...
30-06-2018, 00:23 door Anoniem
Wie verkoopt al die technologie en kennis aan Mainland China "just for the money"...for a bunch of shekel.
Daar ligt de ene kant van het probleem, terwijl de patch coders hun stinkende best doen
ten behoeve van mitigatie aan de andere kant. Een droevig verhaal eigenlijk.

Jodocus Oyevaer
30-06-2018, 05:42 door Anoniem
Even los van het feit dat bijvoorbeeld het hebben van dure apple producten je veel eerder berooft word. Of dat de gemiddelde iOS user vele malen gevieliger is voor social engineering attacks. En dan ben ik nog niet eens flauw bezig als bovenstaande poster.
30-06-2018, 12:04 door Anoniem
@ anoniem van heden 05:42

Waarom is men "flauw bezig" als men de waarheid vertelt
of kan je het door mij genoemde feit "debunken".

Ik gun die Israëlische entrepreneurs hun inkomsten overigens zeker,
terwijl ze zich ook wel zullen moeten houden aan hun eigen export restricties, vermoed ik.

Uiteindelijk is de distributeur van de software verantwoordelijk voor de veiligheid ervan
en kan Google ons niet overal voor behoeden (rowhammer en DRAMMER bij voorbeeld).

Trouwens ze willen het nog niet patchen vanwege de impact die ze claimen,
alhoewel ik vermoed dat het weer over hun kern business gaat,
die ze natuurlijk niet door "(onnodige) patches" in de weg willen zitten,
hetgeen begrijpelijk is ook.

Kijk naar een bescherming-appje als GuardION bijvoorbeeld:

cd ~
git clone https://android.googlesource.com/kernel/msm
cd msm
git checkout -b android-msm-marlin-3.18-nougat-mr1 origin/android-msm-marlin-3.18-nougat-mr1

export CROSS_COMPILE=/opt/android-ndk-r11c/sysroot-arm64/bin/aarch64-linux-android-
export ARCH=arm64

make marlin_defconfig
make -j6
cd ~/msm
cp /path/to/guardion/ion/isolation.patch .
cp /path/to/guardion/bitmap/bitmap.patch .
git apply -v isolation.patch
make -j6

Denk niet dat deze dreiging alleen uitgaat naar android en niet voor andere devices geldt,
zoals uw desktop etc. De problemen zijn dus veel generieker dan men weleens aanneemt.
of zoals ze gepresenteerd worden.

Jodocus Oyevaer
30-06-2018, 13:01 door Anoniem
Door Anoniem:
Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's..
Hoe kunnen banken beweren dat bankieren via de smartphone zo veilig is als dat blijkbaar niet zo is, dit geld niet voor
iedere smartphone.

Dat is kort door de bocht. Elk systeem dat door mensenhanden is gemaakt kent risico's. PC's en laptops zijn daarbij gevaarlijker dan een gesloten systeem als Android of IOS.
30-06-2018, 19:01 door Anoniem
Dat is kort door de bocht. Elk systeem dat door mensenhanden is gemaakt kent risico's. PC's en laptops zijn daarbij gevaarlijker dan een gesloten systeem als Android of IOS.
Ik stel het zo, ieder systeem dat door mensen handen is gemaakt heeft fouten dus nooit beweren dat het veilig is.
30-06-2018, 23:14 door Anoniem
Door Anoniem:
Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's..
Hoe kunnen banken beweren dat bankieren via de smartphone zo veilig is als dat blijkbaar niet zo is, dit geld niet voor
iedere smartphone.

Omdat de ' mobiele' bankieren applicaties veel meer beveiligingsmaatregelen ('defence-in-depth' ) hebben dan web-based internet-bankieren. Daarom is het veiliger. Als je een onveilig/kwetsbaar apparaat gebruikt, is ELKE applicatie/website/toepassing kwetsbaar. En Rowhammer type aanvallen zijn ook mogelijk op niet-mobiele computersystemen, RAMpage is gewoon een mobiel-specifieke variant ervan. Maar om je gerust te stellen; vrijwel elke desktop CPU is momenteel kwetsbaar voor Spectre/Meltdown varianten met dezelfde impact; en de hele wereld gebruikt ze toch nog gewoon; 'calculated risk' heet dat; we zijn nog niet vergaan. Terwijl dat lek niet in software te patchen is; RAMpage wel ...
01-07-2018, 09:44 door Anoniem
Door Anoniem:
Op deze manier kan een app toegang tot data van andere apps krijgen, zoals wachtwoorden, documenten en foto's..
Hoe kunnen banken beweren dat bankieren via de smartphone zo veilig is als dat blijkbaar niet zo is, dit geld niet voor
iedere smartphone.
Tot op heden is dat voor mij ook nog steeds een grote vraag. Alleen als ze expliciet oude Android versies toestaan dan durf ik dat eventueel wel aan. Zij moeten voldoende statistieken hebben over geslaagde aanvallen op oude Android systemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.