Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Add users from lock screen

16-05-2021, 14:40 door Erik van Straten, 15 reacties
Laatst bijgewerkt: 16-05-2021, 15:21
Op (sommige?) Android smartphones kun je meerdere gebruikeraccounts aanmaken, zoals gisteren beschreven door Adrian Kingsley-Hughes in https://www.zdnet.com/article/a-useful-android-privacy-feature-that-most-people-have-never-heard-of/.

In elk geval op (sommige?) OnePlus smartphones, kennelijk afhankelijk van andere instellingen, levert het inschakelen van ondersteuning voor "Multiple users" (meerdere gebruikers) een onverwacht beveiligingsrisico op; in het plaatje op genoemde zdnet pagina met bovenaan "<- Multiple users" staat onderaan:
Add users from lock screen O=
M.a.w. met het schuifje naar links zou het niet mogelijk moeten zijn om, vanaf een locked screen, nieuwe gebruikers toe te kunnen voegen.

Helaas zit er een m.i. ernstige bug in dit systeem, in elk geval op OnePlus smartphones: als de hoofdgebruiker het aanmelden met vingerafdruk heeft aangezet, kun je (en een vreemde die jouw smartphone vindt, een dief, een douanier of een rechercheur), met bovenstaande instellingen, vanaf een standaard [*] locked screen zowel inloggen als guest als een geheel nieuw gebruikersaccount aanmaken - en daar (zonder wachtwoord) mee inloggen.

[*] De bug treedt niet op na de aan/uit knop ingedrukt te houden en voor "Lockdown" te kiezen (dan werkt inloggen met vingerafdruk ook niet meer). De bug treedt bij mij ook niet op als een andere dan de Admin gebruiker als laatste ingelogd is geweest (ongeacht of die non-admin gebruiker een vingerafdruk gebruikt om in te loggen).

Of dit kan zie je door op een locked screen van boven naar beneden te vegen; als je rechtsonderaan de box met "quick settings" een poppetje ziet en daarop drukt, zie je dan (naast poppetjes voor bestaande accounts) ook een grijs poppetje met "Add guest" eronder, en een gekleurde cirkel met een plusteken erin en daaronder "Add user".

Dit is geen onbekende bug, zie o.a. https://forums.oneplus.com/threads/add-users-from-lock-screen-not-working.1072173/ en https://www.reddit.com/r/GooglePixel/comments/czlxsd/android_10_add_users_from_lock_screen_issue/, maar naar verluidt zou deze bug op Google Pixel smartphones zijn verholpen.

Een andere gebruiker kan, als het goed is, niet bij jouw bestanden. Een andere dan de admin gebruiker kan zo te zien geen "developer" worden. Of dat betekent dat dan de smartphone niet geroot kan worden, weet ik niet. Wel kunnen andere gebruikers apps installeren en updaten. Ook zijn zij niet verplicht om een (fatsoenlijk) wachtwoord in te stellen. In elk geval wordt het aanvalsoppervlak enorm vergroot via een ander account.

Aanvullingen: als je een andere gebruiker toestaat te bellen en SMS'en, kan die andere gebruiker al jouw eerder en nog te ontvangen SMS'jes zien, en dus potentieel SMS-2FA misbruiken. Ook kan zo'n andere gebruiker mogelijk zonder wachtwoord te kennen inloggen op jouw account van jouw telecomprovider (zie https://www.security.nl/posting/622467/T-Mobile+autologon+en+eSIM+risico%27s).

Twee punten:
1) Als je "Multiple users" aanzet, wees je dan bewust van de risico's; check of jouw smartphone last heeft van deze bug (of krijgt zodra je een vingerafdruk gaat gebruiken om in te loggen);
2) Zien security.nl bezoekers met andere Android smartphones ook dat nieuwe accounts kunnen worden aangemaakt en/of als guest kan worden ingelogd vanaf het locked screen (als de admingebruiker de vingerafdrukscanner gebruikt)?
Reacties (15)
16-05-2021, 17:45 door Anoniem
Waar is dan een security risico? Volgens de bugmelding in jouw link werkt het toegevoegen van nieuwe users juist niet! Ik lees uit jouw tekst het tegenovergestelde dan wat de bugreporter zegt:

"The add Users from Lock Screen isn't working - Additional users cannot be added using this feature when the phone is locked"

Geen security bug maar een niet werkende feature?
16-05-2021, 17:55 door Anoniem
Ik zie het al. Je 2 links spreken elkaar tegen. Jouw bericht inhoudelijk niet. Dit is wat iedereen voor zichzelf moet controleren.

En de oude bug in Android 10 waar jij over spreekt vorig jaar gapatcht:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2233

De guest user verwijderen kan ook onder de opties vallen voor wie met profielen werkt.

In sommige profielen kun je je internet traffic volledig blokkeren als je een container wil.

De profielen worden apart versleuteld en de seeds worden uit het geheugen gewist als je een sessie beeindigd.

Ik zie altijd uit naar jouw bijdragen hier Erik. Ook wat betreft Android en iPhone security.
16-05-2021, 19:03 door Anoniem
De mogelijkheid om je mobieltje aan een ander te geven om te gebruiken

Dit was een feature waarom gevraagd werd.

Door wie, waarom en wanneer dan?
16-05-2021, 22:21 door Erik van Straten
Door Anoniem: Waar is dan een security risico? Volgens de bugmelding in jouw link werkt het toegevoegen van nieuwe users juist niet! Ik lees uit jouw tekst het tegenovergestelde dan wat de bugreporter zegt:

"The add Users from Lock Screen isn't working - Additional users cannot be added using this feature when the phone is locked"
en
Door Anoniem: Ik zie het al. Je 2 links spreken elkaar tegen.
Sorry, mijn link naar https://forums.oneplus.com/threads/add-users-from-lock-screen-not-working.1072173/ is fout! Ik meende eerder daar deze bug gezien te hebben en heb deze pagina gelinked zonder goed te lezen. Mijn excuses!

Door Anoniem: En de oude bug in Android 10 waar jij over spreekt vorig jaar gapatcht:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2233
Dank voor de link! Erg wijs word ik niet uit die pagina, maar als ik doorklik naar https://source.android.com/security/bulletin/2019-11-01, zoek op CVE-2019-2233 en klik op de reference A-140486529 rechts daarvan, kom ik uit op https://android.googlesource.com/platform/frameworks/base/+/aaba8ef289dee0c143b3dc0fe47e6b9595f22c65 en de tekst daarin klinkt wel of het iets te maken heeft met de bug die ik beschrijf.

Echter, de bug in Google's Pixel smartphone is ook te zien in een filmpje: https://youtu.be/E3JYZvDaHww. De maker daarvan realiseerde zich kennelijk niet dat er een relatie is/was met het inloggen (door de admin-user) met een vingerafdruk, zie https://gist.github.com/roycewilliams/8d77f89953bdd98dfcc3ce5db698279d. Opvallend in die pagina is een verwijzing naar https://issuetracker.google.com/issues/140447135 met dus een ander reference-nummer dan kennelijk horend bij CVE-2019-2233. Overigens is issue 140447135 nog steeds gelocked (na inloggen op mijn google account krijg ik een "access denied"). Zie ook https://twitter.com/ChadBrubaker__/status/1169127930376704002.

Door Anoniem: De guest user verwijderen kan ook onder de opties vallen voor wie met profielen werkt.
Ik kan profielen wissen (dat is niet mijn probleem), maar de guest user kan altijd opnieuw inloggen onder de beschreven omstandigheden.

Door Anoniem: In sommige profielen kun je je internet traffic volledig blokkeren als je een container wil.
Ik begrijp niet goed wat je hiermee bedoelt?

Door Anoniem: De profielen worden apart versleuteld en de seeds worden uit het geheugen gewist als je een sessie beeindigd.
Als dat klopt zou dat de schade kunnen beperken, maar de vergroting van het aanvalsoppervlak door een ander account te kunnen activeren vind ik onacceptabel. Als ik wat getest heb met een ander account moet ik dus niet vergeten om ondersteuning voor meerdere accounts uit te zetten (of ik zou inloggen met vingerafdruk uit moeten zetten). Als alternatief zou ik voortaan met een non-admin account kunnen gaan werken, maar dat is uitzoekwerk (heb ik daar bijv. een ander Google account voor nodig, zijn er apps die niet meer werken en ik kan de impact bij evt. problemen niet goed inschatten).

Door Anoniem: Ik zie altijd uit naar jouw bijdragen hier Erik. Ook wat betreft Android en iPhone security.
Dank! Deze bug was mij al eerder opgevallen en stond op mijn lijstje om verder uit te zoeken. Na het artikel op zdnet moest het er maar eens van komen. Wel heel suf van mij dat ik linkte naar een OnePlus forum post waarin juist het tegendeel van deze bug wordt beschreven :-(

Anyway, mijn OnePlus 6 heeft de laatste security updates, dus begrijp ik niet waarom deze bug nog aanwezig is (en vraag me af of OnePlus nog meer Android security patches niet heeft overgenomen). Ik ben benieuwd of dit ook op andere smartphones (met Android >= 10) dan mijn OnePlus 6 speelt - en het wellicht niet aan OnePlus verweten kan worden.
16-05-2021, 22:33 door Erik van Straten
Door Anoniem:
De mogelijkheid om je mobieltje aan een ander te geven om te gebruiken

Dit was een feature waarom gevraagd werd.

Door wie, waarom en wanneer dan?
Als je jouw smartphone door een ander laat gebruiken is het in principe verstandig om opzettelijk misbruik en ongelukjes zoveel mogelijk te voorkomen, maar ik denk dat er risico's bestaan die de meeste mensen zich niet allemaal zullen realiseren.

Voor jezelf kan het handig zijn om met één smartphone werk en privé zoveel mogelijk te scheiden. Zelf vind ik het soms handig om testjes te doen met minimale risico's voor mijn gewone account. Echter, vooral features die niet veel worden gebruikt kunnen buggy zijn - en lang blijven.
18-05-2021, 18:01 door Anoniem
Maak je geen zorgen om 1 fout gekopieerd linkje Erik, ik heb zoveel brainfog dat het lezen van lange artikelen mij al opbreekt. En dat is lastig als je wil werken of iets productiefs wil doen. Het zijn mijn demonen zeg maar. :-)

Welke Android versie heb je dan dat deze bug bestaat op jouw telefoon? Het is ruim een jaar geleden toch echt gefixt in AOSP dus het Android One programma als het Go programma moeten deze overal hebben doorgevoerd intussen. Maar de ene fabrikant update minder snel en frequent dan de andere. Zelfs FairPhone en Xiaomi liggen achter op Nokia met updates.

User profiles worden sinds Android 5.5 al versleuteld. Dus heb je het wachtwoord van 1 user dan heb je nog geen toegang tot de ander. Die douanier ziet toch alle users. Die wil toegang tot het hoofdprofiel. Misschien merkt hij dan niet dat je nog andere profielen hebt met een wachtwoord dat jij niet weet "want het is van een vriend die je telefoon ooit leende". In dat profiel bewaar je de pikante fotos bijvoorbeeld en je zet er een dooie VPN op die system enforced alle non VPN filtert. Zo heb je dus een prive container en als je dat profiel wist hoef je je telefoon niet te shredden immers je profielen zijn apart versleuteld op het filesystem.

Ik raad aan om onbetrouwbare apps zoals bijv Torbrowser gebaseerd op een buggy Firefox (ESR) in een apart profiel te zetten. Ik heb dat zelf niet gedaan omdat ik dat niet zo praktisch vind.

Het is me niet zo duidelijk wat voor rechten die guest user heeft ten opzichte van eeen andere user. Wel is het zo dat een deel van de systeeminstellingen van de 1ste user en de opvolgende niet allemaal gemodificeerd kunnen worden. Android is daar niet duidelijk in (ze kunnen met een leesteken laten zien welke settings geset zijn in de admin user). Ook is er geen mogelijkheid de admin user als template te gebruiken die je makkelijk kunt dupliceren. Zodat je kunt rommelen en met een swipe weer een nieuwe maar naar eigen wens geconfigureerde telefoon hebt. Of je moet met de import/export functie werken. Daar zouden devs eigenlijk een knop naast moeten maken. Een duplicate profile knop. Met de huidige gang van zaken bij Google kun je beter elke 3 maanden je telefoon volledig wissen, dat is veiliger en prettiger.

Ook mogen ze een switch maken in System onder Network voor de emergency dial die je nu opgelegd wordt op de voorpagina. Ik hoor daar vaker klachten over terwijl het zo simpel op te lossen is door het een userkeuze te maken.

Als ik eenmaal ga kijken naar wat er beter kan bij Google Android dan gaan me de oren klapperen. Vanuit usability perspectief. Ik kijk maar de andere kant op anders ga ik me ergeren. Android bestaat ook alleen maar bij de gratie van vrijwilligers aan de ene kant en corporate criminele profiteurs aan de andere kant. Hoe kun je Alphabet serieus nemen met de vreemde dingen die zij soms doen. Het moet veilig maar niet te veilig en ga zo maar door. Ze hebben geen visionary als Steve Jobs, alleen maar een heleboel tweedehandse ideeen waarvoor de originele bedenkers nauwelijks credit krijgen. Het is een soort 100 tegen 1 spel aasgieren industrie. Van andere hoeken hoeven we geen OS te verwachten want die houden zich alleen maar bezig met achterhaalde scams, gebruik makend van de goedheid van vrije software architecten. Ja misschien dat China nog eens wat in elkaar zet wat niet zo slecht geprogrammeerd is als hun export IoT devices maar tegen die tijd zijn wij weer 10 jaar verder.
19-05-2021, 13:08 door Erik van Straten - Bijgewerkt: 19-05-2021, 13:08
Door Anoniem: Welke Android versie heb je dan dat deze bug bestaat op jouw telefoon?
Dank voor jouw reactie! Android 10, OxygenOS v10.3.10, Buid number A6003_22_210420 (A6003 is het model nummer, ik vermoed dat die laatste 6 cijfers staan voor 20 april 2021).

Door Anoniem: User profiles worden sinds Android 5.5 al versleuteld. Dus heb je het wachtwoord van 1 user dan heb je nog geen toegang tot de ander. Die douanier ziet toch alle users. Die wil toegang tot het hoofdprofiel. Misschien merkt hij dan niet dat je nog andere profielen hebt met een wachtwoord dat jij niet weet "want het is van een vriend die je telefoon ooit leende". In dat profiel bewaar je de pikante fotos bijvoorbeeld en je zet er een dooie VPN op die system enforced alle non VPN filtert. Zo heb je dus een prive container en als je dat profiel wist hoef je je telefoon niet te shredden immers je profielen zijn apart versleuteld op het filesystem.
Zoals ik al eerder schreef is misbruik mogelijk (bijv. automatisch inloggen bij T-Mobile tenzij je weet dat je dat dicht kunt zetten en dat ook doet). Met toegang tot bellen en SMS zie je historische en nieuwe SMS-jes en kun je mogelijk webaccounts overnemen. Als een aanvaller daarmee mensen belt of SMS't zien ze mijn nummer als afzender. Ik heb geen tijd en zin om over nog meer kwetsbaarheden na te denken of te gaan hacken, maar ik twijfel er niet aan dat ik dan nog meer vind. Dit is gewoon ern ernstig lek, vooral als een kwaadwillende jouw smartphone in deze staat vindt of steelt.

Door Anoniem: Ik raad aan om onbetrouwbare apps zoals bijv Torbrowser gebaseerd op een buggy Firefox (ESR) in een apart profiel te zetten. Ik heb dat zelf niet gedaan omdat ik dat niet zo praktisch vind.
Ik gebruik geen Tor maar extra profielen zijn soms wel handig om tests mee te doen.

Door Anoniem: Het is me niet zo duidelijk wat voor rechten die guest user heeft ten opzichte van eeen andere user.
Is helaas niet duidelijk inderdaad.

Door Anoniem: Ook mogen ze een switch maken in System onder Network voor de emergency dial die je nu opgelegd wordt op de voorpagina. Ik hoor daar vaker klachten over terwijl het zo simpel op te lossen is door het een userkeuze te maken.
Los van wie er belt ziet 112 waarschijnlijk wel waarvandaan je ongeveer belt.

Door Anoniem: Als ik eenmaal ga kijken naar wat er beter kan bij Google Android dan gaan me de oren klapperen.
Er wordt waarschijnlijk een balans gezocht tussen smaken, gebruiksgemak en -in de laatste plaats- security.

Helaas zie ik nog geen reacties van gebruikers met andere Android toestellen die wel of niet deze bug hebben?
19-05-2021, 16:05 door Anoniem
Ik gebruik zelf een chromebook en daar kun je dit ook doen, maar ik zie het niet als een bug. Zo'n guest of extra aangemaakte user kan het device alleen gebruiken maar kan er verder niets aan veranderen.
Ja een factory-reset doen maar dat kan iedereen die het device fysiek in handen heeft sowieso doen (ook met Android!).
Of je er daarna nog wat aan hebt hangt overigens af van een aantal zaken maar dat valt buiten dit topic.
23-05-2021, 19:52 door Anoniem
Door Anoniem: Ik gebruik zelf een chromebook en daar kun je dit ook doen, maar ik zie het niet als een bug. Zo'n guest of extra aangemaakte user kan het device alleen gebruiken maar kan er verder niets aan veranderen.
Ja een factory-reset doen maar dat kan iedereen die het device fysiek in handen heeft sowieso doen (ook met Android!).
Of je er daarna nog wat aan hebt hangt overigens af van een aantal zaken maar dat valt buiten dit topic.

Ik weet niet wat guest kan maar een andere user kan systeeminstemlingen aanpassen en je kunt zelfs een aparte VPN per profiel instellen.

En SMS als 2FA is sowieso omveilig want je bouwt met wat kennis voor minder dan 2000 eur een snooper die in jouw buurt SMsjes onderschept en decodeert.
24-05-2021, 11:03 door Erik van Straten
Door Anoniem: Ik gebruik zelf een chromebook en daar kun je dit ook doen, maar ik zie het niet als een bug.
Mogelijk heb ik het niet duidelijk genoeg uitgelegd, maar het probleem is dat ik, in de instellingen, "multiple users" toesta maar tegelijkertijd uitzet: "Add users from lock screen".

Vervolgens wordt mijn smartphone gestolen. Zonder mijn pinkafdruk (en irritant lange wachtwoord) komt de dief niet in mijn account, maar ondanks de instelling "Add users from lock screen: NO" kan de dief toch naar believen nieuwe accounts aanmaken (vanaf het locked screen) en daarmee inloggen.

Hoezo is dat geen security-bug?

Door Anoniem: En SMS als 2FA is sowieso omveilig want je bouwt met wat kennis voor minder dan 2000 eur een snooper die in jouw buurt SMsjes onderschept en decodeert.
Inderdaad is SMS als 2FA onveilig, maar in veel gevallen bepaal niet jij of dat gebruikt kan worden. Bovendien zullen IMSI-catchers e.d. hooguit bij specifieke targeted attacks worden ingezet.

Met een goede security-mindset (denken als aanvaller) ga je niet zitten bedenken op welke manieren een cybercrimineel geen (of, bij zo'n security issue, juist met andere middelen) extra geld kan "verdienen" aan een gestolen smartphone.
26-05-2021, 15:35 door Anoniem
Shit ik heb toevallig een Pixel gekocht voor gaming onlangs en die heeft deze bug. Ik heb wat fouts gedaan en deze heeft deze bug.

Il hoop dqt er niet.meer van dat soort bugs inzitten. De multiuser heb ik uitgezet. Ik zal dus gewoon wat vaker een factory reset doen bijv elke 2 maanden om alle rommel van het toestel te wissen. Dan heb je tenminste zekerheid.

Dank u wel Erik voor de waarschuwing.
26-05-2021, 19:23 door Erik van Straten
Door Anoniem: Dank u wel Erik voor de waarschuwing.
Graag gedaan!

Andere bezitters van Android smartphone, zien jullie deze bug ook?
28-05-2021, 15:12 door Erik van Straten
Zojuist heb ik mijn OnePlus 6 Android smartphone geüpdated naar versie 10.3.11. Daarmee lijkt deze bug verholpen!

Wel op een wat vreemde manier: zelfs als ik "Add users from lock screen" toesta (bij ondersteuning voor multiple accounts ingeschakeld) kan ik (of een dief), vanaf het gelockte scherm, geen gebruikers toevoegen en/of als guest inloggen - althans niet dat ik kan vinden.

Voor de zekerheid zet ik die instelling toch maar op disabled; wie weet wordt de nieuwe "bug" (dat nu aanzetten niet werkt, terwijl hiervoor uitzetten niet werkte bij inloggen met vingerafdruk als "admin") gefixed bij een volgende update. Overigens kan ik me geen omstandigheden voorstellen waarbij je "Add users from lock screen" zou willen.

Dank voor de reacties! Natuurlijk blijf ik wel benieuwd of deze bug op andere Androidt smartphones optreedt.
29-05-2021, 09:07 door Anoniem
Door Anoniem:
De mogelijkheid om je mobieltje aan een ander te geven om te gebruiken

Dit was een feature waarom gevraagd werd.

Door wie, waarom en wanneer dan?

Er zijn soms ouders die de telefoon even aan hun kind geven om een spelletje te spelen.
Mogelijk handig dat ze dit dan even op een ander account doen...
29-05-2021, 13:19 door Erik van Straten
Door Anoniem: Er zijn soms ouders die de telefoon even aan hun kind geven om een spelletje te spelen.
Mogelijk handig dat ze dit dan even op een ander account doen...
Absoluut (alhoewel ik mij afvraag hoeveel mensen weten dat Android meerdere accounts ondersteunt). Als een jong neefje of nichtje iets met mijn smartphone zou willen, zou ik hier waarschijnlijk gebruik van maken.

Maar nogmaals, multiple accounts is/was niet het probleem ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.