image

Google: Androidgebruikers doelwit zerodays door overgeslagen Linux-patches

vrijdag 20 mei 2022, 11:29 door Redactie, 5 reacties

Androidgebruikers konden vorig jaar via een zerodaylek worden aangevallen omdat een oplossing voor de kwetsbaarheid in de Linux-kernel niet als beveiligingsupdate was aangegeven en daardoor niet aan de meeste Androidkernels toegevoegd. Dat stelt Google in een analyse van drie verschillende zerodaycampagnes waar Androidgebruikers in 2021 mee te maken kregen.

Volgens het techbedrijf zijn de exploits die bij de aanvallen werden gebruikt ontwikkeld door een bedrijf genaamd Cytrox. Het bedrijf zou de betreffende exploits hebben verkocht aan door overheid gesteunde actoren in Egypte, Armenië, Griekenland, Madagaskar, Ivoorkust, Servië, Spanje en Indonesië. Google merkt op dat het onderzoek naar de aanvallen laat zien dat commerciële bedrijven inmiddels over de mogelijkheden beschikken om exploits te ontwikkelen die eerder alleen nog waren voorbehouden aan overheden.

E-mail als aanvalsvector

Bij alle drie de zerodaycampagnes werden Androidgebruikers via e-mail aangevallen. Doelwitten ontvingen een e-mail met daarin een verkorte url die naar een malafide website wees. Deze website maakte misbruik van één of meerdere kwetsbaarheden in Chrome al dan niet gecombineerd met een beveiligingslek in Android. Eén van deze beveiligingslekken was CVE-2021-1048 en bevond zich in de Linux-kernel.

Google ontdekte de aanval waarbij deze kwetsbaarheid werd gebruikt in oktober 2021. Het beveiligingslek was al in september 2020 in de Linux-kernel verholpen. De fix was echter niet als beveiligingsupdate aangemerkt en zodoende niet aan de meeste Androidkernels toegevoegd. "Dit is niet de eerste keer dat we dit zien met exploits in het wild. Het Bad Binder-lek in 2019 is een ander voorbeeld", zegt Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Lecigne merkt op dat in beide gevallen de betreffende fix niet als beveiligingsprobleem was aangemerkt en zodoende niet gebackport naar de Androidkernels. "Aanvallers blijven actief zoeken en profiteren van dergelijk traag verholpen kwetsbaarheden." Verder stelt de Google-onderzoeker dat de aanpak van commerciële surveillancebedrijven een robuuste en gemeenschappelijke inzet van inlichtingenteams, netwerkbeveiligers, academische onderzoekers en techplatformen vereist.

Reacties (5)
20-05-2022, 11:41 door Anoniem
Ik blijf het vreemd vinden dat bedrijven die misdrijven faciliteren zoals NSO en Cytrox niet direct worden aangepakt, het zal wel te maken hebben met het feit dat de misdrijven door overheidsactoren worden gepleegd maar het signaal wat vanuit een dergelijke selectieve handhaving uit gaat is volkomen verkeerd.
20-05-2022, 12:53 door Anoniem
Ah dus eigenlijk combinatie van chrome en kernel. Dus als je firefox gebruikt zou je niet kwetsbaar zijn?
20-05-2022, 13:11 door Anoniem
Dit gegeven is ook relevant voor de ontwikkelaars en gebruikers van Ubuntu Touch, die in hetzelfde schuitje zitten.


Why does Ubuntu Touch use the Android kernel?

We rely on the Android Linux kernel and drivers to make the phone work. This is the reality in the world of Android hardware.

https://ubports.com/faq
22-05-2022, 14:20 door Anoniem
Door Anoniem: Ik blijf het vreemd vinden dat bedrijven die misdrijven faciliteren zoals NSO en Cytrox niet direct worden aangepakt, het zal wel te maken hebben met het feit dat de misdrijven door overheidsactoren worden gepleegd maar het signaal wat vanuit een dergelijke selectieve handhaving uit gaat is volkomen verkeerd.

Aangepakt door wie, op basis van welke wetgeving ?

Ze werken min of meer op dezelfde basis als wapenfabrikanten - ook daar is niks illegaals aan, als je met de juiste vergunning levert aan de juiste partij .
En het gebruik is evenmin illegaal - afhankelijk van de gebruiker en de jurisdictie.
23-05-2022, 09:03 door Anoniem
Er is maar 1 manier. Aan de schandpaal dit soort bedrijven. Is er in Nederland pas niet een student veroordeelt die hetzelfde deed en uiteindelijk is veroordeeld?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.