"Malwareschrijvers omzeilen nieuwe beveiligingsmaatregel Android 13"
De nieuwste versie van het Android-besturingssysteem moet nog verschijnen, maar malwareschrijvers zijn er al in geslaagd om een nieuwe beveiligingsmaatregel van Android 13 te omzeilen, zo beweert securitybedrijf ThreatFabric. De afgelopen jaren maakte veel Android-malware gebruik van de Accessibility Service permissie om gegevens van gebruikers te stelen. Securitybedrijf Security Research Labs sprak vorig jaar zelfs van een "pandemie" van Android-malware die misbruik van de Accessibility Service maakt.
De service is bedoeld voor mensen met een visuele beperking, maar biedt malwareschrijvers de mogelijkheid om een overlay boven een andere app te tonen, om zo ingevoerde inloggegeven te stelen. Daarnaast is de service als keylogger te gebruiken. Om misbruik van de service tegen te gaan is Android 13 voorzien van een nieuwe securityfeature. Die moet het lastiger voor malware maken om de betreffende permissie aan gebruikers te vragen.
Malwareschrijvers hebben echter een manier gevonden om deze feature te omzeilen, aldus ThreatFabric. Android 13 is voorzien van een "restricted setting". Daardoor kunnen apps die via sideloading zijn geïnstalleerd de Accessibility Service permissie niet vragen. Deze beperking is echter te omzeilen door middel van een session-gebaseerde installatie. Hierbij worden de packages van de app in kleinere delen opgedeeld en voorzien van identieke namen en certificaten. Android zal de installatie niet als sideloading beschouwen waardoor de beperking niet van toepassing is.
De onderzoekers van ThreatFabric hebben Android-malware ontdekt waarin deze bypass deels aanwezig was. Het is dan ook de verwachting dat malwareschrijvers de bypass verder zullen doorontwikkelen en gebruiken voor de installatie van banking trojans. Daarmee is "on-device" fraude te plegen, waarbij aanvallers vanaf het besmette toestel geld van de bankrekening van het slachtoffer kunnen overmaken.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Dit was ook het geval met de nieuwste iOS, die was ook zo lek als een mandje door malware makers.
iOS 16 beweren ze met lockdown mode dit te bevechten, maar ik ga er donkerbruin vanuit dat dit binnen luttele tijd ook omzeilt zal worden, of zelfs onmogelijk wordt gemaakt door malware om dit überhaupt te activeren.
Developers van malware zijn zeer goed in bedenken hoe beveiliging systemen te verprutsen.
Naja, mooi dat het nu al bekend is dat dit omzeilt wordt, de vraag nu is hoe ze dit doen, zodat Google daar weer een patch tegenaan kan gooien. Beter nu dan later.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Sommige banken als ING verplichten het de bankapp te gebruiken als een soort extra beveiliging. Zonder app kan ik geen bankzaken doen bij de ING. We worden ergens in gedwongen ondanks het systeem niet veilig is?
Ohja... in de 'war on cash' zijn banken dat heel erg aan het drammen. Dat zit er achter.
Sommige banken als ING verplichten het de bankapp te gebruiken als een soort extra beveiliging. Zonder app kan ik geen bankzaken doen bij de ING. We worden ergens in gedwongen ondanks het systeem niet veilig is?
Als je zonder iDEAL en zonder (ING) creditcard kunt , kun je bij de ING puur op papier bankieren .
Verder heeft de ING (met enig gezeur) ook een authenticator device wat in plaats van de app als authenticatie kan dienen .
Verder is een telefoon gewoon een veiliger platform dan iedere reguliere desktop .
Ben je erg paranoide neem je een dedicated telefoon die je voor niks anders dan je bank (auihenticatie) gebruikt en thuis in de kluis legt.
'Mijn ING' is voor particulieren nog steeds via de desktop te gebruiken met de gebruikersnaam, het wachtwoord plus de ING scanner (met een vijf-cijferige PIN-code). Men kan de ING app via de Mijn ING website uitschakelen. Daarna kan men de ING scanner weer gebruiken om betalingen als vanouds te accorderen. Of dat verstandiger is, is vers twee.
https://www.ing.nl/particulier/digitaal-bankieren/internetbankieren/beginnen/scanner/index.html
Aanbevolen wordt op de Mijn ING website op een goed beveiligde en alleen daarvoor gereserveerde laptop te gebruiken.
https://www.security.nl/posting/764980/Apple+verhelpt+actief+aangevallen+zerodaylekken+in+iOS+en+macOS
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.