Ah, de moderne versie van het kinderfeestje “verrassing in je cadeau” blijkt dus een Android-tv-box met ingebouwde Badbox 2.0. Alleen is de verrassing hier geen chocolaatje, maar een crimineel botnet in de firmware.

Technisch gezien is dit een perfect voorbeeld van supply chain compromise op instapniveau: de aanval zit al in de fabriek ingebouwd, waardoor antivirussoftware evenveel effect heeft als een paraplu bij een onderwaterwandeling. Firmware-malware verwijderen zonder de hele chip te herschrijven? Vergeet het maar. Het advies van het NCSC-FI om het apparaat naar de e-wastebak te brengen is dan ook niet cynisch, maar gewoon de digitale versie van “gooi die melk weg, er zit een muis in”.

Het zorgwekkende punt: dit is geen incident met één malafide leverancier, maar een structureel gebrek aan secure manufacturing en kwaliteitscontrole in bepaalde productielijnen. Als een fabrikant geen secure boot, signed firmware en onafhankelijke security-audits implementeert, kan letterlijk elke schakel in de keten “extra features” toevoegen — of dat nu malware is of een vrolijke Chinese popmuziekapp die onverklaarbaar veel netwerkverkeer veroorzaakt.

Maar goed, voor consumenten is dit wederom het bewijs dat “goedkoop” vaak een verborgen abonnementsmodel heeft: jij betaalt weinig, maar je tv-box betaalt terug in gigabytes aan gestolen data en DDoS-verkeer.

Zijn dit die goedkope kastjes om die dure betaalzenders via het internet gratis te kunnen bekijken? Indien ja dan betaald de kijker dus weer met de privacy door onderdeel te zijn van een crimineel botnet die ook nog gegevens jat.

Het nieuwsbericht van het Finse National Cyber Security Centre (NCSC-FI) belicht een zorgwekkende trend in de wereld van cyberbeveiliging, vooral met betrekking tot Android-apparaten zoals tv-boxes. Hier zijn enkele belangrijke punten en overwegingen:

Zorgwekkende Toename van Malware.
De melding dat er een toename is van schadelijk netwerkverkeer afkomstig van vooraf besmette Android-apparaten is alarmwekkend. Dit wijst op een groeiend probleem dat niet alleen individuele gebruikers raakt, maar ook de bredere infrastructuur van internetbeveiliging. Het feit dat malware zoals Badbox 2.0 al in de firmware van apparaten kan zitten, maakt het probleem nog ernstiger, omdat dit betekent dat zelfs technologische oplossingen zoals fabrieksinstellingen niet effectief zijn.

Verantwoordelijkheid van Fabrikanten.
Het NCSC-FI wijst terecht op de verantwoordelijkheid van fabrikanten en distributieketens.
Het gebrek aan adequate beveiliging en kwaliteitscontrole bij de productie van deze apparaten is een ernstige tekortkoming. Dit roept vragen op over de ethiek en de verantwoordelijkheden van bedrijven die deze technologieën op de markt brengen. Consumenten vertrouwen erop dat de producten die ze kopen veilig zijn, en het falen van fabrikanten om dit te waarborgen kan leiden tot aanzienlijke schade.

Impact op Consumenten.
De oproep aan burgers om hun apparaten te controleren en mogelijk nieuwe apparatuur aan te schaffen, benadrukt de noodzaak voor consumenten om proactief te zijn in hun digitale veiligheid. Dit kan echter ook leiden tot extra kosten en frustratie voor gebruikers die niet goed geïnformeerd zijn over hoe ze hun apparaten kunnen controleren op malware. Het is essentieel dat er meer voorlichting komt over hoe consumenten zich kunnen beschermen tegen dergelijke bedreigingen.

Internationale Implicaties.
De vermelding van de Duitse overheid die het verkeer van dertigduizend besmette apparaten heeft omgeleid, toont aan dat dit probleem niet alleen in Finland speelt, maar een internationale dimensie heeft. Dit kan leiden tot een grotere samenwerking tussen landen en cyberbeveiligingsinstanties om deze bedreigingen aan te pakken.

Conclusie.
Het bericht van het NCSC-FI is een belangrijke waarschuwing voor zowel consumenten als fabrikanten. Het benadrukt de noodzaak voor verbeterde beveiligingsmaatregelen in de productie van technologie en de verantwoordelijkheid van gebruikers om alert te zijn op mogelijke bedreigingen. Het is cruciaal dat er meer bewustzijn en educatie komt over deze kwesties om de veiligheid van digitale apparaten te waarborgen.

“Burgers worden opgeroepen om hun Android-apparatuur te controleren op malware en als ze twijfelen eventueel nieuwe apparatuur aan te schaffen.”

Kan de gemiddelde consument de Android-apparaten op malware controleren?
Weet de consument of de nieuw aan te schaffen apparatuur wel vrij van malware is?
Is het mogelijk om te achterhalen waar de besmette apparatuur geproduceerd is of wordt?

laten we vooral een digitale ID gaan gebruiken met je ID gegevens erop
Wordt een groot succes! hahaha

Ik denk ook niet en de Finse site geeft ook niet aan hoe je dit zelf kunt controleren. Ze geven wel aan dat ze zelf het malware verkeer monitoren en indien gevonden, de consumenten hierover informeren:


https://www.kyberturvallisuuskeskus.fi/en/our-services/monitoring-and-incident-response/malware-detected-autoreporter

Dan kun je als consument toch actie ondernemen. Dat moet je waarschijnlijk ook doen, want anders wordt je afgesloten. Dat tijdelijk afsluiten bij malware doen Nederlandse providers ook.

Wanneer in nieuwe, vers ge-update internetrouters backdoors zitten, kunnen professionele hackers (zoals statelijke actoren) ook veel schade toebrengen met data uit onze abonnementen. Ook het afvangen van onze printopdrachten naar onze eigen netwerkprinters kan de statelijke hackers gegevens opleveren, die echt niet voor hen bestemd zijn. Het is alleen nog moeilijker om te ontdekken dat een router wordt misbruikt. Eén paar maanden geleden nam ik een nieuwe gigabitrouter met snelle wifi 6 in gebruik (achter de 7 jaar oude, crème Ziggorouter). Een update werd direct door de fabrikant aangeboden en ik installeerde deze. Direct na ingebruikname kon onze nog thuiswonende zoon met zijn al wat oudere Androidmobiel nauwelijks nog op het internet komen. Speedtest.nl gaf duidelijkheid. Hier worden de upload- en downloadsnelheden grafisch weergegeven. Diepe dalen in deze grafieken maakten mij duidelijk dat nog iemand op dat moment gebruik maakte van ons internet en een netwerkscanner toonde aan dat dit niet één van onze apparaten was en dat er geen indringer op onze wifi aanwezig was. Nadat ik alle wifiverbindingen op de nieuwe router uitschakelde en weer terug ging naar de wifi op de oude Connectbox werkte de mobiel van mijn zoon nog niet. Wifi Analyzer Pro op mijn mobiel vond ineens een naamloze 2,4GHz verbinding. Aan het MAC-adres zag ik dat deze uit mijn nieuwe wifirouter kwam. Hierbij viel op dat niet het laatste hexadecimale getal, maar het eerste van de zes getallen afweek. De nieuwe wifi-router zit weer in de doos. Ziggo was zo attent om een nieuwe hoofdrouter aan ons toe te sturen en alles werkt weer prima, nu met voor de nieuwere mobieltjes snellere wifi.

Had ooit een Android box om 'tv' te kijken en wat opviel was dat er extreem veel data verkeer verliep als deze aanstond en voor het gemak ook even een netwerk share aanmaakte die niet uit te zetten was. Na het het extracten van de inlog gegeven was het bye bye en een Nvidia Shield gekocht en probleem opgelost. Kost iets meer dan je aliexpress box of die je bij je 'tv abbo' koopt.

@anoniem 10:45 gewoon een wi-fi router van een goed merk als Asus nemen, werkt prima en zonder problemen met hele oude hardware.

Begrijp ik goed dat je
- in NL een nieuwe Wifi-router hebt gekocht (bij een Nederandse winkel of via Amazon ofzo?)
- Je installeerde een update voor de wifi-router (waar kennelijk malware in zat verborgen)
- Die malware gebruikte zoveel bandbreedte dat een ouder Android-mobiel daardoor nauwelijks internet meer had (maar andere apparaten hadden kennelijk geen last?)
- Na het uitschakelen van 'alle wifi-verbindingen' op de nieuwe wifi-router bleef er een verborgen 2.4 GHz-wifiverbinding zonder naam actief die kennelijk nog steeds bandbreedte gebruikte (want de oude Android-mobiel had nog steeds nauwelijks internet).
- Pas na het uitschakelen van de wifi-router en het vernieuwen van de Ziggo-router werkt alles weer goed

Merkwaardig verhaal. Het klopt dat de wifi-antennes voor 2.4GHz en 5GHz op dezelfde router verschillende MAC-adressen hebben. Mogelijk zat er malware in de router waarmee die als botnet gebruikt kan worden, dat verklaart het bandbreedte-verbruik. Maar waarom zou malware een verborgen wifi-netwerk activeren?

@anoniem 12:46 u
Pas nadat ik de 2,4 GHz-, 5 GHz- en gasten-wifi op de nieuwe bij BOL.com gekochte router had uitgeschakeld werd de nieuwe SSID-loze 2,4 GHz-wifiverbinding aangezet; niet door mij. Na verwijderen van de nieuwe router, werkte de wifi-verbindingen op de 7 jaar oude Connectbox ook weer prima. Niet supersnel maar echt wel voldoende snel. Waarom Ziggo de nieuwe (zwarte) Smartwifi-router aan ons toestuurde weet ik niet, maar deze functioneert prima. Omdat de wifi-verbinding van de mobiel van onze oudste zoon enorm langzaam is en het mobieltje een heel klein geheugen heeft en omdat oudste zoon de zolderkamer heeft (het verst van de meterkast) merkte hij de onregelmatigheden op. Onze mobieltjes hebben zoveel capaciteit dat wij het echt niet merkten. Pas toen ik gericht ging zoeken, ontdekte ik dat de gloednieuwe ge-update router niet echt van ons alleen was. Overigens gaven snelheidsmetingen met de bekabelde PC’s wel de 750/60-Mbit/s snelheden die we toen hadden. Ondertussen zegt Ziggo de snelheden tot 1Gbit/s download en 100Mbit/s upload te hebben verhoogd. Omdat ik met mijn vaste PC’s en printer weer achter mijn oude secundaire 100/100-Mbit/s router zit (gewoon als extra firewall) heb ik de nieuwe snelheden nog niet getest. Na de vakantie ga ik kijken of ik een wifi-loze gigabitrouter kan vinden die ik wel vertrouw. Die van hetzelfde merk als de foute wifi-router heb ik vanaf een jaar geleden tot een paar maanden geleden gebruikt en die leek prima te werken en was spectaculair snel… maarja.

Toegevoegde opmerking door anoniem 10:45 u (vanaf vakantieadres in CH)
Waartoe het SSID-loze wifi-netwerk diende, is me nog altijd een raadsel. Het bandbreedteverlies kan alleen maar door dataverbruik via de CAT6-aansluitkabel zijn veroorzaakt. Omdat het best een gerenommeerd merk router is, kan het ook een systeemfout geweest zijn. Pas nadat het SSID-loze 2,4GHz-wifi-netwerk door iemand anders werd aangezet dat niet met het zesde hexadecimale getal maar met het eerste van de andere MAC-adressen verschilde, werd ik achterdochtig en heb ik voorzichtigheidshalve de nieuwe gigabitrouter met wifi 6 weer afgekoppeld en de bedrade gigabitrouter van hetzelfde merk ook niet meer ingeschakeld.

@anoniem 14:47
Er kan malware op de router hebben gezeten, maar de kans is groter dat het wat anders was.
Je leest op security.nl wel over hardware die nieuw met malware wordt geleverd, maar nog weinig in Nederland met in Nederland 'gerenommeerde' merken (of deze Bol-verkoper heeft een partij uit een goedkoop land gekocht en zelf de taalinstellingen aangepast).
Wifi-netwerken zonder naam worden regelmatig gebruikt voor verborgen wifi-netwerken door bedrijven om veiligheidsredenen, al moet er tegenwoordig zeker ook een wachtwoord op want er zijn tooltjes die ze kunnen vinden (zoals Wifi Analyzer).
Sowieso zie ik geen reden voor malware om een (verborgen) wifi-netwerk op te zetten want je moet in de buurt zijn om er gebruik van te kunnen maken. Tenzij je een high value target bent maar dan kunnen wij je ook niet helpen.
Waarschijnlijker is dat een extra router een andere router sowieso vaak problemen geeft, zeker bij verschillende merken, en een zorgvuldige configuratie vereist. Vaak is het makkelijker om dan maar de wifi-versterking van Ziggo zelf te nemen, die werkt meestal prima en je kunt nog ondersteuning vragen.

Ok...

Maar deze conclusie snap ik niet.

Je zag diepe dalen in throughput .
Ok. Maar waaruit concludeer je dat dat DUS door een "andere gebruiker in je router" of backdoor veroorzaakt moet zijn ?

Ik zou in eerste instantie zeggen : nieuwe router dropt zo af en toe packets - dat is ook funest voor throughput.
(veel meer dan het percentage drops ).

Met een packet capture aan de upstreamkant van je nieuwe device had je beter kunnen zien of er dan echt meerdere flows naast je speedtest-flow liepen .


Dwz : mobiel van de zoon zat nu ook weer op de oude Wifi ?

Zoja - dan stoorde het nieuwe apparaat blijkbaar enorm in het radio domein, lijkt me.


Dat is wel bijzonder , want de eerste drie bytes van een mac duiden de vendor van het apparaat (of eigenlijk : de ethernet/wifi chip ) aan.

Simpelweg met de aan/uit knop stel je wat definitiever vast of het netwerk van een bepaald apparaat afkomstig is, hoewel idd een bijna-zelfde mac wel een sterke aanwijzing is.


Met je schrijft is mijn eerste conclusie gewoon 'slechte router met evt defect/buggy wifi netwerk' .

De conclusie backdoor-user steelt bandbreedte is niet onderbouwd met wat je gezien hebt.

Bijvoorbeeld voor een gasten-netwerk maar de naam was niet geconfigureerd en de 'uit' optie had een bug in het instellingenscherm.



Welnee. Een hoop meer kandidaten, waaronder packetloss in de nieuwe router of in het Wifi netwerk ervan.

Alleen met een packetcapture over die verbinding had je echt kunnen constateren dat er meer data gehaald werd dan alleen door/voor je bekende telefoon-client.


Voorlopig lees ik bug. Je kunt je nog afvragen of de verse firmware die je 'out of the box' meteen liet installeren of corrupt was of misschien tijdens installeren iets misging. (download niet volledig maar de router installeert toch en heeft dan een stel config files in halve toestand).

Een andere test had kunnen zijn om een client met een kabel (ipv wifi) aan te sluiten op die nieuwe router.
Mogelijk zat de oorzaak van de slechte throughput puur in het Wifi gedeelte.