Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties

Een beveiligingsbedrijf heeft uit de doeken gedaan hoe kwaadwillenden een Android-apparaat kunnen overnemen door een laag over de interface te leggen waardoor gebruikers in feite ergens anders op klikken dan zij denken. Hierdoor kunnen allerlei permissies aangezet worden.

De methode is bedacht door het bedrijf Skycure, dat een demonstratie heeft gegeven in een filmpje. Op zijn blog stelt het beveiligingsbedrijf dat malwaremakers een app, bijvoorbeeld een spelletje, kunnen maken die op de achtergrond klikken gebruikt om andere dingen te doen dan de gebruiker voor ogen had. Dat komt omdat het mogelijk is een schil over het besturingssysteem te leggen; met deze grafische overlay lijkt het dan alsof de gebruiker in het spelletje klikt, terwijl er op de achtergrond bijvoorbeeld allerlei settings aangezet worden. Dit wordt ook wel 'clickjacking' genoemd.

Skycure demonstreerde de techniek tijdens een presentatie op de RSA Conference, een beveiligingscongres dat in San Francisco werd gehouden. Door gebruikers een spelletje te laten spelen, waarbij op bepaalde plaatsen op het scherm geklikt moet worden, konden de onderzoekers toegang krijgen tot de zogenaamde Accessibility Services, een api die ontwikkelaars kunnen aanspreken om applicaties geschikter te maken voor gebruikers met handicaps. Een voorbeeld is Google Talkback, die bedoeld is voor blinde of slechtziende mensen.

Door de kwaadwillende app toegang te laten krijgen tot de Accessibility Services is het onder andere mogelijk om persoonlijke informatie te vergaren, bijvoorbeeld uit e-mails en andere berichten. Alhoewel het hier dus gaat om een voorbeeld van Skycure, zijn er wel voorbeelden van malware die dergelijke clickjacking-methodes gebruiken. De kwetsbaarheid voor dergelijke aanvallen zit volgens Skycure in Android-versies 2.2 tot en met 4.4. Alhoewel het dus gaat om oudere versies van Android, draait nog een groot gedeelte van de gebruikers deze software.

Moderatie-faq Wijzig weergave

Reacties (78)

SuperSU heeft een "tapjacking protection" die je kunt aanzetten om er zeker van te zijn dat apps geen overlay tonen waarmee de gebruiker wordt misleidt om foutief root-toegang te geven. Dit zat er al sinds v2.04 in vanaf 2014 (Iets eerder dan Android 5.0 beschikbaar werd gesteld voor het grote publiek). Is dit nieuws dan niet een beetje achterhaald? Google kan nog weinig doen, de bedrijven die nog telefoons verkopen van 4.4 of eerder zullen hier wellicht iets aan hebben.
Het nieuws is inderdaad zwaar achterhaald. Er zijn al vele apps die rekening houden met het feit dat er overlays aan staan. Die moet je dan voor bepaalde handelingen op de phone uitzetten.

Dat SuperSU een beveiliging heeft is leuk maar de meeste mensen draaien geen geroote phone dus het genoemde probleem speelt voor heel veel mensen zonder dat ze zich er makkelijk tegen kunnen beschermen.
Ik wou net zeggen. ik heb bijvoorbeeld twilight draaien, maar als ik iets wil doen met bankieren of apps installeren dan kan ik er niet op klikken.

Uiteraard zijn op deze manier wel andere handelingen uit te voeren, zoals het verzenden van persoonlijke gegevens.
Inderdaad is deze vorm van malware al vele jaren bekend, en je kunt het al vele jaren tegenhouden met bepaalde root-apps. Ik gebruik Xprivacy (root vereist) om overlays te blokkeren voor apps die ik niet vertrouw. Met Xprivacy ben je dus altijd al beschermd geweest, het kan dit al heel lang. Een normale app zou geen overlay moeten gebruiken, en anders is het jammer voor die app.

Deze techniek gebruikt zogenaamde overlays, doorzichtige lagen. Dan lijkt het alsof je op laag A drukt, maar eigenlijk gaat aanraking naar laag B, die doorzichtig is en er bovenop ligt. Het scherm dat een app toont is sowieso een laag, maar er zijn allerlei soorten lagen.

Die lagen zijn bedoeld voor als je b.v. een pop-up-notificatie van app X wilt ontvangen wanneer je niet in die app bent, waarbij die pop-up dan niet het hele scherm moet bedekken. In Android is het (voor zover ik weet) alles of niets: je bedekt ofwel het hele scherm met een laag, ofwel niets. De enige manier waarop je toch je pop-up kunt maken is door een deel van die laag doorzichtig te maken, waarbij dat deel niet zichtbaar is. Je kunt ook een deel van een laag maken dat juist aanrakingen niet registreert maar "doorgeeft" aan de laag daaronder (meen ik). Maar dat maakt dat de gebruiker niet kan weten of wat hij ziet ook daadwerkelijk is waar hij echt op drukt. Dat is niet veilig. Helaas kan dit al sinds mensenheugenis in Android, zonder dat je daar duidelijk toestemming voor moet geven.

Een ander legitiem gebruik van overlays zijn screen dimmers, die een donkere, 90% doorzichtige laag over je scherm leggen, voor als je vindt dat je scherm te licht is wanneer je b.v. in het donker in bed ligt. Maar je weet niet wat zo'n app doet met zijn overlay.

Dat is ook waarom apps als de Bankieren-app van ABN Amro (sinds kort) weigeren te werken wanneer er een overlay actief is; gelukkig kunnen apps dus blijkbaar wel detecteren wanneer er een overlay actief is, en ABN heeft terecht geoordeeld dat dat niet veilig zou zijn. Ook de Xposed-installer weigert dingen te installeren als er een overlay actief is; de "install"-knop wordt grijs en onbruikbaar. Ik weet nog hoe gefrustreerd ik hierdoor raakte toen ik een screen dimmer in bed gebruikte en niet begreep waarom ik in bed geen Xposed-modules kon installeren!

Ik neem aan dat Android na 4.4 ook detecteert of er overlays actief zijn in belangrijke systeemmenu's en die dan al dan niet tijdelijk blokkeert. Maar wat als de ene app met een overlay de andere app probeert te bedienen, zoals b.v. kijken wat je intikt als wachtwoord in een browser? Blokkeert Android dat inmiddels ook, sinds 5? Maar kan dat niet alleen door überhaupt alle overlays te blokkeren?

Hieronder een goede uitleg van de verbeterde beveiliging in Android 6:
http://www.androidpolice....on-to-draw-on-other-apps/
Wel jammer dat Android dit nog niet afdwingt voor oudere, bestaande apps(!). Dat vind ik heel slecht:
Not all apps that draw on top of the screen will be asking users to go through this step right away. Apps that target API Level 22 or below are automatically granted permission, presumably to maintain compatibility. Only by targeting API Level 23 (Android M) will developers have to send users through the extra steps. At least, that's how it works in Developer Preview 3 – Google could plausibly change this behavior for the final release, but don't bet on it. Regardless of API Level, users can revoke this permission from any app by visiting: Settings -> Apps -> Advanced (the gear button) -> Draw over other apps.
Behalve dit punt vind ik het wel een goede oplossing, een beetje net als voor wanneer apps een ander toetsenbord willen installeren of een device administrator: daar moet je echt apart toestemming voor geven in een systeem-menu.

[Reactie gewijzigd door Cerberus_tm op 7 maart 2016 19:06]

Zelfs als deze exploit er nog is, zal niemand iets via de bank app kunnen doen. Denk maar eens na over de scenario's. Hoe wil men geld van mij stelen? :) Vraagt het spelletje dan ineens of ik mijn e.dentifier of rabo scanner erbij moet pakken? :D Ohjha dat valt niet op. haha
Toets de volgende code in je scanner! Voor extra bonus punten!! (Sure!)
Dit is echt een exploit van niks.

[Reactie gewijzigd door Texamicz op 7 maart 2016 07:28]

Niet alle bank apps hebben een een scanner of identifer nodig. Bij ING is een persoonlijke code genoeg om een bank transactie mee te doen. Deze exploit zou dus gebruikt kunnen worden om die code te achterhalen ware het niet dat de bank apps dus gelukkig zelf controles uitvoeren. Neemt wat mij betreft niet weg dat dit dus zeker wel een behoorlijke exploit is.
Helemaal als je dit gaat toepassen op andere applicaties zoals de web browser.
Inderdaad zijn onze bakier-apps meestal beter beveiligd dan in landen zoals Amerika. Maar het spelletje kan gebruikt worden om b.v. een betalingsopdracht klaar te zetten of een rekeningnummer te wijzigen in het adresboek van je rekening, als je dat gebruikt (ik wel).

Verder kan een andere 'voordeel' van de laag gebruikt worden om wel meteen geld over te maken. Jij speelt eerst een leuk spelletje. Dat sluit je af. De volgende dag open je Bankieren omdat je iets wilt overmaken. Je ziet even een flitsje, maar vindt het niet verdacht. Verder ziet de Bankieren-app er normaal uit. Je vult je code in, vult een rekeningnummer in, en gebruikt je Edentifier om zoals gewoonlijk geld over te maken. En dan blijkt het naar een verkeerd nummer te zijn overgemaakt, maar dat merk je pas dagen later.

Wat blijkt? Tijdens het spelen van het leuke spelletje heb je een accessibility service aangezet waardoor de booswicht al je toetsaanslagen en schermaanrakingen kan registeren. Ook heeft hij je toetsenbord vervangen, waardoor hij toetsaanslagen naar een app kan sturen.

Als jij later Bankieren opent, ziet de booswicht dat en gooit hij er meteen zijn eigen laag overheen, die grotendeels doorzichtig is maar bepaalde elementen op de pagina vervangt door zijn eigen dingetjes. Het verschil is niet te zien. Jij vult je code in, die heeft de booswicht dan alvast. Vervolgens vul je een rekeningnummer, bedrag en naam in. De booswicht verandert nummer, bedrag en naam maar door zijn laag lijkt het alsof er staat wat jij had willen tikken. Vervolgens vraagt Bankieren om je Edentifier, die je gewoon gebruikt zoals normaal, en de transactie wordt uitgevoerd.

Dit is niet heel makkelijk om te maken, maar het kan.
Ja maar de gemiddelde android gebruiker weet dat niet en gebruikt gewoon zijn telefoon. Dus al die trucjes helpen niks voor hun.
Inderdaad en het grootste deel draait geen geroote versie van Android.
Ik heb altijd Android gebruikt maar ik begin langzamerhand steeds meer te denken dat mijn volgende geen Android meer wordt.
Vooral het belabberde updatebeleid van de fabrikanten is hier schuld aan, als ze voor een gemiddelde telefoon nou eens gedurende 3 jaar grote firmware updates uit zouden brengen en gedurende 5 jaar kritieke bugs oplossen dan zou ik nog vertrouwen in Android houden.
Ik zou nooit gedacht hebben dit te zeggen maar wat dat aangaat doet Apple het toch beter.
Dat is handige info, bedankt. Ik zie het ja. Alleen start SU niet standaard op mijn phone bij het aanzetten. Die dan maar standaard laten draaien bij phone boot?
mijn toestel is stock geroot en heeft superSU geinstaleerd.

op mijn oude tablet had ik hier last van op een internet page. (hidden image layer over the page)

vind het wel een geniepige manier op malware te instaleren.

gelukkig heb ik lookout security en root-uninstaller, dus het verwijderen is gemakkelijk
alhoewel ik er liever voor kies om de volledige premissions van de app die dit doet te slopen zodat de app niet meer kan worden geupdate/functioneerd.
Is dit echt nieuw? De ABN Amro-app registreert bijvoorbeeld geen input als je een F.lux clone als Twilight hebt draaien. Die legt een semi-transparante oranje laag* over je scherm heen om blauw licht te filteren, maar die zou op een soortgelijke manier informatie buit kunnen maken. Deze beveiligingsmaatregel is ergens in de afgelopen 3-6 maanden toegevoegd.

*: F.lux heeft een verfijnder mechanisme om de kleuren echt aan te passen, de open beta komt er aan
CF.Lumen heeft deze dingen al ingebouwd. Er wordt gebruik gemaakt van een custom driver of de KCAL kernel extensie voor Qualcomm apparaten, welke wel zonder overlays werkt. Er is wel root-toegang nodig, wat ook problemen zal opleveren met apps die daartegen zijn beveiligd.
Daarom gebruiken velen Twilight want dan is root niet nodig.
De door Rafe genomende beta van F.lux is ook enkel voor root. Ze komt wellicht een non-root versie maar dat zal dan nog even duren.
Overlay-apps blijven dan toch het enige alternatief als je niet kunt of wilt rooten.
CF.Lumen heeft geen root nodig, maar als je het geen root access geeft krijg je hetzelfde als F.lux.
Android 4.4 kom ik nog wel tegen in mijn omgeving maar oudere versies zelden tot nooit. Het Blijft natuurlijk ook zo dat dit vrij 'op het droge' is en in de praktijk niet zomaar op je telefoon komt.
Zelf nadenken bij wat je op je telefoon zet is en blijft een van de beste vormen van veiligheid. Bewijst dus ook dit weer.
Genoeg devices die geen updates meer krijgen. Ik denk dat er nog genoeg devices in omloop zijn die < 4.4 zijn. Zeker de afdankertjes die naar de kinderen gaan. Juist een groep die alles installeert.
Inderdaad...

Vertel ze dat ze alleen maar bekende en vertrouwde apps uit de Play Store mogen installeren, en hoop er het beste van...
Je zou die instelling "Onbekende bronnen" moeten kunnen beveiligen met een wachtwoord of dergelijke. Dan kan je er voor zorgen dat je kinderen enkel kunnen installeren via de Google Play store.
Alhoewel het leuk is om te zien op de Galaxy S1 uit 2010 draait nu een custom rom 6.01
In de wat minder rijke landen, zijn dat soort telefoons nog weel te vinden. De wereld is iets groter dan Neferland. :)
De Galaxy S2 plus waar ik dit nu mee typ: Android 4.2, kan niet hoger.
Tablets van de kinderen: 4.1 en kunnen ook niet hoger.

En dan ben ik benieuwd of de screening van Google dit soort apps buiten de officiele playstore kan houden...
Ik stel voor dat je dan een custom ROM op die devices zet, om zo de veiligheid te verhogen.

Dit is een goede plek om te beginnen
Niet om het eea maar mensen waarschuwen om geen apps buiten de store downloaden en dan vervolgens een complete androidsysteem flashen die ergens van het net is gedownload.
Beetje tegenstrijdig niet.
Wie geeft mij de garantie dat die rom niet verziekt is.
Iedereen is daar vrij om zich op xda te registreren en roms ter download aan te bieden.
Foute roms vallen daar heus wel door de mand hoor.
Als je een gerenommeerde rom van xda download dan is die heus niet voorzien van malware.
Is dat een aanname of kun je dat ook onderbouwen? Linux Mint is namelijk vorige maand te pakken genomen op deze manier. Dan lijkt XDA niet zo heel veel werk.
En wat is het verband tussen Linux mint en een rom op xda?
Als je zo gaat vergelijken kan je alle software die ooit een lek heeft gehad er wel bijhalen, en dan denk ik dat er geen enkele overblijft.

Nou ja ieder moet het natuurlijk zelf weten. Zelf heb ik alleen maar goede ervaringen gehad daar, op vele verschillende apparaten.
De tablet voor de kinderen draait nu vrolijk Android 5.1 (vloeiend) terwijl de fabrikant nooit verder is gegaan als 4.1 (haperend) bijvoorbeeld.
Het geval met Linux Mint geeft maar al te goed aan dat, zoals je zelf ook al zegt, niets meer veilig is. Daarom is het ook naļef om te denken dat je bij XDA of met custom roms wel per definitie veilig zit.
Het zijn beide open source linux distributies. Je stelt dat ' foute roms heus wel door de mand vallen' , ik wil dat beeld nuanceren.

In reactie op mphillip:
Ja, op die manier is niets veilig. Er zijn ook wel eens virusscanners gecompromiteerd op die manier. Een boef kan ook een politieunform aantrekken.
Punt is dat dat soort dingen bijzonder zeldzaam zijn en je kunt er ook helemaal geen rekening mee houden.
Omdat virusscanners op deze manier gecomprimeerd zijn en een boef een politie-uniform kan aantrekken is het bijzonder zeldzaam dat een OS gecomprimeerd en kun je er geen rekening mee houden?
Die beredenering gaat mij even te boven.
Onderbouwing waarom het zo zeldzaam is ontbreekt, en ik betwist dat beeld overigens. Het is toch vrij breed bekend dat het jailbreaken of rooten van iOS en Android eigenlijk gelijk staat aan het flashen van een OS met vulnerabilities erop? Dus hoe zeldzaam is het dan?

En als de vulnerability niet in het OS zit, betekent niet dat ik niet blootgesteld wordt aan risico. Als ik USB debugging aan laat staan op mijn android na het flashen, dan is mijn toestal al inherent kwetsbaarder.

Ik wil niet stellen dat zelf een ROM installeren een slechte oplossing is om beveiligingslekken zoals deze te mitigeren. Ik wil stellen dat het de gebruiker alsnog aan meer risico blootstelt dan als (Android-)fabricanten netjes zelf zouden patchen.

[Reactie gewijzigd door Viince1 op 6 maart 2016 13:39]

Ja, op die manier is niets veilig. Er zijn ook wel eens virusscanners gecompromiteerd op die manier. Een boef kan ook een politieunform aantrekken.
Punt is dat dat soort dingen bijzonder zeldzaam zijn en je kunt er ook helemaal geen rekening mee houden. Ja, door geen computers meer te gebruiken.

Een goede beveiliging tegen dat soort acties is niet meteen de dag van de release een nieuwe versie oppakken, maar even te wachten. Dan merk je vanzelf wel of er iets loos is. Op XDA is een systeem van beoordeling van ROM bakkers, en als je er een zoekt waar veel mensen gebruik van maken, en je kiets een stable release die er al een poosje is, kun je er gevoegelijk van uitgaan dat ie safe is.
Wat is dit voor oud nieuws?
Een goede beveiliging tegen dat soort acties is niet meteen de dag van de release een nieuwe versie oppakken, maar even te wachten. Dan merk je vanzelf wel of er iets loos is.
Dit is nog steeds geen goeie beveiliging, eigenlijk helemaal geen beveiliging. Als de boel gehackt wordt zoals laatst bij Linux Mint op een willekeurige dag na de release van een nieuwe versie dan hang je alsnog.
Dus verbrand je computer dan maar...
XDA en haar users scannen hun uploads heus wel en als er iets niet klopt wordt er aan de bel getrokken. Tenslotte is alles Open Source daar.
Als je geintresseerd bent in custom ROMs zorg ervoor dat je van de site van een gerenommeerde aanbieder download. XDA is een plek waar devs samenkomen en dus relatief veilig, verder kan je denken aan de officiele sites van Android custom ROMs (analoog aan Linux distros) zoals cyanogenmod en paranoid android.

[Reactie gewijzigd door parryfiend op 6 maart 2016 12:08]

Nee, die worden niet gescand.
Je kan daar gewoon een topic openen en de hele mikmak ter download aanbieden vanaf elke willekeurige lokatie.
De eerste paar dagen gaat het van oh en ah wat geweldig en daarna begint het gezeur.
Maar ondertussen is het kwaad al geschiet.

Ik heb in de beginfase ook wel het eea ter download aangeboden dus spreek enigzins uit ervaring.
Xda zit een hoop kennis, maar ook veel goedgelovigen en als je iets evils in het ecosysteem wil gaan brengen zijn dit soort fora the places to be.
Met 'gescand' bedoelde ik overigens dat exploits op den duur wel boven komen drijven door de open source werking van xda en haar users.

Met zelf installeren van custom ROMs en ja, Linux distro's is het ook een kwestie van gezond verstand gebruiken. Natuurlijk kan het altijd dat een kwaadwillende een gehackte versie upload. Bij XDA is het daarom een kwestie van dat je bij een vertrouwde reputabele dev download. Moet je daar wel het forum voor in de gaten houden en userervaringen bijhouden. Maar idd, niets is 100% betrouwbaar, alles kan gehackt worden en je moet sowieso altijd uitkijken met wat je installeert en vanwaar. En al helemaal als het een OS is!

Bij twijfel kan je natuurlijk ook altijd terecht bij de officiele sites van de custom ROMs zoals cyanogenmod.

Custom roms zouden eigenlijk ook niet noodzakelijk moeten zijn om veilig te blijven als oem's hun ROMs op orde zouden hebben. Maar we weten inmiddels dat de fabrikanten deze taak maar al te graag uitbesteden aan de android dev community. Het is veel lucratiever mensen een nieuw toestel aan te smeren dan 'after service' te verlenen aan toestellen waar je toch al geld voor hebt gevangen.

[Reactie gewijzigd door parryfiend op 6 maart 2016 16:07]

Klopt idd, moet niet nodig zijn.
Gelukkig hebben de meeste stervelingen daar geen kaas van gegeten en houden de boel voor wat betreft het besturingssysteem origineel en halen de benodigde apps gewoon uit de store.
Vaak gaat het mis door de zogenaamde handige neefjes of andere betweters die denken dat ze weten wat ze doen en eigenlijk niet echt weten waarmee ze bezig zijn.
En als het dan fout gaat het eea afgeven op android of op het merk van het desbetreffende toestel maar niet op hun eigen falen of onwetendheid.
Ik heb te vaak al schrijnende gevallen op tafel gehad en ben er eigenlijk al een beetje klaar mee.
Als ze nu vragen van kan je..... is mijn antwoord vaak al standaard nee heb ik geen verstand van.
Heb verscheidene jaren er mee gerommeld en was meer voor een ander bezig dan voor mij zelf.
Het begon met pc's en laptops en later met telefoons en tablets, wat eerst even een uurtje hobbieen was koste me op ten duur complete avonden....en een week of wat later kwamen ze er weer mee aan......
Nee, ik bedank voor die eer en stuur ze nu door richting tweakers, xda of android/windows central e.d.
Het probleem is dat wanneer je iets doet voor familie, vrienden of kennissen men denkt recht te hebben op levenslang gratis support. Ik ben daar ook al enige tijd van afgestapt }:O
Niemand kan garanties geven. Een partij als Lenovo leverde ook adware mee. Weliswaar minder schadelijk, maar zorgwekkend is dat het groot bedrijf is waarbij de keten niet sluitend was en dat er iets door is gekomen wat helemaal niet de bedoeling was.

De community van XDA zal je die garantie ook niet geven maar die is wel groot genoeg afwijkingen op te merken.
Klopt.
Doch Lenovo heeft zich daarna wel gecorrigeerd net als Cyanogen ( deze wilden zich ook schuldig gaan maken aan zogenaamde bloatware voor extra inkomsten ).
Xda is een leuk platform met ontzetten veel kennis.
Alles kan en mag, zolang je maar niet begint over het modificeren van apps want dan gaan de moderators lichtelijk over de jank.
Maar aan de andere kant staan ze wel toe dat men complete besturingssystemen en toestellen hacken/patchen of anderzijds proberen mogelijk te maken om toegang te krijgen.

Beetje hypocriete instelling.
Niet op elk device is het mogelijk om een custom ROM te plaatsen. Zo heb ik bijv. een touchscreen (Acer DA220), waarvan ik de HDMI ingang gebruik op een PC. Standaard boot dit apparaat echter in Android, en hoewel er verwoede pogingen gedaan zijn door een aantal gebruikers is een recente custom ROM erop nog steeds niet mogelijk; er zitten namelijk een aantal specifieke drivers in, en er is dus geen werkende custom ROM mogelijk. Graag zou ik het apparaat ook in die Android modus gebruiken, maar het is voor normaal gebruik gewoon een te oude versie aan het worden.

Hoewel ik geen voorstander ben van verregaande regelgeving door de overheid vind ik het persoonlijk in het geval van dit soort apparaten (telefoons, tablets, etc) van den zotte dat een fabrikant deze niet een aantal jaren blijft ondersteunen - bij voorkeur de periode waarop het apparaat normaal gesproken blijft werken, en dat is echt wel meer dan 2 jaar.

Vroeger kon je nog als excuus gebruiken dat een apparaat bleef werken (ik kan me een moederbord herinneren waarvan Asus besloot dat het maar 1 update uit hoefde te brengen en daarna ermee stopte; er bleven een paar bugs in zitten die heel af en toe voorkwamen), maar dat was in een niet-connected wereld, en telefoons en tablets zijn nu eenmaal verbonden met de buitenwereld en kunnen misbruikt worden.

[Reactie gewijzigd door Calypso op 6 maart 2016 11:49]

Dit zie ik als reactie in elke discussie als het gaat om updaten van oude Android tablet/phones, maar er zijn voor echt heel erg veel devices geen custom ROMs mogelijk. Ik zoek ook al erg lang voor mijn Lenovo device een ROM, maar die is er gewoon niet.
Het gaat meer om het principe dat hij aangeef. Hoewel de gemiddelde tweaker er misschien geen moeite mee heeft is het gedoe met custom ROM's voor de gemiddelde gebruiker best lastig. Ik heb het leven van m'n S4 weten te verlengen met een Custom ROM. Dat betekent wel dat ik een aantal features van mn S4 moet missen. Maar het is te gek voor woorden dat een telefoon volgens de Google richtljnen anderhalf jaar wordt ondersteund. Koop je dus nu een Galaxy S6, dan wordt je nog ongeveer een half jaar ondersteund. Dat betekend dat je nog net een eerste release van Android 7 meepakt.
Ik zag gisteren nog in een foldertje een tablet aangeboden met Android 4. Het gaat gewoon niet erg hard met het uitroeien van oude Android versies.
Zolang Facebook, Whatsapp, etc, de meest gebruikte apps, op die versies draaien, zullen die devices wel blijven verkopen.
Maar wereldwijd gezien komt < 4.4 vaker voor dan je denkt. Het gaat om de potentie waarin het plaats kan vinden en dat is met zoveel Android versies best groot. Deze methode is perfect in een trojan te verpakken, als lieve en onschuldige app, maar stiekem ondertussen... Dus nee, het is niet alleen een kwestie van 'nadenken wat je doet'. Imo is dit iets, wat nooit moet kunnen, ik zie er ook geen praktisch nut van in.
Vergis je niet, maar in februari 2016 draaide nog 65% van alle Android devices op 4.4 of lager!

Bron: https://en.wikipedia.org/wiki/Android_version_history
Maar voordat je dit echt tot een goed werkende exploit kan maken. Moet je dus een spel "bedenken" die dus zorgt dat de speler precies op de juiste punten gaat drukken waar het in het menu moet doen.

Dus de overlay(het spelletje) moet zeer goed uitgedacht zijn ten opzichte van Android GUI.
Daarnaast zijn de icoons in het menu bij elke gebruiker anders. Het ligt eraan welke apps je geļnstalleerd hebt. Gmail kan bijvoorbeeld op een heel andere plek staan als je wat applicaties geļnstalleerd hebt met een A,B,C,D,E,F als begin letter.

Dit zal heel lastig zijn en de kans dat zoiets echt goed werkt in de praktijk is nihil. Storm in een glas water. En het spelletje (wat ik geen spelletje noem) in het filmpje is gewoon belachelijk. Dat is geen spel. Omdat er wat strip figuurtjes in zitten is het een spel wat super populair zou worden?
Never nooit niet!!!

[Reactie gewijzigd door Texamicz op 6 maart 2016 12:02]

Naja zo lastig is het ook niet, als je Clash of Clans pakt, maak zoiets, gooi er een tutorial in het begin in en zorg dat de gebruiker op de vierkantjes moet klikken waar de overlay op de goede plek achter zit, klaar.

Kan je me uitleggen hoe het uitmaakt dat Gmail op de juiste plek moet staan? Als je het settings menu in de overlay legt, mensen de juiste vinkjes laat zetten en vervolgens je app toegang heeft tot alle keystrokes onder het mom van spraakhulp dan maakt het daarna toch niets meer uit? Waar je ook op klikt, of in typt, alles wordt naar die app gestuurd, of denk ik nu helemaal verkeerd?
Bekijk eens de video, en let op waar er geklikt is. En dan zie je dus dat ze demonstreren met Gmail. Door in de app drawer te gaan en dan Gmail aan te klikken om zo zaken te veranderen.

En ook de settings menu is bij verschillende fabrikanten anders. Vaak hebben ze daar extra features erin geplaatst. En hoe scroll je dan? Correct? En hoe weet de overlay precies waar dan dat desbetreffende knopje is?
Of je pakt een bestaande game en die herpak je weer met je functies die jij wil hebben en zet em als losse APK online. Zullen er genoeg zijn die hem alsnog installeren hoor. Zeker als het normaal een duur spel is.
Op zichzelf een ernstig lek. Maar het zal niet tot onrust leiden, er zijn immers al vele security problemen rond Android de revu gepasseerd de laatste jaren. Wat bij mij opkomt is de 'broken windows' theory als het over Android en security gaat:
Consider a building with a few broken windows. If the windows are not repaired, the tendency is for vandals to break a few more windows. Eventually, they may even break into the building, and if it's unoccupied, perhaps become squatters or light fires inside.

Or consider a pavement. Some litter accumulates. Soon, more litter accumulates. Eventually, people even start leaving bags of refuse from take-out restaurants there or even break into cars
https://en.wikipedia.org/wiki/Broken_windows_theory
Of zal de marktaandeel van 80% wereldwijd hier iets mee te maken hebben?
van die vele security problemen hoeveel mensen om je heen hebben er last van gehad?
ik ken er zelf geen een persoon die dat heeft.
Ah. Dan zal er vast niemand in je kenniskring gehackt zijn. Het is voor een hacker immers totaal niet aantrekkelijk om 'onder de radar' te blijven en lekker zijn gang te gaan, hij/zij laat veel liever allerlei toeters en bellen afgaan wat waardoor een gebruiker actie gaat ondernemen.
(sarcasme)

" There are two kind of companies: those that have been hacked, and those that do not yet know they have been hacked."
gelijk heb je maar zoals je zegt de gehackte zal ik ook om mij heen hebben of is het alleen toevallig dat die er niet zijn?
Je praat als Yoda.
Hoezo toevallig dat ze er niet zijn...Hoe weet jij dat ze er niet zijn? Hebn je Viince1 reactie wel gelezen of is het sarcasme je volledig ontgaan?
Heeft google geen maandelijkse patch ronde voor 4.4 en hoger? Android4.4 heeft nog security patches ontvangen voor Stagefright. Een clickjack patch kan er ook nog wel bij.

Dat is, als je op aosp of een afgeleide custom ROM als cm zit. Ik weet niet hoe goed en snel oem's zelf zijn met onderhoud van hun eigen ROMs. Samsung heeft veel beloofd, nu zien of ze het waarmaken.

[Reactie gewijzigd door parryfiend op 6 maart 2016 12:00]

4.4 valt volgens mij er nog net onder. Maar daaronder niet lijkt mij.

[Reactie gewijzigd door Texamicz op 6 maart 2016 12:10]

Is wss idd een storm in een glas water.
Zolang je niet zomaar random apps buiten de store gaat downloaden zal je deze malware niet vlug tegenkomen.
Het is iig niet van het caliber van Stagefright.

Maar als een vulnerability eruit gepatched kan worden zonder aan functionaliteit te verliezen is altijd goed.

[Reactie gewijzigd door parryfiend op 6 maart 2016 12:16]

De kwetsbaarheid voor dergelijke aanvallen zit volgens Skycure in Android-versies 2.2 tot 4.4.
Tot en met 4.4 dus vanaf 5 ben je pas veilig. Is gefixt.
Geen apps uit onbekende bronnen toestaan, geen services in toegankelijkheidsopties zou genoeg moeten zijn om het te voorkomen.

[Reactie gewijzigd door Soldaatje op 6 maart 2016 11:35]

De toegankelijkheidsopties zijn in deze slechts een voorbeeld voor de proof of concept. Een wat kwadere optie zijn de locatieservices bijvoorbeeld of de betalingsservices... Apps uit onbekende bronnen is natuurlijk al vanaf het begin zo, om niet te vertrouwen. ;)

[Reactie gewijzigd door CH40S op 6 maart 2016 11:23]

Ik persoonlijk vraag mij af hoe verstandig het op dit moment is om simpelweg bankzaken op je mobiel te doen. Ikzelf draai nog steeds Android 4.1 op mijn Huawei Mate. Upgraden zal het niet gaan worden, maar in mijn omgeving ben ik niet de enige met dit probleem. Het lijkt mij heel handig, maar ik zie in ieder geval vanwege het achterblijven van updates op Android telefoons af van bankzaken op dat platform te doen, daar gebruik ik de laptop voor. Ik adviseer iedereen dat ook netjes in mijn omgeving. Kan iemand aangeven hoe de bank hiermee omgaat wanneer er iets fout gaat met bankzaken te doen op een verouderd Android platform?
Zelf heb ik nooit bankzaken om mijn mobiele telefoon gedaan en ik zal het waarschijnlijk ook nooit gaan doen. Mijn eigen vaste PC gebruik ik hiervoor, omdat ik hier regelmatig meerdere virusscanners aan heb staan. Mijn telefoon staat waarschijnlijk vol met 'crap', omdat ik die nooit scan en ik heb er ook geen virusscanner op staan.

Al denk ik eerlijk gezegd, dat als je alleen apps uit de app-store haalt die van een betrouwbare publisher zijn, dat er dan weinig mis kan gaan. Tenzij deze app zelf is gehackt of iets dergelijks.

Maar om een antwoord te geven op je vraag, ik denk dat de bank zal zeggen dat het een eigen risico is. Het is namelijk niet nodig om op je mobiel bankzaken te regelen. Zij kunnen er denk ik ook weinig aan doen dat jouw telefoon gehackt wordt oid door een app die helemaal niet van hun is.
Eigenlijk zouden ze dit soort zaken in de kiem moeten smoren.
Het instaleren van onbekende bronnen alleen maar mogelijk te maken via een pc/mac waarbij de apk bestand automatisch gescand wordt voor dergelijke kwalijke zaken.
Zo wordt het instaleren buiten de store om iets "lastiger" en de totale noob wordt daardoor enigszins ontmoedigt.

Uiteraard kan dit weer omzeilt worden middels custom roms, maar ja dan is het willens en wetens.
En zeg eens eerlijk, tegen totalitair stupidenis heeft niemand nog een kuur gevonden.
Met mijn custom rom kan ik gewoon de derpende overlays per app als permissie instellen. (Heb het uit staan voor alles btw) Ik sideload liever dingen waar ik de broncode van heb dan een kansexperiment met bouncer en andere AV diensten. Er zijn te veel manieren om die overlay code te obfuscaten/vertraagd in te schakelen dus jou plan utivoeren betekent dat je alles wat overlays kan maken of alles wat accessablity api uit de store weg moet halen... daar schieten eindgebruikers ook niet per se mee op.
Ik heb nog Samsung Galaxy s3 en draait op Android versie 4.3 ! De reden is natuurlijk omdat smartphone als helemaal nieuw eruit ziet, geen schade te zien , geen krassen etc.
En hij werkt prima. En ik zie meer van mijn omgeving ook dat ze ook met android versie 4.3 werkt.
Daarnaast is Consumentenbond bezig met rechtszaak tegen samsung over het beleid van update.
Uitspraak is op 8 maart, dus ook spannend.
Eens kijken of het iets wat oplevert voor oude model, anders moeten wij allemaal inderdaad overstappen naar nieuwe smartphone met meeste nieuwste versie.
Ik heb deze telefoon amper twee jaar en kan niet meer updaten en dat is ook zonde. :'(
even zien galaxy s6 vorig jaar, de s5 dat jaar daar voor, de s4 3 jaar geleden.. dat toestel is eigenlijk al 4 jaar.vind ik eigenlijk meer dan logisch dat men gestopt is met updaten.
Op zich geen vreemde gedachte, maar een security patche uitrollen naar oudere devices zou toch gewoon moeten kunnen?

Anders moeten ze de boel maar verplicht vrijgeven, zodat je root krijgt en je toestel zelf kunt beveiligen o.i.d..

Of denk ik te simpel?
nee, daar heb je ook weer gelijk in.

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True