Beveiligingsbedrijf toont lekken in smartphonesoftware

Beveiligingsbedrijf Tehtri heeft op Hack in the Box beveiligingslekken getoond in software op de iPhone, BlackBerry en HTC-telefoons met Windows Mobile. Ook verschillende desktopprogramma's hebben potentiële kwetsbaarheden.

Dat zei oprichter Laurent Oudot van het Franse beveiligingsbedrijf Tehtri Security. Meest ernstig was een lek in de Cfnetworks-softwarebibliotheek, die wordt gebruikt door veel iPhone-applicaties, zoals Twitterrific en Facebook. "We hadden 100.000, misschien wel 200.000 iPhones kunnen overnemen", zegt Oudot tegen Tweakers.net. Zijn bedrijf heeft de problemen gemeld bij Apple, dat het lek inmiddels heeft gepatcht.

Het lek zat in de manier waarop de Cfnetworks-bibliotheek met internetadressen omging. Een http-verzoek via een onversleutelde internetverbinding kon dankzij een stack overflow met een man in the middle-attack worden aangevallen. Zo zouden de onderzoekers de controle over een toestel kunnen overnemen. Volgens Oudot zijn iPhone-bezitters die hun toestel hebben gejailbreakt daarbij kwetsbaarder, omdat een jailbreak meer mogelijkheden voor code-injectie geeft. Oudot adviseert iPhone-bezitters om hun software te updaten.

Bij een man in the middle-aanval onderschept een aanvaller internetverkeer en stuurt hij zelf gegevens terug. Zo kunnen bijvoorbeeld sites van banken worden vervalst. Internetgebruikers zijn bijvoorbeeld vatbaar voor dergelijke aanvallen als ze zich op een open, onbeveiligd netwerk bevinden, zoals op een vliegveld. Man in the middle-aanvallen kunnen worden belemmerd door beveiligde verbindingen te gebruiken.

Oudot toonde ook een bug in de Safari-browser op de iPad, eveneens een man in the middle-aanval. Daarbij slaagde hij erin de browser te laten crashen. Uitvoeren van code zou ook mogelijk zijn, maar Oudot wilde naar aanleiding van afspraken van Apple niet meer informatie geven.

Ook kwetsbaar is de voorgeïnstalleerde Opera-browser op HTC's met Windows Mobile; deze zou eveneens vatbaar zijn voor man in the middle-aanvallen. Een proof of concept heeft het bedrijf echter niet, anders dan bij de iPhone en iPad. Verder zou ook de standaard-BlackBerry-browser korte tijd voor dergelijke aanvallen kwetsbaar zijn geweest.

Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X. Ook hierbij ging het om man in the middle-kwetsbaarheden. Het bedrijf heeft echter geen concrete voorbeelden van misbruik van de lekken laten zien.

Door Joost Schellevis

Redacteur

Feedback • 01-07-2010 17:20 32

01-07-2010 • 17:20

32

Lees meer

Win kaarten voor hackersconferentie Hack in the Box
Win kaarten voor hackersconferentie Hack in the Box .Plan van 13 maart 2013
Bug in HTC-toestellen laat apps wifi-wachtwoorden stelen
Bug in HTC-toestellen laat apps wifi-wachtwoorden stelen Nieuws van 2 februari 2012
Zero day-exploit voor Opera gepubliceerd - update
Zero day-exploit voor Opera gepubliceerd - update Nieuws van 18 oktober 2011
MIT gebruikt telefooncamera voor overdracht gegevens met pc
MIT gebruikt telefooncamera voor overdracht gegevens met pc Nieuws van 25 juni 2011
Opera werkt aan browser voor iPad
Opera werkt aan browser voor iPad Nieuws van 10 februari 2011
Firefox blokkeert Skype-toolbar na crashes
Firefox blokkeert Skype-toolbar na crashes Nieuws van 21 januari 2011
Google gaat sms-bug in Android oplossen
Google gaat sms-bug in Android oplossen Nieuws van 6 januari 2011
Wekker iPhone faalt in nieuwe jaar
Wekker iPhone faalt in nieuwe jaar Nieuws van 2 januari 2011
'Backups BlackBerry's makkelijk te kraken'
'Backups BlackBerry's makkelijk te kraken' Nieuws van 3 oktober 2010
Facebook repareert lek in geolocatiedienst Places
Facebook repareert lek in geolocatiedienst Places Nieuws van 2 oktober 2010
App maakt op privacy gerichte custom roms Android mogelijk
App maakt op privacy gerichte custom roms Android mogelijk Nieuws van 1 oktober 2010
Apple repareert kritieke lekken in OS X
Apple repareert kritieke lekken in OS X Nieuws van 25 augustus 2010
Googles beveiliging voor Android-apps gemakkelijk te omzeilen
Googles beveiliging voor Android-apps gemakkelijk te omzeilen Nieuws van 24 augustus 2010
Hacker brengt jailbreak voor iOS4 uit
Hacker brengt jailbreak voor iOS4 uit Nieuws van 2 augustus 2010
'Microsoft brengt noodpatch uit voor lek in snelkoppelingen'
'Microsoft brengt noodpatch uit voor lek in snelkoppelingen' Nieuws van 31 juli 2010
'Ontwikkelaar steelt privégegevens miljoenen Android-gebruikers'
'Ontwikkelaar steelt privégegevens miljoenen Android-gebruikers' Nieuws van 29 juli 2010
'Autocomplete-functies in browsers zijn onveilig'
'Autocomplete-functies in browsers zijn onveilig' Nieuws van 28 juli 2010
Uitgelekte roadmap toont onbekende smartphones HTC en Samsung
Uitgelekte roadmap toont onbekende smartphones HTC en Samsung Nieuws van 6 juli 2010
'Bug in IOKit verleent hacker root-toegang op Mac OS X'
'Bug in IOKit verleent hacker root-toegang op Mac OS X' Nieuws van 2 juli 2010
'Exploit Safari kan voor jailbreak iPhone-OS zorgen'
'Exploit Safari kan voor jailbreak iPhone-OS zorgen' Nieuws van 31 maart 2010
LG brengt GM750-smartphone met WM6.5 uit
LG brengt GM750-smartphone met WM6.5 uit Nieuws van 17 september 2009
Dev Team brengt jailbreaktool voor iPhone 3GS uit
Dev Team brengt jailbreaktool voor iPhone 3GS uit Nieuws van 8 juli 2009
Foto's van 'volgend Android-toestel HTC' lekken uit
Foto's van 'volgend Android-toestel HTC' lekken uit Nieuws van 21 januari 2009
Meer producten en artikelen
Mobiele besturingssystemen Tablets Privacy Websites en community's Internettoegang Smartphones Apple Google HTC Rim Blackberry iPhone Android iPad iOS Beveiliging Windows Phone

Reacties (32)

-Moderatie-faq
32
28
22
0
0
0
Wijzig sortering
johnkeates 1 juli 2010 17:31
Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Shadoxfix @johnkeates1 juli 2010 17:38
Wel als er een lek in de software zit.
Rutix @Shadoxfix1 juli 2010 18:10
Dan nog is het niet de schuld van de OS maar van de software. Zoals dreamvoid hierboven al zegt. De OS heeft pas een veiligheidprobleem als je code injectie ect. kunt doen vanuit die software.
mashell @johnkeates1 juli 2010 17:33
De echte schuldige is natuurlijk de dader, de hacker.
AuteurJoost @johnkeates1 juli 2010 17:48
Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Klopt maar als je de totale controle over een systeem kunt overnemen, is er ook wat mis met de software.
arjankoole
@johnkeates2 juli 2010 06:49
Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Netwerk infra schuldig? Misschien als je dure IDS oplossingen hebt staan die dat behoren te detecteren.

De schuld is te zoeken bij het deel van de software die daar bescherming hoort te bieden. In het geval van de iPhone kan ik me voorstellen dat je leunt op de API van Apple, en ligt in principe daar de schuld. Same met Windows Mobile. Mocht Android lek zijn, dan kan het liggen in het OS, maar ook eventueel in de java library die er gebruikt wordt.
FireDrunk @johnkeates1 juli 2010 17:35
Niet helemaal natuurlijk. Als jou software een SSL verbinding gebruikt is man-in-the-middle (vrijwel) onmogelijk. Maar als jou software weigert SSL te gebruiken, kan je nog zo'n goede infrastructuur hebben....
Dreamvoid
@FireDrunk1 juli 2010 18:03
Dus schuld van de software, niet van 't OS. Dat komt helemaal niet in de keten voor in dit geval. Applicatie praat met internet, en in die communicatie zit een lek waardoor er ongemerkt iemand tussenin zit. Pas als je vanuit de applicatie in het OS of ander apps kan komen (code injectie, buffer of stack overflows, etc) wordt het een veiligheidsprobleem van de smartphone zelf: trojans/rootkits/etc.

Dat is bij Safari op de iPhone al een aantal keer mogelijk geweest omdat het een relatief kwetsbare native code applicatie is en niet in een dichtgetimmerde VM draait zoals bij Android/Blackberry/WP7 en je dus relatief makkelijk code kan injecteren. NB: de flipside is natuurlijk dat de iPhone door die lekken ook al jarenlang makkelijk te jailbreaken is, en natuurlijk dat native code apps lekker snel zijn. Windows Mobile (tm 6.x) en Symbian hebben hetzelfde (fundamentele) probleem.

Je ziet nu dat moderne mobile OSsen proberen de apps meer af te schermen van het OS - of in het geval van Apple, "selectie aan de poort": apps beperken tot een aantal API's en handmatig screenen op potentieel gevaarlijke code voordat ze in de App Store komen.

edit: fanboy? (leest zijn comment nog eens door) Van wie dan? :?

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 20:46]

Anoniem: 355978 @Anoniem: 2739701 juli 2010 19:20
Dreamvoid legt duidelijk en met argumenten gespeend hoe het in elkaar steekt.
Dit zijn gewoon feiten en dan kom jij met zo'n debiele opmerking.

Als je het oneens bent met zijn argumenten reageer daar dan op een proffesionele manier op.
Zo lijkt het op onvolwassen kotergedoe.
numlocker 2 juli 2010 05:39
Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X. Ook hierbij ging het om man in the middle-kwetsbaarheden. Het bedrijf heeft echter geen concrete voorbeelden van misbruik van de lekken laten zien.

Gebruik zelf soms Itunes maar veel vaker Firefox.
Dan stap ik maar weer over op IE.
(Alleen telebanken en betalingen.Dat dan weer wel.) :)
i-chat @numlocker2 juli 2010 07:57
wat een non- argument,

omdat er een of andere franse clown roept dat er fouten in firefox zitten, (ja duh) - moet je weer direct een andere browser zoeken (die zeer waarschijnlijk ook dergelijke fouten bevat).

laat deze loozert eerst maar eens enkele van die fouten markeren in plaats van enkel een hoop geblaat.

want zonder verder onderzoek weet ik ook wel dat er vast en zeker mitm fouten zitten in WSUS, Aptitude, en andere software update meganismen,

je zou daarmee feitelijk een geinfecteerde kernel kunnen installeren waardoor je zelfs op hardware niveau met systemen kunt gaan kloten (zodat je wel heel makkelijk bankgegevens kunt binnenhengelen.

- maar mijn leuk gekozen voorbeeld mag dan waar zijn, zolang er geen onderzoek gedaan is naar of die fouten er op dit moment werkelijk inzitten en waar en hoe ze te misbruiken zijn, blijft 't slechts een hoop gezwets zonder ook maar enig nut of betekenis. en is het dus niets meer of minder dan mindless bashing.

[Reactie gewijzigd door i-chat op 23 juli 2024 20:46]

Dreamvoid
1 juli 2010 17:40
Dit is op zich heel interessant nieuws, want gepubliceerde lekken op Blackberry zijn zeldzaam. De browser draait daar binnen de Java VM, dus in feite een Java lek?

(edit: ah man-in-the-middle, dus een kwetsbaarheid tussen internet <-> browser, en niet browser <-> OS. Ellende blijft binnen de browser dus.)

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 20:46]

Anoniem: 335608 2 juli 2010 08:35
Beveiligingsbedrijven ruiken ook hun kans nu Mobiele operating systems geavanceerder worden en mogelijk zelfs desktop OS's kunnen gaan verdringen.
Voor mijn iig geen 3rd party software die op virussen checked. Ik heb er alleen maar slechte ervaringen mee.
Ik heb nu een iPhone en hoop dat Apple er voor gaat zorgen dat hun systeem veilig blijft om te gebruiken. Ik zal iig een mobiel OS volgen wat zo veilig mogelijk is.
Op m'n mobiel doe ik namelijk veel meer persoonlijke dingen. Het is meer een hub naar mijn digitale identiteit dan mijn laptop op dit moment. Ik zie dit binnen 5 jaar exponentieel groeien, dan moeten we kunnen blijven vertrouwen op onze software.
Deem 1 juli 2010 17:24
Android dus niet?
LuckY @Deem1 juli 2010 20:24
Hij had geen beschikking over een android dus heeft hij zelf niet kunnen testen, dit melde hij ook tijdens de presentatie.
En het waren niet alleen mobiele telefoons die dit soort grapjes hadden, ook dingen als Office Live of iLife werken met http connectie's bij lokaal opstarten die te mitmen zijn.
Het is eigenlijk niks nieuw :) echter is het wel leuk dat het weer onder de aandacht wordt gebracht.

Tevens is SSL niet de oplossing want met SSLstrip aanvalen (ja dat doet wat het woord zegt ) kan je dat omzeilen.
daft_dutch @LuckY1 juli 2010 21:34
SSL"strip" een netwerk af sniffen en dan de redirects bewerken en naar een "proxy" sturen. Dat is inderdaad een leuke man in de middle. Gelukkig hebben de browser makers daar reeds op gereageerd en is het SSL certificaat (van de evil proxy) zichtbaar.

SSL niet de oplossing laat me niet lachen. Als je altijd SSL gebruik kan deze SSLstip aanval nooit plaat vinden. Kortom alles over naar https.
LuckY @daft_dutch1 juli 2010 22:24
Uhm niet elke sslstrip aanval werkt zo ik kan hem ook als HTTP aanbieden!
waardoor je browser of client niet zeurt :) en dan moet je manueel op het "slotje" letten.
En aangezien dat op je mobiele telefoon daar minder snel op wordt gelet.
SSL niet de oplossing laat me niet lachen. Als je altijd SSL gebruik kan deze SSLstip aanval nooit plaat vinden. Kortom alles over naar https.
Dit was een beetje kort door de bocht van mij.
Enkel HTTPS implementeren met HTTP als backup is geen optie omdat ik het dan als mogelijke aanvaller nog als HTTP kan aanbieden, er moet compleet overgegaan worden op HTTPS (en de code moet het ook verifiëren) imho natuurlijk. en daar heb jij dus gelijk in :)

Daar doelde ik meer op :) en tja selfsigned certs geven vaak een error :) maar zoals hij in zijn presentatie aanhaalt zijn er ook andere mogelijkheden.
De slides staan trouwens hier:

http://conference.hitb.or...b%20in%20the%20Middle.pdf

Hier is meer info over de SSLstrip te vinden:
http://www.thoughtcrime.org/software/sslstrip/

* LuckY aait zijn SSH tunnel

[Reactie gewijzigd door LuckY op 23 juli 2024 20:46]

watercoolertje
@Deem1 juli 2010 17:28
Ook dat heeft lekken (of er al gevonden zijn is wat anders), lekvrij bestaat niet met zulke software, je kunt het beperken maar uitsluiten niet ;)
Simkin @Deem1 juli 2010 17:29
Beveiligingsbedrijf Tehtri heeft op Hack in the Box beveiligingslekken getoond in software op de iPhone, BlackBerry en HTC-telefoons met Windows Mobile.
Klopt
Anoniem: 95032 @Deem1 juli 2010 18:06
Tuurlijk wel google maar op "Android Vulnerability"
Bananenspin 1 juli 2010 20:00
Hoe krijgen dit soort bedrijven hun inkomsten binnen vraag ik mij af? Zullen ze dan naar apple gaan en zeggen: "Hoi ik kan 200.000 iphones overnemen met een lek in jullie software, maar voor 1 mil vertel ik jullie het lek"?
awulms @Bananenspin1 juli 2010 21:23
Bij het bedrijf waar ik werk nodigen we regelmatig internet beveilingsspecialisten uit om onze website en erop draaiende applicaties enzo te testen en te reviewen op beveilingsproblemen. Uiteraard betalen we zo'n beveiligingsbedrijf daarvoor. We zijn vast en zeker niet het enige bedrijf dat op een dergelijke manier werkt. Dat is hoe dergelijke internet beveilingsbedrijven aan hun inkomsten komen.
Anoniem: 224933 @awulms2 juli 2010 00:10
1 zon onderzoek en ze worden voor 10 projecten gevraagd om daar ook de beveiliging van na te kijken.
Zero Grav 1 juli 2010 23:45
Spijtig voor iPhone 2G gebruikers (zoals mezelf) die geen Firmware Updates meer krijgen. Ik verwacht iOS4 niet op mijn toestel en begrijp dat ze na 3 jaar de support opzeggen, maar dat ik dan tegelijk deze belangrijke patches niet meer kan ontvangen is minder. Zo blijf je toch met een beveiligingsrisico zitten waar helemaal niets aan gedaan wordt.
arjankoole
@Zero Grav2 juli 2010 06:45
Spijtig voor iPhone 2G gebruikers (zoals mezelf) die geen Firmware Updates meer krijgen.
Jij kan toch gewoon nog iPhone OS 3 gebruiken? en die wordt qua security patches nog gewoon ondersteund. Alleen iPhone OS 2 is nu uit de ondersteunings cycle gevallen.

(note: pas sinds versie 4 heet het iOS)
Zero Grav @arjankoole2 juli 2010 13:03
De naam is gewoon volledig naar iOS omgevormd. Op dit moment staat er ook nog geen iOS4 op de iPad bijvoorbeeld, dus dan kan je het nog moeilijk iPhone OS 3 noemen.

Misschien dat er nog wel eens een security patch voor iOS3 zal uitkomen, maar er is nooit bevestigd dat ze dit effectief gaan doen Het zou me ook niet verbazen als er helemaal geen updates meer voor 3.0 komen en dat ze zich volledig gaan richten op 4.0 waarbij ze wel rekening houden met backwards compatible maar meer niet.

Ik begrijp trouwens niet wat er irrelevant is aan mijn vorige post. Het gaat over beveiligingsrisico's op de iPhone en ik stel de vraag of Apple dit risico nu enkel voor iOS4 gaat oplossen of ook voor iOS3. Hoe meer on-topic kan je gaan..

[Reactie gewijzigd door Zero Grav op 23 juli 2024 20:46]

Anoniem: 357542 2 juli 2010 12:29
Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X.
Oftewel: Ik blijf lekker met IE8 op mijn Windows 7 computer surfen, terwijl ik een brief tik in Word en muziek luister via Windows Media Player.

[applefanboyantwoord] Maar dat zijn geen beveiligingslekken in OSX en iTunes hoor, maar dat heeft Apple met opzet gedaan omdat ze openheid van software nastreven![/applefanboyantwoord]
Kosty @Barleone2 juli 2010 01:18
http://tweakers.net/nieuws/63504/t-mobile-gaat-ssh-hack-iphones-onmogelijk-maken.html.

Daar dacht ik in eerste instantie aan, of toch aan het eerste artikel hierover (kijk bij de gerelateerde berichten).

OnTopic : Achja, man in the middle "lekken" zul je toch ALTIJD hebben hoor, zeker in het geval van onvoldoede geteste software en publieke netwerken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq