Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

De app Google Instellingen blijkt gebruikers al maanden te beschermen tegen mogelijke exploits van een bug, waarbij kwaadwillenden een legitieme app kunnen injecteren met malware zonder dat het opvalt. Er is nog geen exploit van de bug bekend.

Verify Apps Google Android beveiligingDe ontdekkers maakten de bug, waarbij installatiebestanden van apps kunnen worden aangepast zonder dat de cryptografische handtekening wordt gewijzigd, vorige week bekend. Ze zullen de details delen op hackersconferentie Black Hat, die over enkele weken plaatsvindt in Las Vegas.

Wel heeft een andere ontwikkelaar ontdekt hoe de bug werkt. Hij heeft een proof-of-concept op Github geplaatst. Volgens Security Ledger werkt de bug door in de apk een tweede bestand met malware te injecteren in het installatiebestand. De proof-of-concept doet dat met het bestand classes.dex. Alleen het eerste zal worden gecheckt, maar beide worden geïnstalleerd.

De ontdekkers seinden Google al in februari in en die maakte in maart een fix. Onder meer de Galaxy S4 beschikt al over deze fix, maar veel meer gebruikers blijken beschermd. Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug, zo schrijft ZDNet. Deze functie checkt vemoedelijk op dergelijke dubbele bestanden in de apk. De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben. Hoeveel gebruikers deze app op het toestel hebben staan, is onduidelijk; hij is geschikt voor elke Android-telefoon.

Er zijn overigens nog geen exploits waargenomen door Google, dat een log bijhoudt van alle geverifieerde apps. Het ligt ook niet voor de hand dat dat gaat gebeuren. Hoewel de ontdekker van het lek, het beveiligingsbedrijf BlueBox, hoog van de toren blies met de claim dat het de 'master key' tot 'vrijwel alle Android-toestellen' had ontdekt, is de impact van de bug gering. Vaak gebruiken kwaadwillenden al aangepaste legitieme apps om malware te verspreiden; die bevatten een andere cryptografische handtekening dan het origineel, maar omdat ook de naam van ontwikkelaar van de app is aangepast, kunnen die apps met malware geïnstalleerd worden.

Hoewel het aantal gevallen van malware op Android in de afgelopen jaren fors is toegenomen, zijn er nog altijd geen grote uitbraken van malware op Android-apparaten geweest. Dat kan komen doordat de Play Store, voor veel gebruikers de enige plaats waar ze apps downloaden, voldoende bescherming biedt. Ook zou het kunnen dat criminelen hier juist op aansturen, zodat zo weinig mogelijk mensen hun telefoon tegen malware beveiligen.

Update 12:43: Oorspronkelijk stond in het artikel dat 'vermoedelijk' Android 4.0 of hoger zou zijn vereist om via de app Google Instellingen veilig te zijn, maar zoals diverse tweakers opmerken zijn ook oudere toestellen met Android 2.3 standaard beveiligd tegen exploits van deze bug. Daarmee zijn er bijna geen in Nederland verkochte toestellen standaard vatbaar voor een exploit van deze bug.

Reacties (53)

Reactiefilter:-153048+139+25+31
Moderatie-faq Wijzig weergave
"Wel heeft een andere ontwikkelaar ontdekt hoe de bug werkt"

Op zich was deze bug in die kringen al redelijk bekend... De persoon in kwestie - Pau Oliva - hoort bij een inner circle van een groepje redelijk bekende security researchers, en was waarschijnlijk al maanden op de hoogte. Hij is overigens ook niet echt een ontwikkelaar. Ik ken zelf aardig wat mensen uit dat groepje (inclusief Pof) en minstens 4 daarvan wisten de details van deze exploit al een hele tijd. In dat groepje wordt normaliter niet geleakt, maar in dit geval heeft een Google medewerker hun interne patch aan CM gegeven - toen was het hek natuurlijk van de dam.

Iets anders wat meteen opvalt is dat Google's scanner naar mijn weten alleen APKs scant die buiten de Play Store om geinstalleerd worden. Wat natuurlijk de grote grap is hier, is dat hoewel de API van de Play Store over HTTPS loopt, de daadwerkelijke download (naar verluid) over HTTP gaat. Een man-in-the-middle attack is wellicht mogelijk op publieke Wi-Fi netwerken.

Deze man brengt het leuk: http://it.slashdot.org/co...=3950207&cid=44220885
De optie apps verifiŽren wordt pas zichtbaar als in de securityinstellingen installatie uit onbekende bronnen aanstaat
(Android 4.1.2, waarschijnlijk ook eerdere versies).
"Laat Gogole apps van andere bronnen dan Google Play scannen en u waarschuwen in het zeldzame geval dat een app mogelijk schadelijk is. Meer informatie."
Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving. Ik vind dat onder garantie ook verplicht beveiligingsupdates zouden moeten zitten.
Je hebt garantie op de telefoon ja, maar wat jij er vervolgens mee doet heeft er niets mee te maken.

Op een auto heb je ook fabrieksgarantie, maar als jij met je golfje offroad rallys gaat rijden, dan moet je ook niet bij VW aankloppen omdat je achteras kapot is.

Natuurlijk heb je wel gelijk dat beveiligingsupdates wel geleverd zouden moeten worden, maar als je gewoon de Google Play Store gebruikt, dan heb je nergens last van.

[Reactie gewijzigd door Wh4ck0 op 9 juli 2013 11:59]

In dit geval heb je dan nergens last van, maar als er een exploit word gevonden die een serieus risico met zich mee brengt dan kan je dus niet meer vertrouwen op het toestel, het hoeft dus niet afhankelijk te zijn van de gebruiker. Je vergelijking klopt daarom niet helemaal. Vergelijk het eerder met het kopen van een nieuwe auto waarvan na 1,5 jaar je er niet van op aan kan dat hij de hele rit vol gaat houden. Je loopt de kans met pech langs de weg te belanden. Het ligt niet volledig in jouw handen als een product niet veilig meer is.
HTC vertikt het bijvoorbeeld doorgaans om toestellen langer dan een jaar van updates te voorzien. Mocht er nu ineens een lek worden gevonden in de kernel wat niet met een app is op te lossen dan is het nog maar de vraag of ik binnen de garantietermijn van mijn toestel een werkende telefoon heb.
Je hebt het duidelijk niet goed begrepen. Je moet als eerste toestaan dat applicaties uit onbekende bron geÔnstalleerd mogen worden. En als je installeren uit onbekende bron toestaat, heb je dus nog de keuze om deze apps te laten verifiŽren bij Google. Het ligt dus wel degelijk volledig in je eigen handen.

Verder: HTC brengt nog wel degelijk updates (bugfixes) uit, alleen de Android-versie blijft hetzelfde.

Daarnaast, Google maakt steeds meer onderdelen van Android onafhankelijk van het versienummer en die onderdelen worden dan toch geupdate.
je hebt duidelijk niet goed gelezen wat ik schreef, ik had het over "andere exploits"
als er een exploit word gevonden die een serieus risico met zich mee brengt dan .....
En wat betreft HTC, ik heb al meer dan een half jaar geen enkele update meer gezien voor mijn nog geen 2 jaar oude HTC sensation.

En wat betreft je laatste punt, ik had het over de kernel, een exploit in de kernel kan je niet met een app update fixen.
Nou, afgaande op het artikel ("Wie de functie Verifieer Apps heeft aanstaan, is beschermd tegen exploits van deze bug") vind ik toch bedenkelijk. Ik weet niet waarom die app wel of niet aan staat, maar het lijkt me dat die app altijd moet draaien, cq gestart moet worden bij installatie, tenzij de gebruiker die app bewust uit zet.
Dat is dus precies wat er ook gebeurt. De functionaliteit staat standaard aan tenzij de gebruiker er voor kiest deze functionaliteit zelf uit te zetten. Alleen tijdens installatie moet er nog wel gekozen worden voor "Verify and install", anders wordt hij (in ieder geval op mijn Oppo Find 5) geÔnstalleerd met de "Package installer" die niet deze verificatie uitvoert.
Dus zolang de gebruiker Google Settings geinstalleerd heeft en kiest voor "Verify and install" tijdens installatie is er geen enkel probleem.
Deze opmerking raakt werkelijk kant nog wal. Hoewel Android mogelijk minder is als iOS, (wat niet mijn mening is) is het een OS dat geweldig presteert, en dus absoluut niet met vista vergeleken kan worden.
Dat jij het persoonlijk niet prettig vind, is jou zaak. Ik heb toch veel liever Android met z' n bestandbeheer, dan iOS waar klaarblijkelijk alles via iTunes of mail erop gezet moet worden.
nieuws: Gerucht: Android 5.0 komt in oktober en biedt 'optimalisaties'

Ja, klopt helemaal, die conclusie van jou [/sarcasm]

Google is juist bezig met het maken van een zo snel en stabiel mogelijk OS, en daar slagen ze best goed in. Lees dat artikel nog maar eens na. Feit is dat Google z'n zaakjes goed op orde heeft, of je nu van android houdt of niet. Als't traag is wordt dat veroorzaakt door een extra OS laag over android heen, zoals Sense bij HTC bijvoorbeeld. Een kale android is bliksemsnel, zoek maar eens naar gebruikerservaringen van de Nexus, of een 'kale' Galaxy IV of One. En onveilig, alleen als je doelbewust eea uitschakelt. Maar laten we het dan ook maar niet hebben over een gejailbreakte iPhone...
Ik ben ook geen fan van Android, maar stel je niet aan. Of je nu windows, android of ios op je apparaat hebt staan, het maakt in de praktijk geen bal uit.

Ze zijn allemaal te kraken, ze zijn allemaal onveilig en ze worden allemaal uiteindelijk traag. Maar het belangrijkste van allemaals, je kunt met alle drie hetzelfde. Het is maar net wat je fijn vind of gewend bent.
... dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de Europese wetgeving...
Ik wil hier even op inhaken. De Nederlandse wetgeving zegt dat je garantie op een product hebt zolang je het deugdelijk acht. Dat is dus, bij een smartphone, vier a vijf jaar.

Nou weet ik ook wel dat de Europese wet de Nederlandse wet "overruled" maar toch, gekocht in Nederland = onder Nederlandse wet = Garantietermijn volgens de Nederlandse wet.
Prima dat je dat vind. Het is verdomd lastig om twee jaar softwareservice in een prijs te verwerken.
Google heeft zijn zaakjes dus goed op orde, als telefoonfabrikanten nu wat vaker updates uit zouden brengen zijn alle toestellen netjes beschermd. Toestellen van ouder dan 1.5 jaar zijn simpelweg niet veilig meer, dat is vreemd aangezien er wel 2 jaar garantie op dient te zitten volgens de europese wetgeving.
En daar zit dus ook meteen de grootste culprit van Android, elke telefoonfabrikant heeft hun eigen versie en doen lang niet altijd netjes de boel bijwerken. Als er gewoon gewerkt zou worden met een standaard Android, dan zou iedereen (mits de kernel het ondersteund) netjes kunnen updaten zonder afhankelijk te zijn van de fabrikant zelf (hooguit voor enkele hele speciale onderdelen)..
In de eerste plaats is hier geen europese wetgeving van toepassing omdat de Nederlandse garantie wetgeving meer rechten geeft aan de koper dan de europese: in Nederland moet een product zo lang mee gaan als redelijkerwijs van een product verwacht mag worden. Hierin voorziet BW 7:17.

Het is echter moeilijk te bewijzen dat je in geval van malware recht hebt op garantie. Als jij namelijk zelf de malware geÔnstalleerd hebt - ook al is het uit onwetendheid - ligt het niet aan de verkoper (de fabrikant is geen partij bij garantie, dat is tussen verkoper en koper) dat het defect ontstaan is. En de meeste Android malware komt op die manier binnen.
dat laatste zinnetje uit ZDnet is ook toch niet onbelangrijk tweakers

They may not need to worry too much. Scigliano added, "We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue - and Verify Apps provides protection for Android users who download apps to their devices outside of Play."
Ik vermoed dan dat het grootste gedeelte dan toch wel veilig is. Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
In de VS/EU misschien. Veel telefoons in China en andere landen komen echter met alternatieve app stores.

Zelfs als Google Play op je telefoon aanwezig is ben je daar vaak gedwongen een alternatieve store te gebruiken omdat veel apps simpelweg de melding "Not available in your country." geven, terwijl de app wel gewoon goed werkt als je hem eenmaal ergens vandaan hebt gehaald.
Over t algemeen is er maar een klein groepje die apps installeren buiten de Google Play store om.
Alle Kindle fire gebruikers bijvoorbeeld
Op de kindle fire draait een zwaar aangepaste versie van android, dat is de verantwoordelijkheid van amazon.
De functie zit in de app Google Instellingen, die veel gebruikers sinds enige maanden op hun telefoon hebben.

Google instellingen zit ook op de oudere versies van Android(gechecked op v2.3.6), echter de optie 'Apps verifiŽren' zit hier niet in.
Op mijn Nexus 4(v4.2.2) en mijn DesireHD(Custom rom v4.2.2) staat het inderdaad standaard aan.

Je kunt het terug vinden onder : Instellingen > beveiliging > Apps verifiŽren
Heb hier v2.3.5 stockrom van desirehd en daarin staat Apps verifiŽren netjes aan
Heb het hier nog even gecontroleerd.
Deze Galaxy S Plus versie 2.3.6 heeft bij het instellingen menu alswel Google Instellingen(wat alleen instellingen zijn gericht op Google diensten) geen optie om de apps ter verifieren. Schijnbaar heeft Samsung deze eruit gesloopt.
of je hebt de update nog niet ontvangen.
het is een stille app update, en die worden soms vertraagd geÔnstalleerd.
het zelfde gebeurt ook vaak met de play store.
@marek965 hieronder heeft het bij het juiste eind.
Zodra ik onder(v2.3.6) instellingen>applicaties "onbekende bronnen" aanvink dan krijg ik onder Google instellingen de optie 'Apps verifiŽren".

Het lijkt er bij mijn Nexus4(v4.2.2) op dat in de recentere versies(ik geloof dat er hier ergens vanaf 4.0.4 genoemd werd) de optie standaard aanstaat ook met optie "onbekende bronnen" uit.
Op Android 2.3.7 heb ik wel Google Settings inclusief Verify Apps. Staat standaard aan.
Ik ben zelf geen groot van van Apple en de producten. Maar Apple doet wel wat bijna alle andere fabrikanten met Android toestellen verwaarlozen; het updaten van de apparaten. Hoewel ik het idee heb dat fabrikanten dit steeds beter beginnen te doen. (HTC One X ruim een jaar na dato nog een update naar de nieuwe Android, Galaxy S2 nog niet zo lang geleden een update etc.)

Ik ben wel blij dat Google en/of andere ontwikkelaars van het Android platform zorgen dat dit soort belangrijke problemen worden opgelost. Nu maar hopen dat toestellen beter geŁpdatet worden.
Het probleem is hier niet Google maar de OEM's die telefoons uitbrengen. Google rolt best vaak updates uit (ik heb een Nexus, dus geen OEM crap), maar de OEM's houden dat vaak niet bij omdat ze custom software meeleveren met hun Android telefoons. Denk aan HTC's Sense of Samsung's TouchWiz.

Het is, blijkbaar, erg lastig voor een OEM om point-releases te maken voor hun firmwares. Blijkbaar is dat in hun ogen teveel moeite voor bijna geen winst.

Bovendien wordt je zo een beetje gedwongen om een nieuw toestel aan te schaffen als je ťcht de nieuwe Android versie wilt. De massa boeit dat 0,0 maar de Tweakers onder ons (die geen zin hebben om te rooten niet weten hoe dit moet) zijn daar anders in.
Een beetje Tweaker kan een telefoon best wel rooten toch! Het is vrij makkelijk om er dan een custom rom of stock android op te zetten met de nieuwste updates.
In de beschrijving van die verificatie functie staat dat het alleen apps van buiten de store checkt. Als men deze exploit dus in een app in de store krijgt ben je niet beschermd. Maar wss doet de server dezelfde check, dus geen probleem
Voordat een app in de app store geraakt zal er ook een check gebeuren of de "signature" klopt.
Daarnaast zou je naast deze exploit dan ook nog aan het google play paswoord moeten geraken van de uitgever van de "originele app".
Security issue gemeld en aangedikt door een firma dat antivirus software verkoopt op Android. Met andere woorden: niemand van de Android gebruikers zal geÔmpacteerd worden, indien ze zich niet buiten de Play Store wagen voor hun apps en niet zomaar OK klikken op de 2 extra security checks in Jelly Bean wanneer er via Third Party plugins een app ongevraagd wordt gedownload en geprompt wordt deze te installeren.

fijn stukje leesvoer over de "Android ecosysteem is onveilig" farce: http://blogs.computerworl...445/android-malware-scare
Android 2.3.4 rom : google instelling auto push en apps verifiŽren staat aan.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True