Trend Micro: bug kan Android-smartphones eindeloos laten rebooten

Een bug in Android zorgt ervoor dat kwaadwillenden een dos-aanval kunnen uitvoeren. Hierdoor vertraagt de telefoon en loopt de accu leeg of moet hij opnieuw worden opgestart. In ernstigere gevallen kan een eindeloze reboot de telefoon treffen.

Daarvoor waarschuwt Trend Micro dinsdag. Volgens het Japanse beveiligingsbedrijf zit de kwetsbaarheid in de mediaserver van Android, waarin onlangs ook al een ernstig beveiligingsprobleem werd gevonden. Trend Micro beweert dat iedereen met Android 4.0.1 Jelly Bean tot 5.1.1 Lollipop kwetsbaar is.

Om misbruik te maken van de bug, moeten aanvallers ervoor zorgen dat eigenaren van een Android-telefoon een malafide app installeren of naar een site gaan die een foutief .mkv-mediabestand bevat. Zodra de mediaserver het bestand probeert af te spelen, valt de functie volgens Trend Micro in een loop waar de gebruiker niets aan kan doen. Het hele systeem vertraagt totdat het opnieuw opstart of de batterij leeg is.

De bug ontstaat door een integer overflow tijdens het parsen van .mkv-bestanden, wat ervoor zorgt dat de telefoon in een loop belandt tijdens het lezen van de videoframes. Trend Micro heeft twee proof-of-concepts gepubliceerd waarin het laat zien hoe de aanval precies in zijn werk gaat. In de ergste gevallen kan een eindeloze reboot ontstaan waardoor de telefoon onbruikbaar wordt, doordat een malafide app automatisch opstart tijdens het booten van het besturingssysteem.

Trend Micro claimt dat het behoorlijk lastig is om van een malafide app af te komen. Het is weliswaar mogelijk om de map te localiseren, maar kwaadwillenden kunnen ervoor kiezen om de dos-aanval een tijd uit te stellen. Hierdoor is het lastiger om na te gaan welk programma het rebooten veroorzaakt. Het beveiligingsbedrijf vindt dat fabrikanten de software op hun verouderde apparaten moeten bijwerken.

Het is de tweede keer in korte tijd dat een kwetsbaarheid de mediaserver van Android treft. Vorige week kwam een beveiligingsprobleem in datzelfde programma aan het licht waardoor het kinderlijk eenvoudig bleek om toegang te krijgen tot een Android-systeem. Specifiek ging het om een probleem in het Stagefright-framework in Android, dat verantwoordelijk is voor het afspelen van filmpjes.

Bug in mediaserver Android

Reacties (87)

+1GtrCraft
4 augustus 2015 21:56

Als je gewoon alleen apps uit de play store gebruikt is er niks aan de hand. De stagefright exploit is trouwens nog niet eens gebruikt of gedeeld.

+1Soldaatje
@GtrCraft • 4 augustus 2015 21:57

En MMS uitzetten voorlopig, welke hond gebruikt dat nou nog überhaupt.

Bliksem B
@Soldaatje • 4 augustus 2015 23:03

MMS is in mijn optiek gefaald doordat de prijzen te hoog lagen. In het begin was een MMSje een €1,- (althans bij prepaid). Als het niet zo duur was geweest had het nog best populair kunnen zijn.

Apps via de store zegt niks. Google controleert niet alle apps namelijk actief.

+1TIGER79
@Bliksem B • 5 augustus 2015 08:15

Apps via de store zegt niks. Google controleert niet alle apps namelijk actief.

Google check op api-calls en code-niveau of er rare dingen gebeuren... Actief controleren, zoals Apple doet, oftewel een app opstarten en kijken of de design-guidelines/trademarks kloppen en geen rare dingen op het moment gebeuren is leuk maar een wassen neus... Als je namelijk inbouwt dat er pas in een tweede stadium iets gebeurt (vertraginkje inbouwen van een weekje of twee) dan kom je feilloos door alle "actieve controles" heen en wordt je app gewoon netjes gepublished...
Trouwens Google past een hybride werkwijze toe : ze doen de standaard checks en als iets raars gezien wordt komt er een groepje experts kijken naar de app : http://www.theverge.com/2...ps-now-reviewed-by-google

[Reactie gewijzigd door TIGER79 op 5 augustus 2015 08:18]

HerrPino
@TIGER79 • 5 augustus 2015 09:24

Echter zijn al deze api-calls legaal. Het lijkt me niet bizar moeilijk om je code zo te obfuscaten waardoor het niet gaat opvallen. Je moet dit natuurlijk niet zo even copy-pasten, je moet het er natuurlijk wel goed doorheen weven. En hang er een state machine-achtig iets aan waardoor het bijna toeval lijkt dat de code uitgevoerd wordt.

+1TIGER79
@HerrPino • 5 augustus 2015 09:48

Dat kan maar is zelfs niet nodig...
Stel ik wil alleen maar iets downloaden van een bepaalde website (stukje malicious software). Dat is an sich geen illegale code, het is een stukje netwerk-activiteit naar een url.. Alleen kan dat opvallen als je dat tijdens de test-procedure die de verschillende stores doet... Als je dat alleen al vertraagd met een week dan gebeurt dat niet tijdens het testen...

djunicron
@Bliksem B • 5 augustus 2015 12:48

MMS werd ook in 80% van de gevallen niet ontvangen. Of het toestel kon het niet, het was het verkeerde mediaformat, de instellingen stonden niet goed, geen ontvangst, hoge prijzen inconsistente limieten in tekens / media grote en op verschillende toestellen.

En dan had je 0,20 ct tot 1,50 betaald voor een indirecte email, moet je met zo'n code op een site inloggen om het te gaan bekijken.

En er waren dus al MMS hacks mogelijk, media blijft een veel gebruikte exploit route.
Je hoeft niet eens de code in de App dus Play market te verkrijgen, één banner in een App met deze html5 code en je hebt bootloops te pakken.

Apps via de centrale Store is nooit echt een garantie dat het veilig is. Dat willen de appstore providers je laten geloven zodat je concurrenten zoals Amazon etc vermijd.

Wim-Bart

@Soldaatje • 4 augustus 2015 23:37

En MMS uitzetten voorlopig, welke hond gebruikt dat nou nog überhaupt.

MMS uitzetten is voor beide bugs niet voldoende. Bezoeken van een site met media bestand is al voldoende.

Cerberus_tm

@Wim-Bart • 5 augustus 2015 05:08

Dan in je browser instellen dat plug-ins niet automatisch afspelen. Sowieso altijd verstandig.

+180466

Software

@Cerberus_tm • 5 augustus 2015 09:17

Een HTML Video element vereist geen plugin.

Cerberus_tm

@80466 • 5 augustus 2015 16:15

Okee, maar gaat het hier niet om video via plug-in? Kan HTML5 zomaar een mkv-bestand laden? Als het via HTML5 kan is het wel heel gevaarlijk... (heb Stagefright zelf al een week uitstaan).

[Reactie gewijzigd door Cerberus_tm op 5 augustus 2015 16:19]

080466

Software

@Cerberus_tm • 5 augustus 2015 17:28

HTML5 wordt direct door de browser geinterpreteerd.
Niet via een plugin.
Als Chrome of de Android browser het standaard stragefright framework gebruikt om de video te renderen dan werkt het lek in dat framework dus ook op websites en ook via alle apps die het framework gebruiken

Cerberus_tm

@80466 • 5 augustus 2015 19:52

Ja, maar ik vraag me dus af of dit via HTML5 werkt? Kun je met HTML5 een mkv-bestand laden in een browser?

Wim-Bart

@Cerberus_tm • 5 augustus 2015 21:46

Ja, volgens mij wel, maar wat ik begrepen heb is dat de browser hiervoor gebruik maakt van het stragefright framework. Dus om een kort antwoord te geven, ja, het MKV bestand wordt geopend.

Cerberus_tm

@Wim-Bart • 5 augustus 2015 22:14

Hmm okee dan. Gelukkig heb ik Stagefright uitgezet in mijn build.prop. Nog geen last van gehad, filmpjes spelen ook gewoon af (Stagefright optimaliseert video's voor Android, schijnt het, maar op nieuwere telefoons kun je dat blijkbaar wel missen).

+1R4gnax
@Cerberus_tm • 5 augustus 2015 09:21

Dan in je browser instellen dat plug-ins niet automatisch afspelen.

HTML5 video is geen plugin. Afspelen hoeft trouwens vizw niet eens; alleen inladen is al voldoende als de exploit in het parsen v/d header informatie in het video-bestand zit.

Cerberus_tm

@R4gnax • 5 augustus 2015 16:17

Ja okee, maar, als het in een plug-in zit, dan wordt het hele mkv-bestand neem ik aan niet ingeladen wanneer je standaard plug-ins op "click to activate" hebt?

0kings sword9
@Cerberus_tm • 5 augustus 2015 17:06

Dat klopt, maar zoals hierboven al wordt aangegeven is html5 video geen plugin. Dit betekent dus dat stagefright alsnog erg gevaarlijk blijft.

Cerberus_tm

@kings sword9 • 5 augustus 2015 19:53

Ja, maar ik vraag me dus af of je via HTML5 een mkv-bestand kunt laden. Als ik jullie zo hoor gaan jullie ervan uit dat dit kan?

0kings sword9
@Cerberus_tm • 6 augustus 2015 02:04

Ik heb het even opgezocht, het kan wel, maar de kans is uiteraard veel kleiner. Hoe dit precies zit kun je lezen op deze links:
https://stackoverflow.com...-video-can-play-mkv-files (kort antwoord)

http://dev.w3.org/html5/spec-author-view/video.html
(zoek op mkv, dan zie je dat het wel kan worden geïmplementeerd. alleen wordt dit meestal met een plugin gedaan. aangezien dat volgens mij toch niet werkt op android is dat ook niet echt een probleem)

Cerberus_tm

@kings sword9 • 6 augustus 2015 03:43

Hmm dus wat jij zegt is dat HTML5 in theorie mkv kan afspelen zonder plug-in, maar dat dit in de praktijk niet door browsers ondersteund wordt? Zoiets? Ik haal het niet echt uit die links...

[Reactie gewijzigd door Cerberus_tm op 6 augustus 2015 03:43]

0kings sword9
@Cerberus_tm • 6 augustus 2015 11:53

Dat is inderdaad wat ik zei.

Cerberus_tm

@kings sword9 • 6 augustus 2015 21:00

OK mooi! Dat is eigenlijk heel goed nieuws voor Android Chrome, dan, in dit geval.

0GtrCraft
@Soldaatje • 4 augustus 2015 21:59

Merendeel van de familie hier kent het niet eens.

Sakete
@Soldaatje • 5 augustus 2015 14:56

In de VS is MMS nog zeer populair. Daan zijn de messaging apps zoals WhatsApp niet zo populair als in NL. Dus om je vraag te beantwoorden, er zijn nog miljoenen honden in de VS die MMS gebruiken. Reden is dat ze daar vrij snel onbeperkt SMS/MMSen in abonnementen hebben opgenomen, waardoor voor gebruikers er nooit echt een behoefte is ontstaan om WhatsApp of andere apps te gebruiken.

+1Olaf van der Spek
@GtrCraft • 4 augustus 2015 22:13

De stagefright exploit is trouwens nog niet eens gebruikt of gedeeld.

Hoe weet jij dat?

+1GtrCraft
@Olaf van der Spek • 4 augustus 2015 22:19

Omdat dat degene die het gevonden heeft, het nog niet heeft gedeeld. En als iemand het had gehad was het vast wel bekend geworden. En wie gebruikt er MMS? Bijna niemand.

[Reactie gewijzigd door GtrCraft op 4 augustus 2015 22:20]

+1iTeV
@GtrCraft • 4 augustus 2015 23:17

Maar hij gaat het wel delen:
nieuws: Exploit voor gevaarlijk Android-lek komt volgende week - update 2

Overigens staat er in dat artikel dat CM het al gepatcht heeft. Maar hoeveel procent van de ouderen hier in NL heeft CM? De meeste zullen wss stock android draaien

0Optik
@iTeV • 5 augustus 2015 08:51

Maar hoeveel procent van de ouderen hier in NL, ben zelf 52 en ik maak gebruik van CM.
Oud betekent niet altijd dom.

+1Olaf van der Spek
@GtrCraft • 4 augustus 2015 23:23

Omdat dat degene die het gevonden heeft, het nog niet heeft gedeeld.

Degene is natuurlijk niet de enige die zoiets kan vinden..

En als iemand het had gehad was het vast wel bekend geworden.

Onzin

En wie gebruikt er MMS? Bijna niemand.

Verkeerde vraag. Wie heeft MMS aan / niet uit staan?

Paul-G
@GtrCraft • 5 augustus 2015 08:05

Als je gewoon alleen apps uit de play store gebruikt is er niks aan de hand.

Daar heb je helaas geen gelijk in, er staat namelijk in het artikel dat je een malafide app moet installeren óf een site moet bezoeken met een foutief .mkv bestand. Stel nou dat een grote nieuws site tijdelijk word overgenomen door een stel hackers die vervolgens een legitiem lijkend artikel plaatsen met gelinkte .mkv video, dan heb je toch een ernstig probleem. Ondanks dat je nooit een malafide app hebt geïnstalleerd.

Titan_Fox
4 augustus 2015 21:48

Het beveiligingsbedrijf vindt dat fabrikanten de software op hun verouderde apparaten moeten bijwerken

Ik denk dat iedereen dit wel vindt, nietwaar ? Maar zelfs als fabrikanten het bijwerken; de laatste beschikbare Android-versie is 5.1.1, die dus ook kwetsbaar zou zijn. Er is dus geen nieuwere versie om naartoe te upgraden.

Of deze bug ook in Android "M" zit weet ik niet, maar die kans zit er natuurlijk wel in.

+1noobz
@Titan_Fox • 4 augustus 2015 21:57

Ik denk dat dit het zoveelste bewijs is dat de Android strategie mislukt is.
Je kunt het niet aan fabrikanten overlaten om telefoons up to date te houden. Die fabrikanten zijn te vaak met hele andere dingen bezig.

Ook al zou Google morgen een nieuw OS klaar hebben: 90% van de gebruikers heeft hem over een maand of over 2 maanden nog niet.

Er zal een gelaagder en losser gekoppeld systeem moeten komen. Waarbij fabrikanten slechts launchers en apps kunnen aanbieden en gebruikers zelf de mogelijkheid hebben te upgraden wanneer ze maar willen. Op die manier worden fabrikanten gedwongen hun zaken up to date te houden.

Maarja, de macht van de fabrikanten!

- voor de minners: heb zelf al sinds het begin van mijn smartphone carriere tot nu Android. -

[Reactie gewijzigd door noobz op 4 augustus 2015 22:07]

+1teunw
@noobz • 4 augustus 2015 22:40

Android is nou eenmaal open source, wat ik persoonlijk een goede zaak vind.
Anders hadden we misschien het nog steeds zoals ~7 jaar geleden gehad, met elke fabrikant een eigen os

+1noobz
@teunw • 4 augustus 2015 22:46

Ik ben het niet met je oneens.

Maar sluit het één het ander uit? Sluit een Open Source model een losgekoppeld systeem uit?
Google legt nu immers ook allemaal beperkingen op aan fabrikanten..

kozue

Software

@teunw • 5 augustus 2015 11:07

Het open source in Android is een wassen neus. Het grootste deel van de userspace libraries komt van Google en alles wat Google zelf maakt is gesloten. Je kunt inderdaad een volledig open source Android installeren, maar dan houdt je een telefoon over waar je net zo veel mee kunt als een featurephone van 10 jaar geleden.

Android is niet hard gegroeid omdat het zogenaamd open source is, maar omdat er weinig anders was met een vergelijkbaar ecosysteem dat door iedereen te gebruiken is. Toen Android op kwam was er alleen iOS en Blackberry als concurrenten, en dat hielden beide bedrijven voor zichzelf. De rest uit die tijd was vooral een featurephone-OS. Symbian werd soms een smartphone OS genoemd, maar dat was net zo gaar en ongebruiksvriendelijk als Windows Mobile.
Alternatieven als Firefox OS, Windows (Phone), Ubuntu Touch, Sailfish, etc zijn leuk, maar te laat. Het is lastig om nu nog een flinke voet aan de grond te krijgen. Zelfs Microsoft met al z'n miljarden lukt het niet. En daarom is Android nu zo groot. De juiste technologie op het juiste moment. Niet omdat het "open source" zou zijn.

+1Vulcanic
@noobz • 4 augustus 2015 22:42

Met het grootste markaandeel van alle mobiele besturingsystemen is de stelling dat Android een mislukking is toch wel erg vreemd.

Waar komt zowiezo het idee vandaan dat alle apparaten altijd de laatste versie moeten hebben?

+1noobz
@Vulcanic • 4 augustus 2015 22:53

Ik doelde niet op Android als geheel (misschien komen daar de minnetjes vandaan?

), maar op de strategie van updaten en verspreiden ervan.

Ik vind Android geweldig en ik wil niet meer zonder, maar als het zo doorgaat met securityleaks overweeg ik toch over te stappen. Ook denk ik dat veel bedrijven Android apparaten in BYOD zullen gaan blokkeren als al die security leaks maar open blijven staan.

[Reactie gewijzigd door noobz op 4 augustus 2015 22:58]

Mamoulian
@noobz • 5 augustus 2015 08:17

Met pijn in het hart (en nog veel meer in mijn portefeuille) kom ik tot dezelfde conclusie. De enige die zijn klanten serieus neemt -én een appstore heeft die de naam waardig is- blijkt dus Apple te zijn.

+1noobz
@Mamoulian • 5 augustus 2015 08:32

Sommigen doen het beter dan anderen. Motorola doet naar mijn mening nog aardig zijn best. Mijn Moto G uit 2013 heeft bijvoorbeeld Android L.

Ik denk dat Microsoft op zijn minst een goede tweede is na Apple, als die niet net zo goed of beter zou zijn.
Fabrikanten van Windows telefoons kunnen immers geen enkele modificatie aan de software doen en MS pusht updates direct.

Qua kosten van het apparaat / beveiliging zou de balans in mijn geval uitvallen naar MS. Apps komen vanzelf als de rest van de wereld tot dezelfde conclusie komt.

[Reactie gewijzigd door noobz op 5 augustus 2015 08:33]

Wim-Bart

@noobz • 4 augustus 2015 23:36

Ook denk ik dat veel bedrijven Android apparaten in BYOD zullen gaan blokkeren als al die security leaks maar open blijven staan.

Is nu al het geval, ik moet zelf en collega's van mij bij veel bedrijven bijvoorbeeld mail access voor Android afsluiten en bij veel bedrijven komen Android tablets er ook niet meer in.

[Reactie gewijzigd door Wim-Bart op 4 augustus 2015 23:36]

Wim-Bart

@noobz • 4 augustus 2015 23:43

Gewoon een Apple of Windows Phone nemen. Dan heb je geen gezeur over updates, wat eigenlijk gewoon in houdt dat met het BYOD tijdperk Android op telefoongebied gewoon een security risico is en er maar twee alternatieven bestaan, IOS of WP.

0323491
@Wim-Bart • 5 augustus 2015 00:08

Die zijn inderdaad zo veilig als een gesloten syteem maar kan zijn. sarcasm

+1noobz
@323491 • 5 augustus 2015 06:08

Maar als er een gat in Windows wordt gevonden kan Mirosoft een update uitbrengen en die wordt dan uitgerold.

Bij Android ben je voor de kleinste bugfix nog afhankelijk van de fabrikant.

0323491
@noobz • 5 augustus 2015 17:26

Tja Windows 10 is nog maar net uit en er zijn al bugs voor gevonden..

Wen er maar aan elk systeem heeft zijn fouten.

Google gaf 90 dagen om bugs te pletten en maakte ze dan bekend...rara wie er 2 maal de deadline liet verstrijken....
Microsoft en Apple dichten heus niet elke bug onmiddelijk hoor...Alleen weet jij het dan niet.
Maar kwaadwillende hebben misschien wel weet van de zero day exploit.
http://arstechnica.com/se...e-exploit-to-hijack-macs/

0noobz
@323491 • 5 augustus 2015 17:46

Het gaat om de STRATEGIE.

Het strategisch model van Android rond beveiliging is failliet want er zijn te veel verschillende partijen (met totaal verschillende belangen) bij het update proces betrokken.

Dat MS en Apple ook hun fouten hebben: JA. MS is superlaks met updaten en van Apple kan vast ook van alles gezegd worden, maar het begint bij strategie, en daar zit het bij Android al fout.

[Reactie gewijzigd door noobz op 5 augustus 2015 17:48]

0323491
@noobz • 5 augustus 2015 19:26

STRATEGIE? ik volg je niet meer....

Bij aankoop van een android telefoon raad ik steeds een Nexus model aan , of een model dat zo vaak verkocht wordt dat je er cynaogenmod kan opzetten.

Je hebt dan zeer snel de allerlaatste soft en dus updates.
Das de STRATEGIE die ik volg maar koop gerust een Microsoft, of Apple hoor.
Als het je kan laten geloven dat je daar mee veilig bent, heb je tenminste al wat gemoedsrust.

0noobz
@323491 • 5 augustus 2015 20:21

Je wilt het niet snappen. Cyanogenmod betekent weg garantie. Bovendien heb ik geen contract met die lui.

En inderdaad. Een Nexus kan wel. Daar had ik niet aan gedacht.

0halofreak1990
@323491 • 5 augustus 2015 01:01

Ik heb voor Windows Phone anders nog geen exploits gezien. Jij wel?

0borft
@halofreak1990 • 5 augustus 2015 09:24

<sarcasm>
ik heb ook nog geen significant marktaandeel voor windows phone gezien, jij wel?

</sarcasm>

<ontopic>
Wat ik vreemd vind, is dat een framework, dat wat mij betreft in user-space moet draaien, een device kan laten rebooten. Ten eerste moet het natuurlijk niet kunnen crashen, want daarvoor heb je exception handling, maar ten tweede, als het framework crasht, moet de rest van de telefoon daar geen last van hebben!

0hackerhater
@borft • 5 augustus 2015 12:06

Het kan wel het ram laten vollopen.

0borft
@hackerhater • 5 augustus 2015 17:38

opzich wel (alhoewel je ook dat kunt voorkomen door je userspace goed te configureren), maar dan nog, dan moet je OOM killer het proces afschieten, het zou nooit je besturingssysteem moeten kunnen laten crashen!

HeatWave
@323491 • 5 augustus 2015 09:07

En jij hebt een open systeem nodig om je whatsappjes en snapchats te checken, waarom precies ook alweer?

Leuk, een open systeem, jammer dat mijn creditcard leeg geplunderd is, maar hey, lang leven open systemen!

99% van de consumenten is beter af met een goed beveiligd systeem ipv een Minion-widget op je lock screen.

+1falconhunter
@Titan_Fox • 5 augustus 2015 13:23

Ik denk dat iedereen dit wel vindt, nietwaar ? Maar zelfs als fabrikanten het bijwerken; de laatste beschikbare Android-versie is 5.1.1, die dus ook kwetsbaar zou zijn. Er is dus geen nieuwere versie om naartoe te upgraden.

Maar het toch van God los dat Andriod gebruikers dat zomaar accepteren? Zelfs geinformeerde gebruikers kijken meer naar specs dan naar hoe de fabrikant updates levert. Elke telekom winkel verkoopt op dit moment apparaten die kwetsbaar zijn voor deze exploit en verkoopt ook apparaten waarvan we bijna zeker weten dat ze tot ze kapot gaan kwetsbaar blijven.

Als Apple dit zou doen zouden ze op dit forum de grond ingeschreven worden (terecht). Maar dat Samsung mijn twee jaar oude tablet niet wil updaten en dat ik hem daardoor alleen voor de meest basale taken durf te gebruiken lijkt maar weinig mensen te deren. Pas tot er een echt zware exploit komt die miljoenen telefoons onbruikbaar of onbetrouwbaar maakt zullen Google en de fabrikanten naar elkaar blijven wijzen.

In zakelijke kringen waar beveiliging belangrijk is hoor ik in toenemende mate dat die telefoons bestellen mer de garantie dat die twee jaar geupdate blijven. Ik heb zelf ook een dergelijk contract met Orange. Volgens het contract hebben ze drie weken de tijd dit soort lekken te dichten, lukt dat niet krijgen we nieuwere modellen. Gisteren belde Orange met een voorstel om alles te vervangen door iPhone omdat ze van dit soort contracten afwillen. Dat spreekt boekdelen.

Titan_Fox
@falconhunter • 5 augustus 2015 14:19

Ik let inderdaad ook op de specificaties en de prijs, maar ook zeker of voorgaande modellen van de fabrikant in kwestie goede ondersteuning hadden i.c.m. custom-ROM's.

Je kunt wel een of ander exotisch toestel in huis halen, maar als de fabrikant besluit om geen updates aan te bieden en de gemeenschap geen aangepaste firmwares levert zit je er wel mooi mee opgezadeld.

Titan_Fox
@falconhunter • 5 augustus 2015 14:21

p.s. Samsung toestellen zijn populair bij de makers van custom-ROM's. Waarom zet je er niet gewoon CyanogenMod op ? Dan heb je een actuele Android-versie (die via CM wordt bijgewerkt) en je bent direct van die waardeloze TouchWiz af. Om van alle andere Samsung-bloatware maar te zwijgen ...

+1Olaf van der Spek
@Titan_Fox • 4 augustus 2015 22:14

Ik denk dat iedereen dit wel vindt, nietwaar ?

Mwa, 99% van de mensen denken daar niet eens bij na.

Moi_in_actie

4 augustus 2015 22:03

Ik heb zo'n vermoeden dat deze bug niet veel voorstelt, zeker niet als ze in de blog het volgende zetten:

End users can block this threat from the onset by downloading Trend Micro Mobile Security (TMMS), which can detect threats trying to use this vulnerability and running any of the scenarios presented.

Als een beetje antivirus appje het probleem al kan voorkomen, in het geval dat of je non-Playstore apps installeert en Android zelf al niet detecteert dat er iets niet klopt aan de app, of wanneer je naar de website browst en Google zelf niet allang als gevaarlijk heeft bestempeld. Kortom, het moet al heel gek lopen en zelfs dan kan (schijnbaar) een antivirus app het probleem nog voorkomen en/of de malware detecteren/opruimen.

+1O88088
@Moi_in_actie • 4 augustus 2015 22:14

Oftewel, mensen bang maken zodat ze die app downloaden. Qua strategie lijkt het wel zo'n "waarschuwing": " Pas op! Uw telefoon is langzaam. Download onze app om het te verhelpen."

Woask
4 augustus 2015 22:24

Zou je dit dan kunnen fixen door er een nieuwe ROM op te flashen? Just curious

EDIT: Wat is hier in hemels naam off-topic aan?

[Reactie gewijzigd door Woask op 4 augustus 2015 22:39]

+1GtrCraft
@Woask • 4 augustus 2015 22:27

Cyanogenmod heeft het al 2 weken geleden gepatched dus ja, al stelt de exploit weinig voor

+1MneoreJ
4 augustus 2015 23:21

Om misbruik te maken van de bug, moeten aanvallers ervoor zorgen dat eigenaren van een Android-telefoon een malafide app installeren

En die app kan vervolgens op allerlei minder ingewikkelde manieren bijzonder vervelende dingen met je systeem doen. "Kwetsbaarheid: malafide software installeren leidt tot het draaien van malafide software."

De kwestie is dus dat je met een bepaald opgemaakt mediabestand een Android kan laten hangen. Dat is inderdaad een vervelende bug, maar van daar naar een eindeloze reboot lukt dus niet zonder die hypothetische app die je telefoon toch al kan pwnen. Met andere woorden: goed moment uitgekozen voor een dramatisch verhaal, maar overdreven.

RoffaboyS
6 augustus 2015 19:52

Samsung gaat nu maandelijkse updates geven maar hoe zit dan met andere Android toestellen?

0_Thanatos_
4 augustus 2015 22:26

Jammer dat bijna geen enkele telefoon uberhaupt updates krijgt. Ik heb voor mijn tablet van Samsung, een modern full-price apparaat, welgeteld één update gekregen. Google update mijn Nexus 5 wel beter, als het zou werken. Elke update geeft een cryptische foutmelding, waardoor ik net zo goed kan stellen dat de Nexus 5 "geen updates" ontvangt.

Eigenlijk is Windows de enige die het goed doet, wat updates betreft.

Fuzzillogic
@_Thanatos_ • 4 augustus 2015 22:57

M'n Jolla wordt ook nog prima van updates voorzien. En zou dat niet meer via het officiële kanaal gebeuren, het is (voor het merendeel) open source, zodat ook derden updates en patches kunnen maken en aanbieden via een repository. En daarvoor hoe je echt niet je hele telefoon van een andere firmware te voorzien. Dát zie ik Microsoft nog niet doen.

xxxneoxxx
@Fuzzillogic • 5 augustus 2015 08:26

zodat ook derden updates en patches kunnen maken en aanbieden via een repository

..en m.i. zit juist net ook daar een groot beveiligings issue. Leuk dat iemand 'op z'n zolderkamer' lekker zit te programmeren, maar wie checked zijn code op eventuele exploits/malicious code? Ja, het is open source, dus mensne kunnen de code inzien. Maar wie doet dat daadwerkelijk? Wie garandeert eindgebruikers dat zijn coding/werkplek niet gehacked is en code aangepast is? Dat hij niet benaderd is door bijv. een NSA om maar een exploit in te bouwen in zijn/haar code, want anders..

Tuurlijk hebben veiligheidsdiensten bij grotere bedrijven ook een flinke vinger in de pap, zeker bij US tech bedrijven, maar die hebben iig nog "klanten" waar ze vaak publiekelijk verantwoording af moeten leggen als uitkomt dat ze bijv. een beveiligingsfuckup hebben gehad.. Iemand die alleen zelf coding onderhoudt, heeft dit niet.

Fuzzillogic
@xxxneoxxx • 5 augustus 2015 17:40

Het is een kwestie van vertrouwen inderdaad, maar van bedrijven als Google en Microsoft wéét je dat je genaaid wordt, iig op privacy-gebied. Bovendien is het closed source, dus je hebt niet eens de mogelijkheid om het te controleren.

Pick your poison.

+1GtrCraft
@_Thanatos_ • 4 augustus 2015 22:36

Factory image flashen op userdata na. raak je niks kwijt en j loopt weer bij

0_Thanatos_
@GtrCraft • 5 augustus 2015 20:49

Dat dacht je. Vgs mij ben je dan alles kwijt.

maar dan nog, een OTA update moet gewoon werken. Niet-tweakers gaan niet zitten rommelen met zelf een rom flashen, en frankly, ik heb daar ook niet zo'n zin in.

[Reactie gewijzigd door _Thanatos_ op 5 augustus 2015 20:50]

0GtrCraft
@_Thanatos_ • 5 augustus 2015 22:02

OTA werken ook gwn bij mij en 99% van de gebruikers. Gwn alles flashen behalve userdata. Maar als je te eigenwijs bent om zo iets simpels te doen moet je ook niet zeiken dat het niet werkt.

0_Thanatos_
@GtrCraft • 6 augustus 2015 01:05

Het is niet simpel en als ik >€500 heb betaald mag ik zeiken.

aygul12345
@_Thanatos_ • 4 augustus 2015 22:57

En de iPhones.

Grrrrrene

@_Thanatos_ • 5 augustus 2015 07:35

Ik heb een Nexus 5 en herken dit totaal niet. De nieuwste Android-versies draaien hier gewoon probleemloos. Jij accepteert dit soort foutmeldingen gewoon zonder onderzoek te doen wat er aan de hand is of garantie te claimen?

Ik vind dit trouwens nogal een non-issue. Je moet dus zelf malafide software installeren om van deze kwetsbaarheid last te krijgen. Dan is toch ieder OS zo lek als een zeef? Je toestel is zo veilig als de zwakste schakel en in dit geval is dat de gebruiker. Daarbij moet je je bedenken dat de meeste malafide software pas geïnstalleerd kan worden als je dit zelf in de settings mogelijk maakt (andere bronnen dan de Play Store mogelijk maken). Dat doet de gemiddelde leek echt niet. Wie dat wel doet wordt gewezen op de risico's en accepteert dat.

xxxneoxxx
@Grrrrrene • 5 augustus 2015 08:47

Gezien het marktaandeel van Android is het zeker niet ondenkbaar dat er een hoop leken bij zitten die het ding gebruiken om voornamelijk mee te bellen, appen en soms te facebooken. Die zullen niet allerlei foutmeldingen gaan googlen als het ding niet update. Ik denk dat je je nog verbaast hoe groot de groep mensen is die een telefoon gewoon wil gebruiken waar ie voor bedoeld is. Bellen en zo. Je weet wel, dezelfde groep die voorheen dumbphones gebruikte, maar die inmiddels bijna niet meer kan kopen of door de omgeving "gepushed" wordt om toch ook maar een smartphone te gaan gebruiken "want dan kan je ook appen".

M.b.t. de software: het is maar de vraag of de malafide software check in de playstore deze exploit opmerkt. Dus mogelijk dat dit soort exploits gewoonweg in bepaalde (gehackte) coding/apps aanwezig is, of tzt haar weg vindt. Het is even geleden dat ik daadwerkelijk met Android iets gedaan heb, maar weet nog wel dat de playstore volstond met allerlei 'gratis' clones van legitieme, vaak betaalde apps en games.

Grrrrrene

@xxxneoxxx • 5 augustus 2015 09:51

Gezien het marktaandeel van Android is het zeker niet ondenkbaar dat er een hoop leken bij zitten die het ding gebruiken om voornamelijk mee te bellen, appen en soms te facebooken. Die zullen niet allerlei foutmeldingen gaan googlen als het ding niet update.

Ik begrijp niet helemaal waarom je me dit uitlegt, dat snap ik zelf nml ook wel. Ik reageer echter op een Tweaker die op Tweakers.net post dat zijn Nexus 5 geen (werkende) updates krijgt en concludeert dat zijn N5 ook niet up-to-date wordt gehouden. Ik mag van een Tweaker toch wel iets meer inzet verwachten als zijn eigen smartphone om wat voor reden dan ook geen updates kan draaien?

Ik denk dat je je nog verbaast hoe groot de groep mensen is die een telefoon gewoon wil gebruiken waar ie voor bedoeld is. Bellen en zo. Je weet wel, dezelfde groep die voorheen dumbphones gebruikte, maar die inmiddels bijna niet meer kan kopen of door de omgeving "gepushed" wordt om toch ook maar een smartphone te gaan gebruiken "want dan kan je ook appen".

Dat geloof ik graag, daar is ook geen discussie over

M.b.t. de software: het is maar de vraag of de malafide software check in de playstore deze exploit opmerkt. Dus mogelijk dat dit soort exploits gewoonweg in bepaalde (gehackte) coding/apps aanwezig is, of tzt haar weg vindt. Het is even geleden dat ik daadwerkelijk met Android iets gedaan heb, maar weet nog wel dat de playstore volstond met allerlei 'gratis' clones van legitieme, vaak betaalde apps en games.

Een gratis clone maakt nog geen malware natuurlijk en nu deze exploit bekend is, kan Google de Play Store scannen en software verwijderen die hiervan misbruik maakt (voor zover die software dus al door de check heen kwam). Ze hebben bovendien de mogelijkheid om die software van de Android-telefoons waarop het toch geïnstalleerd is, te verwijderen.

WillySis
4 augustus 2015 22:37

In dit geval zijn de telefoons met een verwisselbare batterij zwaar in het voordeel. Even de accu eruit en de loop is doorbroken. Accu er weer in en het leed is geleden.

Van mij mogen ze toestellen met niet verwijderbare accu's overigens per direct verbieden. Erg milieu (en portemonnee) vriendelijk zijn die niet. Een batterij gaat twee tot drie jaar mee (en presteert dan al een stuk minder) Toestel kan wel iets langer mee. Misschien kan dit een zetje in de goede richting zijn.

De kwetsbaarheid lijkt vooralsnog overigens weinig echte schade aan te kunnen richten.

+1GtrCraft
@WillySis • 4 augustus 2015 22:45

Dan heb je niet goed gelezen, de ''app'' start met het opstarten van de telefoon. Dus zelfs dan bootloopt ie nog steeds (ook zonder verwisselbare batterij kan hard resetten btw)

watercoolertje

@WillySis • 5 augustus 2015 01:07

Mijn toestel kan gewoon uit door een toetsencombinatie. Daarnaast is het idd zo dat een accu niet eeuwig mee gaat maar niet vervangbaar door de (gem) consument betekend natuurlijk niet dat ie helemaal niet te vervangen is.

Flippylosaurus
4 augustus 2015 21:41

Stagefright is zo lek als een mandje..?

0darknessblade
4 augustus 2015 22:30

mijn smartphone is geroot dus ik kan brute force removal tools gebruiken op mijn telefoon

ook heb ik nog een app waarmee ik van apps zelfs de premissies kan disablen
bv: facebook geen contacten inzien/sms lezen

ik gebruik hierbij naast ook 360 security met root waardoor deze meer search/ networking kan disablen.

voor hola heb ik namelijk alle data uitgeschakeld.
dus iedere app heeft geen interenet wanneer ik dit wil

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Trend Micro: bug kan Android-smartphones eindeloos laten rebooten

Lees meer

Gehackt met één berichtje

Reacties (87)

Sorteer op:

Weergave: