Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 155 reacties

T-Mobile is donderdag in elk geval tijdelijk gestopt met het direct afleveren van mms'jes aan klanten in Nederland. Dat heeft de provider besloten naar aanleiding van de Stagefright-bug, die het makkelijkst te exploiteren is via een mms-bericht.

Een klant van T-Mobile krijgt niet langer het mms'je zelf, maar een sms met een link naar een webpagina, zegt de provider. Dat voorkomt dat een video automatisch laadt op een Android-telefoon en zo gebruik kan maken van de bug in Stagefright, het framework voor video's in Android.

De aanpassing geldt sinds donderdag en is een tijdelijke maatregel, zo laat de provider weten. Als Google en fabrikanten updates hebben verspreid om misbruik van Stagefright tegen te gaan, zou T-Mobile weer mms'jes gaan ondersteunen. Het is onduidelijk of en wanneer dat precies gaat gebeuren. Honderden toestellen zouden een update krijgen, ook toestellen die fabrikanten eigenlijk niet meer ondersteunden, zoals de nog altijd veel gebruikte Samsung Galaxy S III.

Het is voor zover bekend de eerste keer dat een provider een maatregel neemt tegen de bug in Stagefright, die vrijwel alle Android-smartphones treft. Vodafone laat aan Tweakers weten niets te wijzigen en ondersteunt mms nog altijd.

Dankzij die bug kunnen aanvallers een Android-toestel binnendringen door metadata in video's. Doordat Android-toestellen in veel gevallen die metadata al laden zonder dat een gebruiker iets hoeft te doen, is het mogelijk om Android-toestellen te infecteren zonder tussenkomst van gebruikers. Met de video van de mms via de webpagina zijn klanten in theorie nog kwetsbaar, maar dan moeten ze wel zelf eerst de video aanklikken.

Update 22:27: KPN laat weten dat het klanten adviseert de automatische aflevering van mms'jes uit te schakelen, maar past de dienstverlening niet aan.

Moderatie-faq Wijzig weergave

Reacties (155)

nette oplossing van de kant van T-mobile
Al hadden ze rekening kunnen houden met iDevice, BlackBerry en WindowsPhone gebruikers. Want die krijgen nu ook een link naar de MMS

[Reactie gewijzigd door RobinF op 7 augustus 2015 11:53]

ja doe een lookup in het HLR om adhv het IMEI te achterhalen wat voor device een gebruiker heeft om te zien of je wel of niet een MMSje af mag leveren. Bijna geen meerwerk tov van alles uitzetten (end of sarcasm).

MMS volume in de huidige MNO netwerken is echt om te huilen zo laag, veel operators zullen het liever kwijt dan rijk zijn (gezien de kosten om een MMS-C in de lucht te houden met de bijhorende APNs etc)
De HLR weet niet welke device verbonden is en is ook niet relevant. De device capabilities worden in de MMS headers meegegeven en dus weet de MMS-C precies welke device het berichtje verstuurd heeft, maar niet welke device het bericht gaat ontvangen. Dat kan dus wel on the fly als de ontvanger het bericht ophaalt. De kosten voor de infrastructuur kunnen niet schrikbarend hoog zijn ik weet niet wat ze in de afgelopen 10 jaar nog geinvesteerd hebben in MMS, maar ik kan me niet voorstellen dat ze meer betalen dan een jaarlijkse support fee, een APN is niks meer dan een string in de GGSN, dus daar zullen de kosten ook wel meevallen. Zelf gebruik ik MMS zelden maar ik ben wel blij dat het er is omdat het een betrouwbaardere infrastructuur. Maar Telegram en Whatsapp en in mindere mate mobiel email hebben het eigenlijk snel weggemarginaliseerd.

MMS is trouws gestandaardiseerd door OMA en niet 3GPP.
Ach ja ontvang jij weleens een een MMS ik heb er de afgelopen jaren nog nooit een mogen ontvangen.
Het bestand is de schuldige, dus wie het doorstuurt maakt niet uit.

Het daarom tijdelijk vertragen van de dienst is daarom zeer terecht. Alle overige systemen kunnen een malafide bestand nog steeds doorsturen, er is geen enkele reden om de dienst voor andere OS'en onbeperkt te laten. Als het filmpje 'leuk genoeg' is (jaja heel subjectief, maar toch) dan kan via een OS dus nog steeds een verspreiding plaats vinden.

Op dit moment is het een rem op potentiŽle verspreiding en iedereen die onvrede heeft, bedank die eikel van een Joshua Drake die per se op dit jaars conferentie het moest openbaren op veel te gedetailleerd niveau.

-edit-
Tevens, de huidige 'vertraging' biedt ook de mogelijkheid om een virus te detecteren, niet zozeer in het bestand maar dat een telefoon vlak na ontvangst ineens heel veel probeert te verzenden. Dat is een patroon dat zonder schending van privacy (wat is het bericht?) kan worden herkend ťn waarmee een besmet bestand kan worden herkend. Dit is dus een hele goede vorm van bescherming / rem op het verhaal.

[Reactie gewijzigd door Freaky_Angelus op 7 augustus 2015 13:29]

Bedankt Google en de OHA die geen fatsoenlijke manier voor het centraal oplossen van dit soort dingen in Android hebben gebouwd.
Moment, geheel mee eens op dat punt! Ik ben zeer voorstander om dit soort zaken gewoon met een 'patch' te kunnen oplossen. Alleen zo werkt het geheel niet (ook de basis voor Android niet).

Dat geeft ook geen vrijbrief om zeer gedetailleerd stap voor stap uit te leggen zodat anderen het ook kunnen vinden ;)

Het is echter wel grappig dat zo'n oude vorm van virus (plaatjes met foute headers) nog steeds plaats kunnen vinden, tenminste ik zie er wel wat ironie in gezien mijn smartphone sterker is dan de pc waarop ik dit soort zaken voor het laatst op mee maakte ;)
en nou maar hopen dat het wel goed zit in whatsapp, telegram ect.
Dat is toch niet echt een ramp?
Ik MMS regelmatig met mijn ouders. Nu moet ik ze uitleggen dat ze op de link moeten klikken, en dat het geen phishing truuk is! |:(
LOL. Ja. na al het uitleggen dat ze niet zomaar op links moeten klikken moet je ze nu uitleggen wel op links te klikken.

Geen zorgen, ze hadden dat verhaal over vissen met ph toch al niet begrepen.
Waarom gebruik je in vredesnaam MMS?
Wat zou volgens jou een alternatief zijn? Whatsapp en Telegram zijn kennelijk ook kwetsbaar...
Dat is niet zozeer wat ik bedoelde, MMS werkt onhandig, alternatieven zoals Hangouts, Whatsapp en Telegram werken beter.
Alleen de andere kant heeft wellicht geen WhatsApp, of ik geen Hangouts O-)

MMS kan hetzelfde als Whatsapp, en het hangt dus van de telefoon af of het onhandig is of niet. Op Windows Phone is de UX juist makkelijker (IMHO :+ ) dan WhatsApp. Geen app hoeven starten, en veel mooier en sneller geintegreerd in de telefoon.

Nederland is WhatsApp land, maar zodra je de grens over gaat is de absolute dominatie soms kleiner of zelfs afwezig. En MMS werkt dan soms als enige betrouwbare middel.
Vandaag de dag zou het ook geen ramp moeten zijn om zoiets per getroffen categorie te regelen. Dat we in 1999 ook met linkjes werkten betekent niet dat het tegenwoordig ook zo zou moeten werken.
Nee klopt, maar toch wel gek
Op wat voor manier stel jij voor dat te doen zonder dat je weken bezig bent met een tool te ontwikkelen die eerst kijkt naar het type ontvangende toestel alvorens er een keuze gemaakt wordt of de MMS automatisch mag worden gedownload door de client of niet? Volgens mij is dat totaal niet 3GPP compliant en zou je dus je mooie, 3GPP compliant netwerk voor een bug moeten laten afwijken van de standaarden? Lijkt mij niet echt logisch.
De vraag is of dat wel zo lang duurt. Bij een mms naar mijn nokia 3310 krijg ik direct een sms. Welk systeem doet dat en hoe weet die mijn telefoon? En kan die niet worden uitgebreid?

En stel dat je de ontvangst niet filtert zoals nu gebeurd, maar het versturen? Maak een wachtrij, hou alles een paar minuten vast... Meer dan 3 berichten in 2 minuten? Dan blokkeren en stuur verzender een sms met een link om het versturen te bevestigen.

Dan hebben alleen de mensen er last van die geÔnfecteerd zijn.
Bij een mms naar mijn nokia 3310 krijg ik direct een sms. Welk systeem doet dat en hoe weet die mijn telefoon?
Op het moment dat er een MMS voor jouw nummer is, dan stuurt de MMSC eerst een 'onzichtbare' SMS om te checken of jouw telefoon MMS capable is. Jouw telefoon zal dan op dezelfde manier reageren dat hij niet met MMS om kan gaan. Hierdoor weet de MMSC dat 'ie een zgn legacy-bericht moet sturen ipv een MMS. In feite wordt er nu niet meer 'gevraagd' of een telefoon MMS aan kan maar wordt er direct een legacy-bericht gestuurd.

Edit: dit is ff high-level zoals ik het begrijp. Ik ben verre van een netwerk-expert ;)

[Reactie gewijzigd door FooLsKi op 7 augustus 2015 23:11]

Zeker, had zelf SMS/MMS van onbekende nummers al geblokkeerd, maar MMS compleet uitzetten kan helaas niet, dus ik ben hier wel blij mee.

Nu hopen dat LG (en anderen) opschiet met de fix
Je kunt je MMS instellingen toch gewoon uit je APN opties halen?
Goed idee, ik kan de MMS instellingen wel vinden, maar helaas niks aanpassen of verwijderen
Bij je APN instellingen. Niet bij MMS instelling
En hoe heb je dat blokkeren van SMS\MMS berichten van onkende nummers gedaan dan als ik vragen mag... :?
In de standaard message app van android zit de optie om onbekende nummers te blokkeren
Wat mij betreft mogen ze MMS compleet uitfaseren. Providers kunnen eens onderzoek doen hoeveel mensen er nog effectief gebruik van maken (dan heb ik het niet over de VS) en uitrekenen of zo'n achterhaalde dienst nog rendabel is.
Dus omdat het security beleid van Android smartphones niet op orde is moet de gehele dienst voor iedereen maar worden uitgeschakeld? Ik vind het persoonlijk te ver gaan en zorgt alleen maar voor dat fabrikanten niet sneller het probleem van Android oplossen.

Daarnaast kan niet alleen mms misbruikt worden voor de exploit. Als ze het goed willen doen weren ze bv. ook whatsapp, maar dat zie ik niet gebeuren. Of te wel, het is een schijnbeveiliging wat T-mobile hier doet.

edit voor de reacties hieronder:
Als je het artikel van tweakers leest komen de volgende dingen naar voren:
Maar mms is niet de enige aanvalsmogelijkheid. Ook andere chat-apps zouden kunnen worden gebruikt. Denk aan WhatsApp, maar ook Telegram: zodra een app de mogelijkheid biedt om berichten te versturen, is ze kwetsbaar. "Ik heb WhatsApp nog niet specifiek onderzocht, maar als je video's kunt versturen, kan de bug worden misbruikt", aldus Drake.
Drake komt op minimaal elf verschillende manieren om de bug te misbruiken. "Vanuit de browser kan hij op twee manieren worden misbruikt: door een video te embedden, of door de video als download te serveren", aldus Darke. In beide gevalen wordt de video direct verwerkt en is de gebruiker dus getroffen voordat hij actie heeft ondernomen.

Wel moet de gebruiker eerst naar een website surfen die de video aanbiedt, maar dat hoeft niet per se een schimmige site te zijn: aanvallers misbruiken vaak advertenties op websites om malware te serveren
Of te wel, wat T-mobile doet heeft helemaal geen zin als ze hun gebruikers willen beschermen. Als ze het willen doen omdat het een oud techniek is, dan hadden ze dat moeten vermelden.

[Reactie gewijzigd door vali op 7 augustus 2015 12:10]

MMS is achterhaald, zeker sinds de komst van Whatsapp. Ze moeten gewoon eerder de stekker uit verouderde techniek trekken die door vrijwel niemand weer wordt gebruikt.
MMS is achterhaald, zeker sinds de komst van Whatsapp

Het grappige is dat WhatsApp eigenlijk heel weinig meer is dan MMS. Het is enkel zo dat door het Europese prijsbeleid (buiten SMS bundels houden) het onaantrekkelijk gehouden is.

Maar behalve de 'last seen online' feature zie ik weinig voordeel van WhatsApp tov MMS. Maar MMS werkt dan ook weer met gebruikers die geen WhatsApp hebben.

Let wel, ik gebruik ook WhatsApp net zoals de rest van Nederland, maar MMS is juist een relatief moderne media dienst. Zeker omdat het ook over IP loopt, is het juist niet echt achterhaald anders dan SMS en circuit-switch bellen. Het is vrijwel volledig het prijsbeleid dat het voorkomen heeft door te breken.
Helaas werkt deze bug ook op WhatsApp, alleen is het dan niet op de achtergrond zoals bij MMS.
Ik vraag me af of het bij Whatsapp ook niet op de achtergrond werkt.
Whatsapp laat toch een thumbnail zien van binnengekomen video's?
Voor het genereren van die thumbnails via de android API wordt ongetwijfeld het Stagefright framework aangeroepen.
Dat zou goed kunnen, maar volgens mij zie je dan wel dat er wat binnen gekomen is. En niet zoals bij MMS het hele berichtje weer weg is. Nu heb ik zelf 2 Android phones die niet kwetsbaar zijn, maar gebruik zelf Textra voor SMS/MMS die al een noodpatch hadden uitgebracht.

[Reactie gewijzigd door RebelwaClue op 7 augustus 2015 12:30]

maar volgens mij zie je dan wel dat er wat binnen gekomen is. En niet zoals bij MMS het hele berichtje weer weg is
Dat is meer een kwestie van hoe de malware werkt. Standaard zie je de MMS natuurlijk ook maar zou de malware die binnekomt die in therorie kunnen verwijderen.

Bovendien maakt het niet uit als je ziet dat er in whatsapp een video is binnengekomen want die komt ongetwijfeld van een bekende die al besmet was. En bovendien is je telefoon dan al besmet en kan de schade oplopen. Bijvoorbeeld doordat je telefoon stiekum betaalnummers gaat bellen of zoietsof je private gegevens gaat stelen.
Videos en afbeeldingen worden eerst op de Whatsapp servers opgeslagen, het zou dus kunnen dat daar ook de thumbnail wordt gegenereerd. Dus het uitschakelen van het automatisch downloaden van videos (dit kan in de instellingen van Whatsapp) is een tijdelijke fix om misbruik van deze exploit te kunnen beperken.
Correct, je krijgt een thumbnail van de verstuurder of de server; en de server stuurt pas t hele filmpje als je daar om vraagt. (Tenzij autodownload aanstaat, ja)
Whatsapp zou natuurlijk videoberichten kunnen scannen op malafide code en eea blocken, elke app heeft een verantwoording tot het goed gefixt is en t-mobile fixt tijdelijk via een workaround zijn 'app' mms.
Is dat zo? Dat vraag ik me af.
WhatsApp hercodeert en comprimeert elke video die verstuurd wordt, van het originele bestand blijft niets over. En als je enkel audio/video codeert ben ik benieuwd of dat werkelijk nog wel werkt.

Naar mijn weten is het niet getest.
Voor de zekerheid kan je t natuurlijk t beste uitzetten, maar t zal mij benieuwen of filmpjes via WhatsApp werkelijk een aanvalsvector kunnen vormen.
Tja dan kun je ook wel de stekker uit FM radio en analoge televisie trekken want dat is ook beide zwaar achterhaald maar toch zijn er altijd nog wel mensen die het gebruiken.
Er zijn miljoenen mensen welke FM Radio in de auto gebruiken. Nog maar weinig auto's hebben een DAB autoradio..

Vanwege de netneutraliteit mag T-Mobile niet de inhoud van de berichten en daarmee dus ook niet de video attachment scannen op malafide inhoud en deze tegenhouden. Dus de enige juiste methode voor T-Mobile is dan inderdaad maar even MMS uit te schakelen.

Misschien moet er in de netneutraliteits wetgeving een uitzondering komen waarbij providers (telecom- en/of internet) verkeer mogen scannen op malafide inhoud en dit verkeer blokkeren. Wel zal de provider dan de berichten (niet specifiek MMS, maar ook bijvoorbeeld email en sms) in quarantaine moeten plaatsen voor een bepaalde periode zodat de ACM periodiek kan controleren of de blokkeer mogelijkheid niet wordt misbruikt..
Misschien moet Android gewoon een patch krijgen die dit oplost en een manier om dit soort dingen fatsoenlijk vanuit Google / OHA op te lossen i.p.v. afhankelijk te zijn van de fabrikant van de telefoon?

Beetje waanzin om dit aan te grijpen om een heel scan verhaal op te tuigen. Dit is typisch iets wat ik vanuit Den Haag zou verwachten, elke aanleiding die ze maar kunnen vinden misbruiken om vrijheid verder in te perken.

Sorry voor de rant, niet tegen jou persoonlijk gericht, maar dit soort ideeŽn heb ik een hekel aan.
Google heeft het ook opgelost en de oplossing gestuurd naar de fabrikanten van de telefoons.

Helaas (of gelukkig, is maar net hoe je het bekijkt) heeft iedere fabrikant een net iets andere implementatie. Hierdoor is Google dus voor de uiteindelijke uitrol wel afhankelijk van de fabrikanten.

Het scan verhaal is op zich wel weer een stap verder gekomen door dit nieuwe MMS-hackte-mijn-Telefoon "argument". Al is het de vraag of het niet de volgende stap is. Gezien dat Google ook de spam uit mijn e-mail inbox filtert is het filteren ervan uit mijn inbox van mijn telefoon misschien niet te ver (helaas?).
Filteren mag wel als het proportioneel is. En dat is in dit geval zo: legale gebruikers van MMS zullen zich niet bezwaard voelen.

En zelfs als dat wel zo zou zijn kan het een optie worden. De optie om de filtering uit te schakelen moet dan wel gratis zijn.

De meeste providers hebben virus- en spamfilters op de mail zitten.
MMS werkt tenminste op veel gewone telefoons, Whatsapp alleen op smartphones.
Dat klopt, maar hoeveel mensen gebruiken MMS en hoeveel Whatsapp ?
Waarom zou het uitmaken hoeveel mensen er gebruik van maken?
De providers hebben de apparatuur al staan, en jij ondervind er geen hinder van als anderen het gebruiken.
Dat is niet de juiste vergelijking. Je zou telefoneren + sms'en + mms'en moeten combineren als je het wilt vergelijken met WhatsApp. Als je alleen de minst populaire van de drie pakt, dan maak je een scheve vergelijking.

Bovendien valt een mms tegenwoordig vaak onder het "onbeperkt sms en mms" deel van een abonnement, dus is dat 'gratis' beschikbaar voor een groot deel van de bevolking.
Zou Whatsapp een vrij en open protocol zijn dat iedereen onbeperkt kan gebruiken, dan geef ik je gelijk. Maar de werkelijkheid is dat het een gesloten protocol is, gemaakt en exclusief beheerd door een advertentiebedrijf, dat actief optreedt tegen niet-officiŽle apps, zodat het dus op sommige platformen simpelweg niet te gebruiken is. Dus nee, MMS heeft dan zeker nog meerwaarde.
WhatsApp is helemaal niet gemaakt door een advertentiebedrijf.
Daar is het later door overgenomen, terwijl het in eigen beheer blijft.

Maar het is inderdaad niet geschikt voor vervanging op provider niveau.
Gelukkig wel op app niveau :)
Apple iMessage maakt gebruik van MMS als de ontvangende kant geen iOS device heeft.
De Windows Phone Berichten+ app doet ongeveer hetzelfde
Het probleem is dat het in andere landen juist heel veel wordt gebruikt (bijvoorbeeld Noorwegen schijnbaar).

Nederland is een van de landen waar het is mislukt, omdat providers er gewoon absurde bedragen voor vroegen (en toen waren ze verbaasd toen WhatsApp exact dezelfde functies bood maar dan gratis)
Gezien de netneutraliteit kan en mŗg je WhatsApp e.d. niet blokkeren. De keuze om MMS 'kreupel te maken' (het wordt nog steeds ondersteund, alleen ontvangen moet tijdelijk anders) heeft vooral te maken met het enorme aandeel Androidtoestellen op het netwerk. Dat zijn er veel meer dan alle iOS, BB en Windowsapparaten bij elkaar.

De claim dat dit er niet voor zou zorgen dat fabrikanten dit issue sneller zouden fixen raakt kant noch wal. Fabrikanten zijn hier echt wel druk mee bezig, zeker omdat MMS niet de enige manier is om geÔnfecteerd te raken. Het lijkt misschien stil vanuit de fabrikanten, maar als je 'achter de schermen' kunt kijken dan weet je wel anders.
Net of T-Mobile niet weet wat voor type telefoon er achter een nummer hangt. Ik denk dat ze dat van de meeste gebruikers wel weten.
Laat ze lekker selectief kreupel maken. Nu zit ik met een slecht werkende MMS terwijl mijn Windows Phone er perfect mee om kan gaan.
Natuurlijk is dat te zien, maar heb je enig idee hoe complex het is om dit per individuele gebruiker te doen? Je moet dan letterlijk miljoenen nummers stuk voor stuk gaan bekijken. Tegen de tijd dat je dan klaar bent dan is het 2017 (okee, overdreven maar hopelijk snap je waar ik heen wil). Het is veel simpeler en efficiŽnter om de MMSC zo in te stellen dat MMS niet meer automatisch gedownload kan worden.
Het is veel goedkoper om het in te stellen. Dat is hier het sleutelwoord denk ik, zeker aangezien het T-Mobile is die de eerste stap naar een goedkope oplossing zet. Klantvriendelijkheid is niet meegenomen in de afweging. Dit is typisch een oplossing waardoor ik wens dat Apple toch telecomprovider wordt, "it just works" zou best wel eens op meer vlakken van ons digitale leven mogen worden toegepast en dat zal met de status quo niet gebeuren.
at zijn er veel meer dan alle iOS, BB en Windowsapparaten bij elkaar.
MMS werkt ook op niet smartphones.
En dat zijn er dus ook nog heel veel.
En vervanging met een url is daarvoor in veel gevallen niet zo handig
Wat een verschil het missen van 1 woordje kan maken (ik zag "niet" niet staan).

Helemaal gelijk dat er nog genoeg featurephones zijn die nooit een update hebben gekregen en nooit zullen krijgen. Die mensen zullen dan de MMS op de pc moeten bekijken. Nog veiliger :)

[Reactie gewijzigd door FooLsKi op 7 augustus 2015 13:09]

MMS werkt ook op niet smartphones
!=
MMS werkt niet op smartphones
Ik zag het inderdaad. Vandaar ook mijn compleet gewijzigde reactie :)

Gelukkig is nog maar een heel klein deel van de telefoons een niet-smartphone, waarvan het overgrote deel ook nog eens zo basic is dat er niet eens een camera en/of MMS-capability in zit.
Dus omdat het security beleid van Android smartphones niet op orde is moet de gehele dienst voor iedereen maar worden uitgeschakeld? Ik vind het persoonlijk te ver gaan en zorgt alleen maar voor dat fabrikanten niet sneller het probleem van Android oplossen.
...
Ondanks komkommertijd heb ik niets in het nieuws gezien wat de burger hier op wijst. Ik heb niemand uit 2de kamer gehoord dat een groot deel van Nederland een toestel in handen heeft dat kwetsbaar is, en dat de kans op beveiliging praktisch nihil is.

Maar als over een tijdje blijkt dat men in de kinderkamer mee heeft gekeken dan barst de bom.


Het is een rigoureus besluit, maar er is reden voor, het is geen kleine hack. En officieel mag een provider weliswaar niet overal meekijken, maar ik acht de kans groot dat ze ongewone activiteiten hebben waargenomen waarvan de gevolgen niet helemaal te overzien. Zou me ook niet verbazen als achter de schermen een dienst mee kijkt en of kwalijker, dat ze geinstrueerd zijn.
Ondanks komkommertijd heb ik niets in het nieuws gezien wat de burger hier op wijst. Ik heb niemand uit 2de kamer gehoord dat een groot deel van Nederland een toestel in handen heeft dat kwetsbaar is, en dat de kans op beveiliging praktisch nihil is.
Dat verbaast mij dus ook. Toen Google een paar maanden geleden een lek in Windows blootlegde zonder even te communiceren werd het breed uitgemeten in de media en nu? Nu horen we niets.
Ook de overheid heft natuurlijk de plicht om hun burgers hierop te wijzen.
In dit geval is het meer preventief. Voor zover ik weet zijn er nog geen ongewone activiteiten waargenomen, maar het schijnt dat er al wat Russische en Chinese 'hackers' hebben uitgevonden hoe de exploit werkt.
Ja maar in Whatsapp kun je in ieder geval het automatisch downloaden van video's zelf uitzetten, bij MMS beginnen de problemen al voor je het hebt bericht nog maar hebt geopend.
Bij mijn standaard sms app ("Berichten" op Sony xperia Z1 compact, Android 5.0.2) kan ik bij instellingen het vinkje uitzetten bij "MMS autom. downloaden".
In Hangouts ook:
Settings -> SMS -> Auto retrieve MMS
Nee het is niet uitgeschakeld. Het is gewijzigd. Gebruikers krijgen een link naar de MMS.
En dat is ook niets nieuws: dat werd al gebruikt richting ontvangers die MMS niet hadden geconfigureerd.
Maar als gebruiker wil je het risico niet lopen. T-mobile doet nu aan voorkomen, het is aan andere om het te genezen.
Dus als we puur naar dit artikel kijken Vind in het een goede zet van tmobile
Dit is het nadeel van software vrij beschikbaar om aan te passen. Door de aanpassingen is het niet zomaar mogelijk om een nieuwe versie uit te rollen. Deze moet weer specifiek aangepast worden om goed te werken. Deze fragmentatie maar het uiteindelijk een grote onbeheersbare bende van verschillende versies.

De grote problemen met de onderhoudbaarheid waren al langere tijd bekend bij Android. Dit is echter de eerste keer dat er ook echt een groot probleem aan hangt voor de gebruikers. Voor vele zal het nodig zijn om een nieuwe telefoon te kopen om 'veilig' te zijn. Dit soort problemen zul je bij een IOS/WP niet tegen komen gezien dit centraal beheerd wordt. Daar is het eenvoudig een pach te maken om het probleem op te lossen.

P.s. ze hebben niet goed opgelet bij T-Mobile, MMS was lang niet de enige wijze waarop het kon. Evenals Titan_Fox vraag ik me ook af waarom deze dienst nog bestaat? Ik ken werkelijk waar niemand die dit gebruikt....
Ook bij Windows phone komt dit voor. De Huawei Ascend W1 heeft nooit de upgrade naar de nieuwe Windows phone software gekregen..
P.s. ze hebben niet goed opgelet bij T-Mobile, MMS was lang niet de enige wijze waarop het kon.

Eens, maar ik denk dat men vooral bang is voor een worm die zich via het gewone adresboek verspreid. Ofwel, jij krijgt een MMS, die een worm installeert, en dan via het adresboek zichzelf doorstuurt naar alle telefoonnummers die daarin staan.

Bij diensten zoals WhastApp en Skype is dit soort geautomatiseerd verzenden vaak moeilijker.
Ik vind het persoonlijk te ver gaan en zorgt alleen maar voor dat fabrikanten niet sneller het probleem van Android oplossen.
Daar heeft T-Mobile geen boodschap aan, het gaat T-Mobile om 1 ding: voorkomen dat via hun diensten een klant slachtoffer kan worden. Whatsapp beveiliging moet Whatsapp aanpakken, maar T-Mobile kan in elk geval verantwoordelijkheid nemen voor aanvalvectoren via hun eigen dienstverlening.

Het is een vrij drastische actie, maar ik kan hem deels wel begrijpen.
Ik denk dat het goedkoper en minder klanten stoort om het gewoon te laten voor wat het is.
Met het risico dat er een worm de kop opsteekt die misbruik maakt van deze bug en alle negatieve publiciteit (plus een eventuele shitstorm aan data over je netwerk) hierdoor? Nee, dan liever de MMSC 'kreupel maken' met een stuk lagere potentiŽle klant- en netwerkimpact. Een ietwat drastische oplossing wellicht, maar zeker geen lichtzinnige. Ik kan je verzekeren dat er op internationaal niveau flink over is gediscussieerd.
Je kan beter zoals T-Mobile doet de MMS als link via een SMS versturen dan MMS totaal uitschakelen.
Ben ik met je eens, alleen gaat het in dit geval niet alleen om MMS

Zoals we konden lezen (hier op tweakers) zijn ook andere applicaties gevoelig voor deze bug/exploit.

edit: link toegevoegd

[Reactie gewijzigd door theBazz op 7 augustus 2015 11:45]

Het is niet alleen MMS maar elke video, daar heb je gelijk in. Maar de hack zoals deze nu is aangetoond gebruikt MMS. Andere berichten apps zijn ook kwetsbaar, alleen is dit nog niet aangetoond.

Zaken die bepalend zijn voor de kwetsbaarheid:
- wie jou een video mag sturen (MMS = iedereen)
- of er een parij tussen zit die kan controleren op virussen (niet bij MMS)
- of the app het stagefright framework van Andriod gebruikt om de video af te spelen (wel bij MMS via berichten en hangouts app)
- of de video al automatisch wordt geopend na ontvangst (wel bij MMS)

Iedere partij die een eigen messaging app heeft kan 1 of meerder van de bovenstaande punten gebruiken om te voorkomen dat de hack effect heeft op hun app. De meest veilige is daarbij natuurlijk om stagefright niet te gebruiken
Helemaal mee eens. Ik vraag me eerlijk gezegd af of MMS uberhaupt ooit een hype is geweest, laat staan nu nog. Vroeger toen dataverbindingen op telefoons nog niet bestonden was MMS een (mijn inziens) al gimmicky variant op SMS. Zelf heb ik nog nooit een MMS gestuurd of ontvangen. Tegenwoordig met zaken als Whatsapp, iMessage, Telegram, Facebook Messenger en alle anderen is MMS al helemaal gedateerd.
Ik heb ook nog nooit een MMS verstuurd. Die waren veel te duur. Toen ik mijn eerste mobiele telefoon had moest je beltegoed nog omzetten naar SMS-tegoed. En dat is al een hele tijd geleden.
of zo'n achterhaalde dienst nog rendabel is.
Of iets achterhaald is heeft niets te maken met rendabiliteit. MMS is gewoon een dienst die in de al jaren in de systemen zit en waar per gebruik een bedrag wordt gevraagd dat helemaal geen relatie heeft met de kosten. Geheid rendabel. We gebruiken in Nederland bij allemaal Whatsapp, wat het zelfde kan als MMS, omdat MMS gewoon niet goed werkt en duur is.
Exact!
MMS heeft echt nauwelijks nut en is volgens mij ook nooit echt een succes geweest.

Af en toe zie ik er een en dat is dan eigenlijk altijd een verkeerd verstuurde SMS. Foto's en video gaat veel makkelijker over whattsapp en co.
Dit is een van de weinige lekken in Android die werkelijk een probleem vormt.
Als we bij elk lek dat grote problemen kan vormen een OS maar in de ban zouden moeten doen, dan was iOS ook allang pleite hoor ;)

Reken je niet rijk met veiligheid die je niet hebt op een ander OS.
Ze hebben allemaal hun lekken (gehad), Android scoort nog verbluffend goed qua veiligheid.
En jij bent een iOS gebruiker?
Ja, mag je dan geen mening hebben?
Dat mag, maar je negatieve houding jegens Android spreekt boekdelen. Vandaar dat het vrij makkelijk te raden is dat je een iOS-fan bent.
Ik zou maar niet naar het casino gaan, als ik jou was. Gokken lijkt niet jouw sterkste kant. Er wordt nog steeds verdiend aan MMS, zelfs al zijn er niet zoveel meer die het gebruiken. Natuurlijk werkt MMS ook over 4G, razendsnel zelfs. Maar ja, lekker ongefundeerd bashen vanuit de onderbuik is zo makkelijk, hŤ?
Nou, het was voor mij zeker niet als ongefundeerd bashen bedoeld. Jammer dat een oproep voor discussie wordt weggemod. Ik ben daarom blij dat je wel de moeite neemt voor een inhoudelijke toevoeging!

Ik heb sterk het idee dat MMS nauwelijks bekend is als middel om plaatjes te sturen. In mijn omgeving hebben de niet Tweakers er bij navraag nog nooit van gehoord. Zelf heb ik met MMS een grote mate van incompatibiliteit van toestellen ervaren. Dit is wel steeds beter gegaan sinds smartphones kwamen, maar je kan toch niet voorkomen dat een MMS slechts als internetlinkje landt op het toestel van de ontvanger. Vodafone stuurde elke nieuwe klant na activering van de simkaart en het ontvangen van de MMS instellingen nog een MMS met info. Zij verzekerden zich er zo van dat een beeld ook bij Vodafone ontvangers door zou komen. Bij KPN en Vodafone hoor je nagenoeg niets over MMS. Bij T-Mobile zijn de (hoge) kosten per MMS in iedergeval helder weergegeven in de prijslijst. Bij KPN ook wel, maar minder prominent.Op dit moment is het ontvangen van een internetlink door de bug louter een voordeel, maar toch niet zo bedoeld.

De toepassing van MMS die ik in het professionele domein ken is het doorsturen van foto's door schadeexperts, wegbeheerders etc. Met alle innovatie in smartphones kan ik mij niet voorstellen dat deze toepassing niet al jaren terug vervangen is door een alternatief. Als ik mij vergis dan hoor ik het natuurlijk ook graag. Ik ben nieuwsgierig naar de toepassingen van vandaag.
Ik heb geen idee waarvoor MMS hedendaags nog meer voor gebruikt wordt dan voor audiovisueel materiaal en visitekaartjes doorsturen. Het wordt inderdaad ook niet veel meer gebruikt. Door OTT-services als WhatsApp e.d. is MMS redelijk obsolete aan het raken. Ik heb niks met dergelijke apps en gebruik nog zeer regelmatig MMS privť (foto's van mijn peperplanten delen met peperkwekende collega's bijv.).

Misschien komt het ook wel doordat ik me er bewust van ben dat wat klanten aan inkomsten voor mijn werkgever genereren ervoor zorgt dat ik brood op de plank heb. Dus hoe meer mensen MMS gebruiken en minder dingen als WhatsApp, hoe beter ;)

Edit:ik bedacht net nog een service waarvoor MMS een jaar of 10 geleden (ten tijde van de Nokia 7650) best populair was: MMS Post. Dan kon je voor, als ik het goed herinner, §2,50 je foto (0,3 MP!!) als fysieke kaart naar iemand laten versturen door de post.

[Reactie gewijzigd door FooLsKi op 8 augustus 2015 21:25]

Kunnen ze als provider niet de MMS metadata automatisch (dus niet handmatig en/of inhoud bekijken) scannen op dit soort praktijken ?
Dat zal ivm privacy-wetgeving vast niet mogen.
In hoeverre is dan bijv een spam filter van een provider inbreuk op privacy ? Dat lijkt mij eenzelfde mechanisme tov ongevraagde en schadelijke bestanden die je toegezonden wordt.

In plaats van de complete dienst de nek omdraaien zou ik namelijk dat een beter instrument vinden
Uiteraard is dat een veel betere manier, maar het maken van zo'n oplossing neemt meer tijd in beslag, zeker aangezien de exploit in eerste instantie vandaag publiek zou worden gemaakt.
Kunnen ze als provider niet de MMS metadata automatisch (dus niet handmatig en/of inhoud bekijken) scannen op dit soort praktijken ?
De metadata van MMS zegt weinig hierover, het gaat om specifieke verstopte payload in een videobestand. Die payload is niet statisch, je zal heel goed moeten zoeken - wat vooralsnog waarschijnlijk niet geautomatiseerd zal kunnen - om te zien dat er wat verstopt is.

De exploit is nog niet vrijgegeven, maar ik weet wel dat zodra hij beschikbaar is, ik met een hexeditor aan de slag ga om te kijken hoe en wat, en vervolgens ga kijken of ik de diverse beveiligingslagen kan trainen op zoiets.
Kunnen ze als provider niet de MMS metadata automatisch (dus niet handmatig en/of inhoud bekijken) scannen op dit soort praktijken ?

Ja dat kan, maar het probleem is dat er op dit moment nog geen enkel misbruik in de praktijk is. Er is een bug die gebruikt kan worden op talloze manieren ... in theorie. En dat is waarom er niet gescand kan worden, want er is nog geen malware die er gebruik van maakt..
Ik heb geen statistieken voorhanden, maar kan me niet voorstellen dat dit heel hinderlijk is. Hoeveel mensen gebruiken immers MMS? Ik heb overigens nog steeds geen fix binnen op mijn Nexus 5.
Ik gebruik M preview 2 op mijn Nexus 5 waarbij de app al zegt dat ik niet vulnerable ben
De OTA kan altijd even duren, de stock images zijn al wel vrij gegeven voor de nieuwe versie
Ik stuur en ontvang regelmatig foto's via SMS berichten en dat loopt dus via MMS.
Ik gebruik het niet voor video maar als de MMS functionaliteit wordt uitgezet of wordt omgezet naar een URL is dat lastig.
Ook al omdat MMS ook werkt op bepaalde niet-smartphones en de gebruikers daarvan kunnen waarschijnlijk niks met een vervangende url als ik ze een foto stuur in een SMSje.

[Reactie gewijzigd door 80466 op 7 augustus 2015 12:03]

Mijn samsung galaxy s6 heeft gister een update gehad tegen de exploit. Voor de s6 zijn ze mooi snel dus.
Heeft onder andere ook met je provider te maken. Niet alleen met de fabrikant (in jouw geval, Samsung).
EDIT: de update blijkt niet de bekende bug op te lossen.
Waarom zouden ze 10 dagen na het bekend worden van de bug, een update pushen zonder fix?

[Reactie gewijzigd door marco282 op 7 augustus 2015 12:29]

Zimperium meldt de S6 als onveilig
Lookout meldt de S6 als veilig

Voor de update (gisteravond) van Zimperium had ik op mijn M9 ook die resultaten. Hoeft dus niet te betekenen dat de S6 update niet de bug aanpakt en kan ook hier een fout bij Zimperium zijn. Zou mij namelijk ook verbazen om deze week een update zonder patch te doen... Een update klaar hebben staan is namelijk ideaal als uitrol punt om enkel een patch aan toe te voegen.

Er is overigens nog een app als detector en die controleert zelfs enkel op Android versie (oftewel, nutteloos...)
Ik heb geen idee wat de detecties zouden zijn. In iedergeval is dit nu mijn resultaat op de s6.
http://i.imgur.com/RiztB6X.png

Ben benieuwd of hun gewoon een database hebben met fixes of geen fixen of dat er daadwerkelijk wordt gescant.
Interessant, DANK!

Had nog niet gezien dat de S6 dus 'gedeeltelijk' als melding krijgt. Verbaasd me, want Samsung lijkt me toch niet 'half' een update toe te passen..

Als het echt een scan is, dan is er dus nog iets mis met de S6... Zou me verbazen, al maakt dit de S6 nog steeds veiliger dan geen update.
Off-topic:
"T-Mobile stopt met ondersteuning mms na Stagefright-bug"
"T-Mobile is donderdag in elk geval tijdelijk gestopt met de ondersteuning van mms in Nederland."
"De aanpassing geldt sinds donderdag en is een tijdelijke maatregel, zo laat de provider weten."

Wil niet vervelend overkomen, maar zet gewoon tijdelijk in de titel. Het komt nu over alsof T-Mobile de stekker uit MMS plugt, wat gewoon niet aan de orde is.
Inmiddels aangepast. ;)
Sterker nog: "Een klant van T-Mobile krijgt niet langer het mms'je zelf, maar een sms met een link naar een webpagina, zegt de provider."
Ma.w. de klant kan nog steeds MMS gebruiken, maar het bericht staat ergens op een server, waarna de ontvanger deze leest via een webpagina.


MMS heb ik tot nu toe maar ťťn keer gebruikt; 'vroeger' kon je ringtones krijgen via MMS. In die tijd was er nog niet echt een internet-bundel en de markt (lees consument) was er toen nog niet klaar voor.
Nu met e-mail, WhatsApp, etc. is MMS helemaal overbodig geworden in mijn ogen. Genoeg reden om MMS gewoon volledig uit te schakelen. :)

[Reactie gewijzigd door archie2012 op 7 augustus 2015 12:29]

Daar heb je gelijk in, ik heb het aangepast :)
Op het forum is melding dat andere providers hetzelfde doen in Nederland ťn dat T-Mobile in geheel Europa deze maatregel probeert toe te passen.

Volgens die reactie doet Vodafone echter wel hetzelfde en volgt ook KPN...

Het is een grootschalige rem op potentiŽle verspreiding.

-edit-
App zou inmiddels zijn bijgewerkt, melding verwijdert... Meldt nu wel 'beschermd' op de M9
-edit2-
S6 wordt ondanks update van de week nog wel als onveilig aangemerkt in Zimperium. t.b.c....

[Reactie gewijzigd door Freaky_Angelus op 7 augustus 2015 14:51]

Er zijn inderdaad een aantal T-Mobile-landen (met wat oudere netwerkapparatuur) die gewoon maar de hele service hebben uitgezet. Dan kun je toch maar beter de 'kreupele' service hebben :)
Nou nee...

MMS is namelijk zonder tussenkomst mogelijk voor de verspreiding. Daarom is die juist zo gevoelig. Ik snap dat je als gebruiker liever de kreupele variant zou willen hebben (zeker als je namelijk niet gevoelig bent hiervoor), maar het verspreiden via gevoelige telefoons zal bijna het netwerk plat kunnen leggen.

Bedenk eens hoeveel contacten iemand heeft die bij ontvangst al hun contacten direct een MMS sturen ter voortgang verspreiding. Dat is amper nog exponentieel te noemen en gewoon eerder explosief op kernreactie niveau.

Whatsapp en al die andere diensten vereisen het 'zien' / behandelen van de video en dat kan uit. Dus enige verspreiding gaat daardoor al langzamer (en legt ook niet een netwerk plat ;))

Maar gewoon even geduld, er is nog geen virus bekend en de updates rollen al uit. Met de acties van T-Mobile zal enig virus ook niet via MMS nut hebben (tussenkomt server ter controle of iemand niet plots heel veel meer MMS stuurt en eventueel na patroon ook bestand herkenning) dus daarmee is het juist goed. Niet even ideaal voor MMS gebruikers, maar wel de beste en meest directe oplossing nu voor handen.
Lekker veilig dat Android... Een paardenmiddel om een bug te fixen... Ipv van even een OTA update je versturen. Zal anders heel wat omzetdaling schelen hadden ze dit niet gedaan.
Tja, beter iets dan niets. MMS is helaas niet de enige mogelijkheid waardoor je kwetsbaar bent.

Elke telefoon patchen is niet echt mogelijk volgens mij. Een oplossing vanuit de providers lijkt me de beste, misschien kunnen ze malafide pakketjes eruit filteren op netwerk niveau. Hoe dat dan weer zit met privacy weet ik niet.
Een nette oplossing was geweest om de klant nog altijd zelf te laten kiezen (ongeacht of dat opt-in of opt-out is). Als je regelmatig een MMS ontvangt (geen idee of er zulke mensen zijn) en je toestel is wel up-to-date heb je nu ineens een extra stap.
Dit lijkt me een vorm van schijnveiligheid creŽren, want dit lost niets op aan de kwetsbaarheid die ook via web, whatsapp en telegram gewoon blijft bestaan.

Vreemde actie van t-mobile.
Dit is het enige wat een provider op korte termijn kan doen. WhatsApp, Telegram en al die andere chatzooi heb je als provider geen invloed op. De MMSC is daarentegen in eigen beheer. Geen vreemde actie dus, maar ťťn van de weinige dingen die mogelijk zijn zonder netneutraliteit aan te tasten (blokkeren chat-apps is niet netneutraal).
Even opmerken dat de Zimperium checker die in de screenshot staat niet deftig blijkt te werken.
Google heeft namelijk voor de Nexus toestellen een nieuwe build ter beschikking gesteld. (LMY48I)
Na deze geflashed te hebben geeft Zimperium nog altijd Vulnerable aan.

De checker van Lookout mobile geeft na het flashen wel mooi aan dat ik niet meer kwetsbaar ben.
De ZImperium checker is inmiddels geupdate en geeft bij build LMY48I nu wel aan dat je niet vulnerable bent.
MMS is maar 1 manier om geÔnfecteerd te raken. Het probleem zit hem in het stagefright process zelf dat afbeeldingen thumbnails cached. Infectie kan dus ook gebeuren als je gewoon aan het browsen bent.

Wat Android update beleid betreft: Ars Technica is not amused.
www.arstechnica.com/gadge...table-security-armageddon/

Als idd maar 2.6% van devices technisch geupdate wordt heeft google duidelijk een probleem en ziet de toekomst er niet goed uit voor Android......
Wormaggeddon/wormpacolypse iemand?

[Reactie gewijzigd door parryfiend op 7 augustus 2015 12:41]

Precies!

MMS is op dit moment de enige functionaliteit waar zonder tussenkomst van de gebruiker het mogelijk is met deze exploit binnen te dringen.

Via andere apps (browser, whatsapp, email) kan deze exploit ook gebruikt worden, alleen wordt hier de librarystagefright pas gebruikt op het moment dat de gebruiker akkoord geeft om de video te laden.

Prima actie van T-mobile, maar je kunt dus zelf hier ook iets tegen doen.. door in je settings MMS uit te zetten. Zoek hiervoor even op internet met jouw versie van Android.

Zie hiervoor de uitleg door de vinder zelf op Blackhat via Youtube.

[Reactie gewijzigd door Falcon op 7 augustus 2015 13:01]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True