Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

Smart unlock, waarbij Android-gebruikers hun telefoon kunnen unlocken op basis van hun locatie of een gekoppeld toestel, is in combinatie met bluetooth te omzeilen. De bug is in Android 5.1 gefixt. Dat claimen beveiligingsonderzoekers.

Op de DEF CON-hackersconferentie in Las Vegas deden beveiligingsonderzoekers Matteo Beccaro en Matteo Collura uit de doeken hoe met een vervalste bluetooth-verbinding de smart unlock-functionaliteit om de tuin kan worden geleid. Hoewel Google het probleem heeft opgelost in Android 5.1, zijn gebruikers van Android 5.0 nog steeds kwetsbaar, stellen de onderzoekers. Android 5.0 is veel populairder dan 5.1 en staat op 15,5 procent van de Android-toestellen, tegen 2,6 procent voor 5.1.

De smart unlock-functionaliteit vereist de aanwezigheid van een vooraf ingestelde bluetooth-verbinding om een telefoon te kunnen unlocken zonder dat een code hoeft te worden ingevoerd, bijvoorbeeld een smartwatch. De functionaliteit is bedoeld om het unlocken van een telefoon makkelijker te maken, en toch enige veiligheid te behouden. De aanwezigheid van het bluetooth-apparaat kan in Android 5.0 echter worden gespoofd.

Om dat te kunnen doen moeten wel getallen van het mac-adres worden geraden, maar Android-apparaten die zoeken naar een bluetooth-verbinding zenden een beacon uit waarin drie van die vier getallen aanwezig zijn. Het vierde getal kan worden geraden via brute forcing; daarvoor hoeven slechts 256 pogingen te worden uitgevoerd.

De aanvaller moet vervolgens vervalste bluetooth-communciatiepakketjes met het bewuste mac-adres naar het Android-apparaat in kwestie versturen, waarna dat apparaat denkt dat het apparaat is gekoppeld. Een kwaadwillende zou dat kunnen doen als hij een telefoon in handen heeft en toegang wil tot de bestanden op de telefoon, maar niet over de toegangscode beschikt.

Er is wel een beperking: via bluetooth worden ook verificatieberichten uitgewisseld tussen het Android-apparaat en het gekoppelde toestel. Die berichten kloppen niet bij een nagebootste bluetooth-verbinding. Enige tijd na het unlocken verbreekt de Android-telefoon daarom de verbinding, maar de aanvaller heeft dan al wel toegang tot het apparaat. De reden dat de aanval niet op apparaten met Android 5.1 kan worden uitgevoerd, is dat die Android-versie de verificatieberichten al bij het koppelen uitwisselt en een vervalste verbinding dus meteen opmerkt.

Het is lang niet het eerste beveiligingsprobleem in Android dat deze week in de aandacht staat. Deze week is er ook veel aandacht voor de bug in video-engine Stagefright en diverse bugs in de remote support-tools van fabrikanten onder de naam Certifi-gate.

Smart Lock op Android 5.0

Moderatie-faq Wijzig weergave

Reacties (53)

Waarom moeten er 265 pogingen gedaan om 1 cijfer extra te kraken?
Omdat ze eigenlijk een getal bedoelen. Het gaat om een deel van een macadres.

En dat gaat om 2 hexadecimale getallen die samen 256 waardes kunnen representeren.

8a.4f.c6.?? waar dat laatste getal dus geraden moet worden...
Omdat dat cijfer op 4 verschillende plekken kan staan. 4^4 mogelijkheden.

Ik gebruik niet eens een code oid om mijn telefoon te ontgrendelen. Veel te veel moeite voor iemand die zijn telefoon zo vaak uit zijn broekzak tovert.
Als het over een single decimal digit zou gaan die op 4 locaties kan staan dan zou het gaan om 4 * 10 pogingen om alle combinaties te proberen.

Het gaat hier gewoon over een van de 4 bytes, en dus 2^8 mogelijkheden. De locatie is wel bekend.
Zelfde hier ik heb enkel een simcode (die 0000 is :P)
Neen, dat zou 4! (=24) mogelijkheden geven. Keer 10 kom je dan nog maar op 240.
wat jij beschrijft met 4! = 4*3*2*1. Dat is iets anders dan 4^4=4*4*4*4.
Dat weet ik ook echt wel hoor. Het gaat mij er om dat het uitgangspunt van 4^4 helemaal niet klopt.
Als je van één cijfer de positie niet weet zijn er 4 mogelijkheden daarvoor (en niet 4^4). Als je de waarde van het cijfer zelf ook niet weet (0-9) zijn er totaal 4*10 is 40 mogelijheden.
Als je van alle vier de cijfers de positie niet weet zijn er 4! (inderdaad 4*3*2*1) mogelijkheden voor de plaatsing. (dubbele cijfers even negerend). Als je de waarde van het cijfer ook moet raden kom je dan op 24*10=240 mogelijkheden.

Maar zoals in andere posts al aangegeven doet dit niet ter zake omdat het waarschijnlijk gewoon over een byte gaat (0-255) en niet over onbekende posities.

[Reactie gewijzigd door joppybt op 9 augustus 2015 15:20]

"Als je van alle vier de cijfers de positie niet weet zijn er 4! (inderdaad 4*3*2*1) "
Nee, dit zou betekenen dat als je 1 getal gebruikt, het al niet meer op plaats 2 kan staan, maar je kunt getallen meerdere keren gebruiken dus krijg je 4x4x4x4 mogelijkheden.

Stel dat je het getal maar 1 keer in een reeks kan gebruiken, ja dan heb je eerst 4, dan 3, dan 2, dan 1 mogelijkheid en heb je dus 4!. Maar aangezien je de cijfers dubbel kunt gebruiken geldt de 4^4.
4x4x4x4 is toch echt 256

4x4=16
16x4=64
64x4=256

(edit: de som zelf er maar bij gezet)

[Reactie gewijzigd door DJrDJ666 op 9 augustus 2015 11:48]

Ik neem aan dat 3 van de 4 getallen bekend zijn, maar hun precieze plaats in de code niet. Dan moet je dus nog 1 cijfer weten, maar ook de plaats van alle 4 de cijfers.
Het vierde cijfer kan worden geraden via brute forcing; daarvoor hoeven slechts 256 pogingen te worden uitgevoerd
Iets zegt me dat het hier gaat om bytes en niet om cijfers.
Nee een 2tal hexadecimaal nummer daar is een bt macadres uit opgebouwd.
2 hexadicimale nummers zijn gewoon een makkelijke manier om de waarde van een byte te tonen. Op de netwerklagen zijn mac-adressen gewoon een reeks bytes, dus het is gewoon hetzelfde met een andere weergave.
Jij logt hier natuurlijk in met je bytes en bytes om vervolgens bytes te gaan lezen en te reageren op bytes...

Dat alles in computerwereld uit bytes bestaat wil niet zeggen dat je dat overal maar moet/kan gebruiken om iets duidelijk te maken.
Met als cruciaal verschil dat je zonder de bytes van het MAC-adres überhaupt niets hebt aan de overige bytes, gezien deze zonder nooit aan zullen komen op het device naar keuze waarop de rest van de reactie wordt getoond dan wel ingevoerd.

Verder is het vooral een verschil in definitie: een getal != een byte, maar een byte == een getal.
In dit geval, gezien de vrij harde technische constraint dat de waarde moet liggen tussen 0 en 255 per segment, is naar mijn idee de term byte volledig terecht.
De definitie van 'een getal' is in deze context te ruim (>255 en <0 mogelijk).
Ik vroeg het me ook al af, maar aangezien ik net wakker ben kan ik ook ergens over heen gelezen hebben ;)
Ik vind dit een hele handig feature, en als ik zo lees wat je allemaal moet doen om hem te spoofen denk ik niet dat dit vaak gedaan gaat worden... Helemaal omdat alle telefoons die 5.0 hebben nu straks 5.1 hebben !
En een groot deel van de gebruikers heeft smartlock niet aanstaan met bluetooth
Inderdaad. Heb het zelf alleen op locaties ingesteld.
Inderdaad, ik heb het wel aan staan met op mijn samsung S5 icm mijn auroradio, pebble en BT headset. echter als ik koppel met een van die apparaten moet ik eerst mijn patroon ingeven voor hij ontgrendeld. Daarna kan je als hij opnieuw locked dmv een swipe ontgrendelen. Dus geen idee hoe iemand ondanks dat een fake apparaat gekoppeld is mijn telefoon kan ontgrendelen.
Ik ben benieuwd naar de motivatie om over dit lek wel een artikel te schrijven, terwijl over certifi-gate - tot de laatste zin in dit artikel - met geen woord is gerept op Tweakers.

Natuurlijk is ook dit een behoorlijk ernstig lek, maar certifi-gate is van de categorie stagefright en is uitgebreid behandeld in andere media, zelfs de niet-tech media.
Certifi-gate is dezelfde categorie als stagefright? Wat? Het één werkt op alle mobieltjes, het ander op alleen een handvol mobieltjes waar OEMs een rommeltje hebben gemaakt van hun aanpassingen. Het één kan een telefoon op afstand overnemen, het ander moet de user zelf een gevaarlijke applicatie installeren. Dat is echt niet dezelfde categorie te noemen... niet dat ik er iets op tegen had gehad als er een nieuwsberichtje ofzo over was geweest, maar stagefright is een totaal andere klasse dan deze twee andere lekjes.
Met Samsung, LG, HTC, Sony, ZTE ... betreft het toch het grootste deel van de markt en een gekraakte / lekke / brakke / malafide app is snel binnen. Aangezien je er als gebruiker op dit moment weinig aan kunt doen vind ik het vrij serieus.
Sony lijkt niet kwetsbaar te zijn op basis van de comments op hun scanner app. Maar goed, het klopt dat puur alleen met Samsung je inderdaad al een gigantisch marktaandeel te pakken hebt wat kwetsbaar is en m'n punt was alleen dat in vergelijking met stagefright dit een klein lek is (vooral omdat je zelf de app op je mobiel moet zetten), niet dat dit opzichzelfstaand geen issue is.
Ik geloof dat er makkelijke manieren mogelijk zijn om in een Android te komen die met code gelocked is en die fysiek in handen van de aanvaller is. Hoe dan ook, goed dat het opgelost is. Ik ben alleen bang dat dankzij StageFright dit soort nieuws een beetje dagelijks zal gaan worden.
DefCon is gaande dus is er sowieso niet alleen meer aandacht, er wordt ook vaak even gewacht om rond deze periode een hack bekend te maken.

En of het veel moeite is,
denk zelf van niet. Het is een extra optie om een kopie te maken. Voor de gewone huis-tuin-en keuken man/vrouw met hooguit wat spannende plaatjes zal de wereld niet vergaan.
Wat belangrijker is, is dat veel politici van niet alleen op nationaal niveau, Tweede kamer met Rutte en andere clowns,
maar ook lokaal de interesse wel eens groter kan zijn dan gewenst.

Een simpel voorbeeld is voorkennis mbt wijziging bestemmingsplan. Een stukje agrarisch grond gaat dan even 10x over de kop, maar een issue dat al een tijdje speelt is kantoor omzetten naar student/woning complex.


Het is juist de eenvoud waardoor we juist veel alerter moeten zijn. En dat overheidsdienaars/werknemers werk naar huis nemen is bekend alleen gaat dat nu nog makkelijker met een smartphone!
Android 5.0 is veel populairder dan 5.1 en staat op 15,5 procent van de Android-toestellen, tegen 2,6 procent voor 5.1.
Grappig dat het woord populair word gebruikt voor iets waar iemand eigenlijk niet over kan kiezen. Het is geen top 40 hit ofso...

Android 5 is meer gebruikt dan 5.1 maar zeker niet poplairder. Doe voor de grap maar een pool met de vraag of mensen liever 5 of 5.1 hebben.


Functie een tijde geleden wel eens gebruikt zo hoefde ik onder het autorijden niet mn telefoon te unlocken. Maar met nieuwe radio waar ik de muziek via bt kan doorspoelen os dat ook overbodig geworden. Op wifi/bt wat altijd aan staat zou ik dit zowiezo niet willen. dan hoeft een dief ook alleen maar die plek op te zoeken.

[Reactie gewijzigd door watercoolertje op 9 augustus 2015 10:44]

Hoe moeten ze het dan noemen ipv populair? Wordt veel meer gebruikt?
Het is toch zo dat als je Smartlock aan hebt staan, en je verbind je smartwatch, de beveiliging niet direct opgeheven wordt? Telkens na het connecteren moet je nog 1 maal je pincode ingeven, en vervolgens niet meer...
Dus deze hack werkt toch niet...
Zo is mijn ervaring ook, smart unlock met mijn SmartWatch gedaan. Na disconnect altijd eerst andere code voordat hij weer "smart " doet

Weinig impact zo'n hack :)
Vind smartlock pas handig als je op je wifi niet meer hoeft te unlocken
Je kan wel je thuislocatie instellen als punt om te unlocken.

[Reactie gewijzigd door calvinturbo op 9 augustus 2015 13:43]

Enig idee waarom er zoveel Android beveiligingslekken ineens opduiken in de media de laatste weken? Is het toeval? Of een hetze?
Defcon is bezig, dus van tal en tal van producten worden nu lekken uitgebracht. Al merk je wel dat bij het publiek van deze conferentie bepaalde producten altijd een stuk populairder zijn dan anderen en gezien Android het meest populaire OS is en een trage update uitrol heeft staat het bovenaan de lijst. Ik bedoel maar, zou ditzelfde lek zijn gevonden in iOS had niemand zich er druk om gemaakt (als het al gepubliceerd zou zijn geweest) omdat bijna iedereen al 5.1 zou hebben gedraaid.
Overigs moet het gekoppelde bleutooth apparaat dit wel ondersteunen.
Ik heb al drie apparaten die het niet doen, een bt speaker, autoradio en een headset.
Ziet er meer naar uit dat het voor smartwatches gemaakt is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True