Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Submitter: Simyager

Het is iemand gelukt een app in de Ubuntu Phone-store te zetten die het splash-bootscherm van een Meizu-telefoon aan kon passen, iets wat niet mogelijk zou moeten zijn. Toch wist de app langs het automatische testsysteem te komen. De app is inmiddels verwijderd.

Dat schrijft Softpedia naar aanleiding van een melding van een van zijn lezers. De applicatie met de naam 'test' kon het splash-bootscherm wijzigen, iets wat niet zou mogen. Of de applicatie iets anders dan dat deed, is nog niet duidelijk. De ontwikkelaars van Ubuntu hebben de applicatie inmiddels verwijderd en iedereen die het mogelijk kwaadaardige programma installeerde, heeft een e-mail ontvangen waarin aangegeven wordt dat de applicatie 'test' gebouwd door 'developer mmrow, version 0.1' mogelijk schadelijk is. De applicatie werkt alleen op apparaten die gebruik maken van een armhf-processor.

Het aantal installaties van de app bedraagt 'slechts een handvol' en de reactie van het Ubuntu-team was snel. In een reactie van community manager David Planella aan Softpedia staat dat na de analyse van de app geen andere mogelijk kwaadaardige programma's zich in de Ubuntu Store bevinden. Een Ubuntu Phone-gebruiker maakte een video van wat er gebeurt als de app geïnstalleerd wordt.

Update 17:54: Een uitgebreide beschrijving van de kern van de zaak is door de Ubuntu-ontwikkelaars vrijgegeven. Het blijkt dat de 'test' app na activeren een voorheen onbekende bug misbruikte in het applicatieinstallatiesysteem. Na het klikken op de 'Tap me'-knop in de app, werd een script gestart dat het splash-bootscherm kon aanpassen, waarna de kwaadwillende root-toegang verkreeg. De bug bestaat alleen bij Ubuntu Phones. Desktop, server, cloud en snappy core-apparaten zijn niet getroffen.

In verband met de bug werd de Ubuntu Phone Store op 15 oktober tijdelijk gesloten tussen 2:50 en 7:23 uur onze tijd. In totaal installeerden slechts vijftien gebruikers de app. De gebruikte exploit had op twee verschillende plaatsen gedetecteerd moeten worden tijdens het automatische controle-proces. Beide onderdelen krijgen snel updates en deze zullen spoedig via een ota naar Ubuntu Phones worden gepusht. In principe worden apps die niet aan bepaalde eisen voldoen, niet automatisch doorgelaten. Deze worden normaal eerst door mensen gecontroleerd.

Moderatie-faq Wijzig weergave

Reacties (26)

Hoe is dit kwaadaardig? Het lijkt me vooral een tech demo te zijn...

En de gebruiker verbieden om het bootscreen van hun OS te wijzigen? Mis ik nu iets of gaat dit in tegen de open source-spirit?
Het is kwaadaardig omdat je de applicatie geen toestemming daarvoor gegeven hebt. Standaard draaien applicaties op Ubuntu Phone in een sandbox. Blijkbaar kan deze app daaruit breken.
Het laat dus gewoon zien dat er een bug in het OS zit en daarnaast in de software die apps controleert. M..aw net al vele andere software is er geen 100% foutloze software.
Tsja... algemeen bekend en volgens mij hebben de makers van Ubuntu Phone ook nergens gepretendeerd dat dit hier wel het geval zou zijn. Het belangrijkste is hoe er op gereageerd wordt om de schade te beperken en op te lossen. Ze pakken dit soort zaken dus vlot op zonder het eerst lange tijd "geheim" (proberen) te houden. Het feit dat ze het direct onderkennne en stappen ondernemen is te prijzen lijkt me.
Ik denk het wel. Open source zegt weinig over wat gewone gebruikers of apps moeten mogen of kunnen...
Het lijkt me vooral een tech demo te zijn..
De beste plek om schadelijke zaken te verbergen is in dingen die er onschadelijk uit zien.
Mis ik nu iets of gaat dit in tegen de open source-spirit?
Ik vermoed meer dat het niet de bedoeling was dat een app in systeem dingen kan ingrijpen.
Dit keer was het een bootscreen veranderen. De volgende keer misschien een trojan of ander nasty spul.
De opensource spirit? Ik denk dat veel scripters juist gebruik maken van linux als OS. Hopelijk hebben velen daarvan een wit hoedje op, maar er zitten wel degelijk ook zwarte hoedjes tussen. Dat heeft niets met openssource spirit te maken maar meer met welke tools zijn er voorhanden.
Uh. Open Source zegt niet dat je een draaide installatie mag tweaken. Open Source zegt alleen dat je de broncode makkelijk moet kunnen vinden, en dat je daarna de vrijheid hebt om ermee te doen wat je goeddunkt. Open Source != vrijbrief om alles maar aan te passen naar hartenlust.
Je mist het, het gaat niet om mensen die hun bootscreen willen veranderen en daar toestemming voor geven. Het gaat om een app die zonder toestemming toch het bootscreen kan veranderen.

Ik gebruik open source omdat ik graag zelf de baas van mijn computer/telefoon ben. Dat betekent ook dat ik anderen kan verbieden om mijn systeem te gebruiken. Als ze willen mogen ze een kopie hebben van al mijn software maar die moeten ze wel op hun eigen computer draaien.
Dat heeft weinig met Open Source te maken. Wel met de Open spirit. Het jammere is wel dat er bedrijven als Canonical zijn. Ze dragen weinig bij aan de community, maar maken er wel geld van. Zelf vind ik het spijtig.
Geef mij maar RedHat of SuSE. Die dragen wel bij, en maken er inderdaad ook geld van.
Ubuntu is gewoon een distro met een twijfelachtige roadmap voor de onafhankelijkheid. Binnen nu en 10 jaar is Ubuntu zover dat ze een redelijk gesloten ecosysteem hebben, waar de gebruiker wederom slachtoffer van wordt net als bij Google, Microsoft en Apple.
Dus het bootscreen niet mogen tweaken.....past wel in hun straatje.
het is niet het boot scherm veranderen dat een probleem is, maar
"waarna de kwaadwillende root-toegang verkreeg."

dat dit nu een proof of concept was dat het mogelijk is, is een gelukkig toeval.
voor het zelfde geld, werd er iets echt kwaadaardigs ge´nstalleerd zonder dat je het zag.

je mag op deze manier gewoon niet ongevraagd root toegang kunnen krijgen.
Het is bijna een teken van succes als jouw platform ook doelwit wordt van malware :X Gelukkig lijkt het in dit geval wel mee te vallen met de kwaadwillendheid, maar goed...
Bijna, maar nog net niet als tientallen gebruikers uit ellende een app genaamd "test" installeren. :)
Natuurlijk had deze fout niet mogen gebeuren, toch is de manier van hoe de Ubuntu ontwikkelaars op dit probleem reageerde Úcht wel een voorbeeld voor andere.

De App stond niet lang in de App Store, Ubuntu ontwikkelaars hebben direct alles op alles gezet om alle getroffene te contacteren, zijn nu hard bezig de bug te fixen,...
De manier hoe zij gereageerd hebben op een gevonden kwetsbaarheid in hun systeem (snel en met goede communicatie) is een voorbeeld voor vele IT-bedrijven.
Hm ja zekers is dit een goede actie geweest van de ontwikkelaars door het probleem op deze manier aan te pakken.
Maar een goed voorbeeld voor wie? Android of ios? Daar ligt het natuurlijk op dit moment net iets anders kijkend naar het marktaandeel / aantal gebruikers.
Je kan niet vanwege een verdachtte app je complete store offline gooien voor miljoenen gebruikers, dat het een goede actie van de ubuntu ontwikkelaars is, volledig mee eens.
Stel ze doen bij apple / ios / google/android dit, dan wil je niet weten hoeveel rechtzaken ze aan de broek krijgen.

Dit is natuurlijk het voordeel van een ''klein'' aantal gebruikers, dan ben je op dit gebied iets flexibeler.

Hoe dit gaat wanneer ubuntu straks een evengroot user base heeft als bijv android of ios dan weet ik niet hoor hoe ze het gaan aanpakken.

Over het communiceren ook volledig mee eens, maar ook hetzelfde verhaal is hier van toepassing, de impact is veel groter indien wanneer je ''te'' snel met nieuws / info komt.
Ok, daar heb je een punt. Maar ik praat niet alleen van mobiele ontwikkelaars, maar over alle software-ontwikkelaars in het algemeen (ook de kleine).

Maar ik volg je standpunt wel.
Dit lijkt me meer een 'omdat het kan' streek.
Beetje vreemd dat dit ooit in de app store is gekomen :? ik bedoel het lijkt mij dat dit eerst nagekeken wordt of de app geen kwaadaardige bedoelingen heb.
Beetje vreemd dat dit ooit in de app store is gekomen :? ik bedoel het lijkt mij dat dit eerst nagekeken wordt of de app geen kwaadaardige bedoelingen heb.
Dat is nu net het nieuws! Deze app had nooit in de appstore mogen komen maar is toch door de controles geglipt.

Die controles zullen echter altijd beperkt zijn. Het is namelijk onmogelijk om te bewijzen dat een app niks verkeerds kan doen. Dat is net als bewijzen dat je gezond bent. Dat kan niet, je kan alleen maar bewijzen dat je geen enkele bekende ziekte hebt, over onbekende ziektes kun je niks zeggen.

[Reactie gewijzigd door CAPSLOCK2000 op 15 oktober 2015 18:16]

Dat is niet helemaal waar. Een "virusscanner" (want daar hebben we het over) op repository-niveau kan heel wat stikter zijn, en zelfs aan moeten slaan op verdachte symptomen die niet direct aan een bekend virus te linken zijn.
Het grote voordeel is namelijk dat er altijd nog een mensenhand ingeschakeld kan worden om false-positives te beoordelen, in tegenstelling tot een persoonlijke virusscanner die eigenlijk nooit een false-positive mag hebben.

Daarnaast kan er continue door middel van een abuse-systeem een vinger aan de pols gehouden worden, en kunnen apps die toch wat raars blijken te doen direct verwijderd worden. Wat in dit geval zo te zien ook gebeurd is.

Het is dus niet zo dat het systeem helemaal gefaald heeft. Er is alleen een belangrijk eerste vangnet gepasseerd, wat ongetwijfeld met de opgedane kennis van deze "aanval" verbeterd zal worden om in de toekomst nog veiliger te zijn.
Precies op het moment dat ik het postte, kwam via rss een update van de Ubuntu devvers binnen.. Zie ook de update, maar dat proces werd dus omzeild en dat was niet de bedoeling ;)
Volgensmij is het proces bij Ubuntu volledig geautomatiseerd. Als de gebruiker de app upload naar de store wordt deze automatisch gecontroleerd en daarna is die meteen beschikbaar in de store.

Daarnaast kun je natuurlijk niet weten of een app kwaadaardige bedoelingen heeft. Het enige wat je kunt doen is het gedrag van de app observeren en zien dat er iets niet aan de haak is. In dit geval zou dat waarschijnlijk dus betekenen dat als er met de hand getest wordt, dat de tester tussendoor een reboot zou moeten zijn om dan dus inderdaad te zien dat het bootscreen is aangepast.

Verder kun je alleen controleren of een app "kwaadaardig" is/kan zijn door te kijken van bv welke andere software/librarties de app gebruikt. Maar dat is dan weer iets wat je automatisch kunt doen, en in dit geval schijnbaar gefaald heeft. Anders kon de app al niet in de Ubuntu Phone Store terecht zijn gekomen.
Lol ik was vergeten dat er een Ubuntu phone was xD maar ja alles is te kraken net als bij de iPhone jailbreaks.
Ik heb OTA-6+ nog niet gehad. Al heb ik ook gelezen van mensen die wel de melding kregen dat er een update was, maar niks konden updaten. Dus de uitrol van de hotfix gaat blijkbaar nog niet goed.

Het is goed van Canonical dat ze het probleem snel hebben kunnen tackelen. Alleen jammer dat de uitrol van de hotfix nog niet helemaal goed gaat.

Aanvullend:

Er is dus iets niet goed gegaan afgelopen nacht met de update. Maar die komt nu wel snel volgens ontwikkelaar Łukasz 'sil2100' Zemczak:

Hello everyone!

So, due to a unfortunate mistake the OTA-7 update got prematurely
published for a few minutes last night - which is why people had the
update notification on their phones. The update is almost ready, but we
still want to perform some final tests on it. We apologize for the
inconvenience - the image update should be officially released pretty soon.

Cheers,

[Reactie gewijzigd door StefandeGroot op 16 oktober 2015 11:07]

Mijn reactie op deze post. Ik heb een Ubuntu Phone besteld. Damn you guys! :P
Gefeliciteerd alvast! Je zal er vast ook veel plezier aan gaan beleven. :Y)
Zoals je ziet wordt er voor Ubuntu Touch wel snel gereageerd bij een bugje. :*) Mijn oude Android smartphone was na een jaar niet meer te updaten, dus... EOL. Met Ubuntu Touch zal er een nieuwe wereld voor je open gaan. 8-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True