Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eerste kwaadaardige app in Ubuntu Phone Store - update

Het is iemand gelukt een app in de Ubuntu Phone-store te zetten die het splash-bootscherm van een Meizu-telefoon aan kon passen, iets wat niet mogelijk zou moeten zijn. Toch wist de app langs het automatische testsysteem te komen. De app is inmiddels verwijderd.

Dat schrijft Softpedia naar aanleiding van een melding van een van zijn lezers. De applicatie met de naam 'test' kon het splash-bootscherm wijzigen, iets wat niet zou mogen. Of de applicatie iets anders dan dat deed, is nog niet duidelijk. De ontwikkelaars van Ubuntu hebben de applicatie inmiddels verwijderd en iedereen die het mogelijk kwaadaardige programma installeerde, heeft een e-mail ontvangen waarin aangegeven wordt dat de applicatie 'test' gebouwd door 'developer mmrow, version 0.1' mogelijk schadelijk is. De applicatie werkt alleen op apparaten die gebruik maken van een armhf-processor.

Het aantal installaties van de app bedraagt 'slechts een handvol' en de reactie van het Ubuntu-team was snel. In een reactie van community manager David Planella aan Softpedia staat dat na de analyse van de app geen andere mogelijk kwaadaardige programma's zich in de Ubuntu Store bevinden. Een Ubuntu Phone-gebruiker maakte een video van wat er gebeurt als de app geïnstalleerd wordt.

Update 17:54: Een uitgebreide beschrijving van de kern van de zaak is door de Ubuntu-ontwikkelaars vrijgegeven. Het blijkt dat de 'test' app na activeren een voorheen onbekende bug misbruikte in het applicatieinstallatiesysteem. Na het klikken op de 'Tap me'-knop in de app, werd een script gestart dat het splash-bootscherm kon aanpassen, waarna de kwaadwillende root-toegang verkreeg. De bug bestaat alleen bij Ubuntu Phones. Desktop, server, cloud en snappy core-apparaten zijn niet getroffen.

In verband met de bug werd de Ubuntu Phone Store op 15 oktober tijdelijk gesloten tussen 2:50 en 7:23 uur onze tijd. In totaal installeerden slechts vijftien gebruikers de app. De gebruikte exploit had op twee verschillende plaatsen gedetecteerd moeten worden tijdens het automatische controle-proces. Beide onderdelen krijgen snel updates en deze zullen spoedig via een ota naar Ubuntu Phones worden gepusht. In principe worden apps die niet aan bepaalde eisen voldoen, niet automatisch doorgelaten. Deze worden normaal eerst door mensen gecontroleerd.

Door Krijn Soeteman

Freelanceredacteur

15-10-2015 • 17:37

26 Linkedin Google+

Submitter: Simyager

Reacties (26)

Wijzig sortering
Hoe is dit kwaadaardig? Het lijkt me vooral een tech demo te zijn...

En de gebruiker verbieden om het bootscreen van hun OS te wijzigen? Mis ik nu iets of gaat dit in tegen de open source-spirit?
Het is kwaadaardig omdat je de applicatie geen toestemming daarvoor gegeven hebt. Standaard draaien applicaties op Ubuntu Phone in een sandbox. Blijkbaar kan deze app daaruit breken.
Het laat dus gewoon zien dat er een bug in het OS zit en daarnaast in de software die apps controleert. M..aw net al vele andere software is er geen 100% foutloze software.
Tsja... algemeen bekend en volgens mij hebben de makers van Ubuntu Phone ook nergens gepretendeerd dat dit hier wel het geval zou zijn. Het belangrijkste is hoe er op gereageerd wordt om de schade te beperken en op te lossen. Ze pakken dit soort zaken dus vlot op zonder het eerst lange tijd "geheim" (proberen) te houden. Het feit dat ze het direct onderkennne en stappen ondernemen is te prijzen lijkt me.
Ik denk het wel. Open source zegt weinig over wat gewone gebruikers of apps moeten mogen of kunnen...
Het lijkt me vooral een tech demo te zijn..
De beste plek om schadelijke zaken te verbergen is in dingen die er onschadelijk uit zien.
Mis ik nu iets of gaat dit in tegen de open source-spirit?
Ik vermoed meer dat het niet de bedoeling was dat een app in systeem dingen kan ingrijpen.
Dit keer was het een bootscreen veranderen. De volgende keer misschien een trojan of ander nasty spul.
De opensource spirit? Ik denk dat veel scripters juist gebruik maken van linux als OS. Hopelijk hebben velen daarvan een wit hoedje op, maar er zitten wel degelijk ook zwarte hoedjes tussen. Dat heeft niets met openssource spirit te maken maar meer met welke tools zijn er voorhanden.
Uh. Open Source zegt niet dat je een draaide installatie mag tweaken. Open Source zegt alleen dat je de broncode makkelijk moet kunnen vinden, en dat je daarna de vrijheid hebt om ermee te doen wat je goeddunkt. Open Source != vrijbrief om alles maar aan te passen naar hartenlust.
Je mist het, het gaat niet om mensen die hun bootscreen willen veranderen en daar toestemming voor geven. Het gaat om een app die zonder toestemming toch het bootscreen kan veranderen.

Ik gebruik open source omdat ik graag zelf de baas van mijn computer/telefoon ben. Dat betekent ook dat ik anderen kan verbieden om mijn systeem te gebruiken. Als ze willen mogen ze een kopie hebben van al mijn software maar die moeten ze wel op hun eigen computer draaien.
Het is bijna een teken van succes als jouw platform ook doelwit wordt van malware :X Gelukkig lijkt het in dit geval wel mee te vallen met de kwaadwillendheid, maar goed...
Bijna, maar nog net niet als tientallen gebruikers uit ellende een app genaamd "test" installeren. :)
Natuurlijk had deze fout niet mogen gebeuren, toch is de manier van hoe de Ubuntu ontwikkelaars op dit probleem reageerde écht wel een voorbeeld voor andere.

De App stond niet lang in de App Store, Ubuntu ontwikkelaars hebben direct alles op alles gezet om alle getroffene te contacteren, zijn nu hard bezig de bug te fixen,...
De manier hoe zij gereageerd hebben op een gevonden kwetsbaarheid in hun systeem (snel en met goede communicatie) is een voorbeeld voor vele IT-bedrijven.
Hm ja zekers is dit een goede actie geweest van de ontwikkelaars door het probleem op deze manier aan te pakken.
Maar een goed voorbeeld voor wie? Android of ios? Daar ligt het natuurlijk op dit moment net iets anders kijkend naar het marktaandeel / aantal gebruikers.
Je kan niet vanwege een verdachtte app je complete store offline gooien voor miljoenen gebruikers, dat het een goede actie van de ubuntu ontwikkelaars is, volledig mee eens.
Stel ze doen bij apple / ios / google/android dit, dan wil je niet weten hoeveel rechtzaken ze aan de broek krijgen.

Dit is natuurlijk het voordeel van een ''klein'' aantal gebruikers, dan ben je op dit gebied iets flexibeler.

Hoe dit gaat wanneer ubuntu straks een evengroot user base heeft als bijv android of ios dan weet ik niet hoor hoe ze het gaan aanpakken.

Over het communiceren ook volledig mee eens, maar ook hetzelfde verhaal is hier van toepassing, de impact is veel groter indien wanneer je ''te'' snel met nieuws / info komt.
Dit lijkt me meer een 'omdat het kan' streek.
Beetje vreemd dat dit ooit in de app store is gekomen :? ik bedoel het lijkt mij dat dit eerst nagekeken wordt of de app geen kwaadaardige bedoelingen heb.
Dat is nu net het nieuws! Deze app had nooit in de appstore mogen komen maar is toch door de controles geglipt.

Die controles zullen echter altijd beperkt zijn. Het is namelijk onmogelijk om te bewijzen dat een app niks verkeerds kan doen. Dat is net als bewijzen dat je gezond bent. Dat kan niet, je kan alleen maar bewijzen dat je geen enkele bekende ziekte hebt, over onbekende ziektes kun je niks zeggen.

[Reactie gewijzigd door CAPSLOCK2000 op 15 oktober 2015 18:16]

Dat is niet helemaal waar. Een "virusscanner" (want daar hebben we het over) op repository-niveau kan heel wat stikter zijn, en zelfs aan moeten slaan op verdachte symptomen die niet direct aan een bekend virus te linken zijn.
Het grote voordeel is namelijk dat er altijd nog een mensenhand ingeschakeld kan worden om false-positives te beoordelen, in tegenstelling tot een persoonlijke virusscanner die eigenlijk nooit een false-positive mag hebben.

Daarnaast kan er continue door middel van een abuse-systeem een vinger aan de pols gehouden worden, en kunnen apps die toch wat raars blijken te doen direct verwijderd worden. Wat in dit geval zo te zien ook gebeurd is.

Het is dus niet zo dat het systeem helemaal gefaald heeft. Er is alleen een belangrijk eerste vangnet gepasseerd, wat ongetwijfeld met de opgedane kennis van deze "aanval" verbeterd zal worden om in de toekomst nog veiliger te zijn.
Precies op het moment dat ik het postte, kwam via rss een update van de Ubuntu devvers binnen.. Zie ook de update, maar dat proces werd dus omzeild en dat was niet de bedoeling ;)
Volgensmij is het proces bij Ubuntu volledig geautomatiseerd. Als de gebruiker de app upload naar de store wordt deze automatisch gecontroleerd en daarna is die meteen beschikbaar in de store.

Daarnaast kun je natuurlijk niet weten of een app kwaadaardige bedoelingen heeft. Het enige wat je kunt doen is het gedrag van de app observeren en zien dat er iets niet aan de haak is. In dit geval zou dat waarschijnlijk dus betekenen dat als er met de hand getest wordt, dat de tester tussendoor een reboot zou moeten zijn om dan dus inderdaad te zien dat het bootscreen is aangepast.

Verder kun je alleen controleren of een app "kwaadaardig" is/kan zijn door te kijken van bv welke andere software/librarties de app gebruikt. Maar dat is dan weer iets wat je automatisch kunt doen, en in dit geval schijnbaar gefaald heeft. Anders kon de app al niet in de Ubuntu Phone Store terecht zijn gekomen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True