Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Op de MobilePwn2Own-beveiligingscompetitie tijdens de PacSec-conferentie in Tokio toonde een onderzoeker een exploit voor Chrome op Android. Volgens hem zijn alle Android-toestellen vatbaar voor deze kwetsbaarheid, die gebruikmaakt van de V8-javascript-engine.

The Register meldt dat de exploit gebruikmaakt van een enkele kwetsbaarheid, in tegenstelling tot vele exploits die verscheidene kwetsbaarheden gebruiken. De aan het securitybedrijf Qihoo 360 verbonden onderzoeker, Guang Gong, deed er naar eigen zeggen drie maanden over om de exploit te ontwikkelen. Hij demonstreerde de exploit op een Nexus 6.

Zodra de onderzoeker een bepaalde website bezocht, kon er een willekeurige applicatie geïnstalleerd worden zonder enige interactie met de gebruiker, vertelde de PacSec-organisator aan de Australische tak van The Register. In een update laat de site weten dat volgens de onderzoeker alle Android-versies met de nieuwste versie van Chrome vatbaar zijn.

De details van de kwetsbaarheid in de opensource-V8-engine van Google zijn niet bekendgemaakt. Wel heeft een securityonderzoeker van Google die ter plekke aanwezig was details over de werking ontvangen. Het is onduidelijk of Guang Gong in aanmerking komt voor een beloning via een van Googles reward programmes.

Moderatie-faq Wijzig weergave

Reacties (38)

Vreemd dat dit kan vanuit Chrome, omdat Chrome in AOSP geen systeemapp is.
Er zijn dus drie mogelijkheden:
- Het lek zit niet in Chrome, maar in Android zelf, wat betekent dat het lek vanuit meerdere apps kan worden misbruikt
- Het lek zit alleen in Google Android, niet in AOSP / CM.
- Chrome zit zo in Android verweven, dat zelfs als de app niet aanwezig is (zoals bijvoorbeeld in AOSP) bepaalde functies voor Chrome zitten, die niet worden gebruikt.

Edit: Schijnbaar zit het V8 Javascript-engine in WebView, dat inderdaad diep in Android zit, maar wel via de Play Store kan worden geupdate in veel gevallen. Dat updaten via de Play Store is alleen mogelijk vanaf Android 5.0
Mensen met Android 4.4 moeten dus een update van Android krijgen.


Deze exploit zal NIET werken op Android versies ouder dan 4.4, omdat die webkit gebruiken in plaats van Chromium. De enige versie van Android die dus echt problemen zal gaan geven is versie 4.4.

(https://developer.chrome.com/multidevice/webview/overview)

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:21]

Er stat toch duidelijk dat de fout in de V8 javascript engine zit
Dan is de titel misleidend want daar staat:
"Onderzoeker toont exploit Chrome voor Android die zou werken op alle toestellen"
Terwijl de tweede zin iets heel anders zegt:
Volgens hem zijn alle Android-toestellen vatbaar voor deze kwetsbaarheid, die gebruikmaakt van de V8-javascript-engine.
Uiteraard. Maar zit die module in Android zelf of in de Chrome app?
Klopt. Webview is sterk gebaseerd op Chrome Chromium, en dus lijkt mij dat deze exploit ook te gebruiken is voor de meeste standaard Android Browsers, en niet alleen Chrome, hoewel ik daar geen bron voor heb.

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:24]

Ik ook niet, maar heb wel sterk dat vermoeden. Webview is idd dezelfde engine.
Het kan ook zijn dat je voor de Android browser een andere exploit nodig hebt om dat lek in de onderliggende javascipt engine te triggeren.
Dat is goed mogelijk. Ik vind het wel vreemd dat ze suggereren dat het lek in Chrome zelf zit, terwijl het in WebView zit, en dat is volgens mij gebaseerd op Chromium, en niet op Chrome.
En chrome is ook gebaseerd op chromium...
dus zo vreemd is dat dan niet
Goed... Dan gaat Google het nu fixen voor de laatste versie(s) van Android.
De > 60% van alle android toestellen die nog op 4.x zitten zijn nu helemaal compleet de pineut?
als chrome geupdated kan worden zal het wel los lopen. Dus het ligt aan de oplossing.
Dat ligt er aan of de fout in Chrome zit of in Android. Chrome is te updaten via de Play Store, dus dat gaat sneller en zonder inmenging van de OEMs.
Alleen bij 4.4 moet het probleem worden opgelost door een systeemupdate. 4.3 en lager zijn niet kwetsbaar.
Je plaatst in de buurt van een drukke openbare locatie (caf, station) een wifi station met een gefabriceerde inlogpagina die erg lijkt op die van de NS/ KPN/ t-mobile en oogsten maar. Dit is wel ernstig.

Apart overigens dat je code kunt schrijven die op alle android apparaten werkt.... :-)
Een wifi-station met een nep-inlogpagina is al genoeg om zonder exploit gebruikersnamen en wachtwoordn te harvesten.
Maar hier is het nog erger, je kunt de code gewoon op een lege pagina zetten en je bent binnen. En nog veel erger wordt het als er weer eens een advertentienetwerk wordt gehackt en daarmee de code op honderden websites terecht komt.

Een website die op alle android-toestellen werkt is vreemd? Ik denk alleen dat het niet zal werken als je niet de standaard-browser gebruikt, maar een die met en andere javascript-engine werkt.
Er zijn wel apps waar je je mee kunt beveiligen tegen mitm aanvallen. Veel mensen hebben die helaas alleen niet.

Zowieso kan ik iedereen aanraden om een custom rom te gebruiken die wel beveiligingsupdates ontvangt.

Misschien niet voor iedereen ideaal, maar altijd beter dan met een OS te blijven zitten dat niet meer gepatched wordt.
Ik bedoelde helemaal geen mitm attack. Ik bedoel dat je een wifi accesspoint opzet dat niets anders doet dan een nep inlogformulier tonen.
"Om ons wifi point te gebruiken, log in via facebooek. facebook username:.__ wachtwoord:__ [log in]"

En als ze dat invullen, dan verder niets... Gewoon wachtwoorden harvesten. simpel. Heeft ook niets met dit nieuwsbericht te maken.

Of je serveert niet eens dat formulier, maar alleen de exploit-code.
Maar dan wel eentje zonder standaard root!
pagina hoeft er niet op te lijken...
gewoon doorsturen naar een captive portal zou dus al volstaan... (gebruik maken van een veel gebruikte hotspot naam bijvoorbeeld)
Nog meer impact lijkt me als er weer een AD word genfecteerd zoals op nu.nl met bijvoorbeeld deze exploit.. Gevaarlijk is dit..
Zeer kwalijke kwestie en hopelijk komen ze snel met een update. Maar normaal gesproken als je wilt installeren buiten de Playstore om, moet je daarvoor een vinkje aanzetten. Omzeilt deze exploit dit nu ook? Dat zou het nog een graadje erger maken.
Het hele systeem ligt hiermee open. Dus ook al staat het vinkje er niet, dan kun je met deze exploit het vinkje zelf zetten als het nog nodig zou zijn. ;)
Heeft Android iets als app links zoals iOS heeft? Dan iemand dus: kwaad willende app installeren, app direct openen, root access krijgen, telefoon locken, etc etc etc.

In ieder geval nog een reden voor mij om geen Android telefoon te gebruiken. Geen telefoon is 100% veilig maar ik heb liever old amsterdam dan emmental kaas.
Android heeft dat inderdaad Dat is hier niet eens nodig: na de exploit heeft de aanvaller al systeempermissies, hij kan al iedere app starten die hij wil.
Ouch.

Android zit tegenwoordig wel op het strafbankje...

Deze exploit, is misschien nog wel lelijker dan de stagefright bug (die ook al goed lelijk is)
Het is te hopen voor Google dat dit te fixen is met het updaten van Chrome, maar aan reacties hierboven te zien, zijn er ook delen van Android die hier in meespelen.

Het update model van Android gaat steeds harder tegenwerken.....
Niet alleen dat, als fabrikanten hun eigen rommel toevoegen (touchwiz e.d.) dan komen er nog meer bugs in de software.

http://www.bbc.com/news/technology-34719564

In dit artikel een stuk over hoe google samsung wees op 11 veiligheidsproblemen die ze vonden in de S6 edge software, waaronder een email exploit.
Mooi moment voor mij om Chrome definitief te lozen, het was ooit een supersnelle browser maar op mijn Mac is Safari een stuk sneller, en op mijn Android telefoon is de stock Android browser ook veel sneller. Ik weet niet wat Google allemaal aan het uitspoken is met Chrome de laatste tijd, maar er zit tegenwoordig zoveel lag in zelfs maar het openen van nieuwe tabs dat de lol er wel af is.
"Node.js is a JavaScript runtime built on Chrome's V8 JavaScript engine."

Maakt dit nodejs ook kwetsbaar? Of andere software die v8 gebruikt (vb: desktop)?

[Reactie gewijzigd door Ed Vertijsment op 13 november 2015 08:25]

Userland-exploits als deze zijn het gevaarlijkst voor de massa. Erg goed dat het nu verholpen kan worden. Hopelijk is alleen een update voor Chrome genoeg om het gat te dichten en zijn er geen onderdelen bij die moeilijker te updaten zijn.

Wat wel interessant (en ook beangstigend) is, is dat n enkele exploit genoeg is om het hele systeem op de knien te krijgen. Dat is in de huidige tijd echt ongekend. Tegenwoordig is het normaal dat een hele streng aan exploits nodig zijn om het tot root te schoppen.

[Reactie gewijzigd door SidewalkSuper op 12 november 2015 10:29]

Onderschat niet de hoeveelheid tijd en geld in het zoeken naar en ontwikkelen van exploits wordt gestoken. Uiteindelijk wordt de naald gevonden.

Alle 'bijvangst', de minder gevaarlijke exploits, komen niet in de media.
Dat maakt het er niet minder beangstigend op.
Zoals het er nu naar uit ziet hoeft Google enkel een update van webview online te zetten in de play store. Alleen Android 4.4 heeft daar niets aan, daar moet het met een OS update worden verholpen.

Probleem is echter, dat op dit moment Android 4.4 de meest gebruikte versie van Android is, en veel toestellen gaan niet worden geupdate...

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:58]

"Onderzoeker toont exploit Chrome voor Android om willekeurige apps te installere"

Installeren*

Ontopic:
Is er ook bekend om welke versie(s) van Chrome en/of Android dit gaat?
Gaat het hier om de meest recente, of om oudere versies?

Wellicht is dit in nieuwe versies al gepatched.


Oeps, niet goed gelezen;" In een update laat de site weten dat volgens de onderzoeker alle Android-versies met de nieuwste versie van Chrome vatbaar zijn."

[Reactie gewijzigd door Awesomehobo op 12 november 2015 10:26]

Uit de bron
Update: Since this story was published, Gong has confirmed to The Register that he believes the vulnerability affects all versions of Android running the latest Chrome. We have asked Google for comment.
http://www.theregister.co.uk/2015/11/12/mobile_pwn2own/
Er staat duidelijk dat ook de nieuwste Chrome versie hier gevoelig voor is. Verder staat er gewoon duidelijk dat alle Chrome versies die de V8 javascript engine gebruiken, hier gevoelig voor zijn.
Dit kun je bij jouzelf controleren door te browsen naar: chrome://version/

[Reactie gewijzigd door musiman op 12 november 2015 10:30]

Reactie was al gewijzigd :9

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True