Onderzoeker toont exploit Chrome voor Android die zou werken op alle toestellen

Op de MobilePwn2Own-beveiligingscompetitie tijdens de PacSec-conferentie in Tokio toonde een onderzoeker een exploit voor Chrome op Android. Volgens hem zijn alle Android-toestellen vatbaar voor deze kwetsbaarheid, die gebruikmaakt van de V8-javascript-engine.

The Register meldt dat de exploit gebruikmaakt van een enkele kwetsbaarheid, in tegenstelling tot vele exploits die verscheidene kwetsbaarheden gebruiken. De aan het securitybedrijf Qihoo 360 verbonden onderzoeker, Guang Gong, deed er naar eigen zeggen drie maanden over om de exploit te ontwikkelen. Hij demonstreerde de exploit op een Nexus 6.

Zodra de onderzoeker een bepaalde website bezocht, kon er een willekeurige applicatie geïnstalleerd worden zonder enige interactie met de gebruiker, vertelde de PacSec-organisator aan de Australische tak van The Register. In een update laat de site weten dat volgens de onderzoeker alle Android-versies met de nieuwste versie van Chrome vatbaar zijn.

De details van de kwetsbaarheid in de opensource-V8-engine van Google zijn niet bekendgemaakt. Wel heeft een securityonderzoeker van Google die ter plekke aanwezig was details over de werking ontvangen. Het is onduidelijk of Guang Gong in aanmerking komt voor een beloning via een van Googles reward programmes.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 12-11-2015 10:1438

12-11-2015 • 10:14

38 Linkedin

Lees meer

Hackers kraken browser van Tesla-infotainmentsysteem bij Pwn2Own Nieuws van 25 maart 2019
Onderzoekers vinden twee zerodaylekken in Safari bij Pwn2Own Nieuws van 21 maart 2019
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt Nieuws van 7 maart 2019
Firefox, Edge en Safari vallen ten prooi aan Pwn2Own-hackers Nieuws van 16 maart 2018
Hackers demonstreren kwetsbaarheden in Chrome en Safari op eerste dag Pwn2Own Nieuws van 17 maart 2016
Google: lek in Linux-kernel betreft geen 66 procent van Android-toestellen Nieuws van 21 januari 2016
Google verbetert databesparing in Chrome voor Android Nieuws van 1 december 2015
Exploit voor gevaarlijk Android-lek komt volgende week - update 2 Nieuws van 28 juli 2015
Meer producten en artikelen
Smartphones Google Chrome Android Security

Reacties (38)

-Moderatie-faq
38
37
29
2
0
0
Wijzig sortering
Johan9711
12 november 2015 11:01
Vreemd dat dit kan vanuit Chrome, omdat Chrome in AOSP geen systeemapp is.
Er zijn dus drie mogelijkheden:
- Het lek zit niet in Chrome, maar in Android zelf, wat betekent dat het lek vanuit meerdere apps kan worden misbruikt
- Het lek zit alleen in Google Android, niet in AOSP / CM.
- Chrome zit zo in Android verweven, dat zelfs als de app niet aanwezig is (zoals bijvoorbeeld in AOSP) bepaalde functies voor Chrome zitten, die niet worden gebruikt.

Edit: Schijnbaar zit het V8 Javascript-engine in WebView, dat inderdaad diep in Android zit, maar wel via de Play Store kan worden geupdate in veel gevallen. Dat updaten via de Play Store is alleen mogelijk vanaf Android 5.0
Mensen met Android 4.4 moeten dus een update van Android krijgen.


Deze exploit zal NIET werken op Android versies ouder dan 4.4, omdat die webkit gebruiken in plaats van Chromium. De enige versie van Android die dus echt problemen zal gaan geven is versie 4.4.

(https://developer.chrome.com/multidevice/webview/overview)

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:21]

FeronIT
@Johan971112 november 2015 11:38
Er stat toch duidelijk dat de fout in de V8 javascript engine zit
defixje
@FeronIT12 november 2015 17:24
Dan is de titel misleidend want daar staat:
"Onderzoeker toont exploit Chrome voor Android die zou werken op alle toestellen"
Terwijl de tweede zin iets heel anders zegt:
Volgens hem zijn alle Android-toestellen vatbaar voor deze kwetsbaarheid, die gebruikmaakt van de V8-javascript-engine.
Johan9711
@FeronIT12 november 2015 12:01
Uiteraard. Maar zit die module in Android zelf of in de Chrome app?
Anoniem: 470811
@Johan971112 november 2015 12:13
Wellicht beide.

https://play.google.com/s...ils?id=com.android.chrome
en
https://play.google.com/s...om.google.android.webview
Johan9711
@Anoniem: 47081112 november 2015 12:19
Klopt. Webview is sterk gebaseerd op Chrome Chromium, en dus lijkt mij dat deze exploit ook te gebruiken is voor de meeste standaard Android Browsers, en niet alleen Chrome, hoewel ik daar geen bron voor heb.

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:24]

Anoniem: 470811
@Johan971112 november 2015 12:20
Ik ook niet, maar heb wel sterk dat vermoeden. Webview is idd dezelfde engine.
Anoniem: 80466
@Johan971112 november 2015 13:19
Het kan ook zijn dat je voor de Android browser een andere exploit nodig hebt om dat lek in de onderliggende javascipt engine te triggeren.
Johan9711
@Anoniem: 8046612 november 2015 13:24
Dat is goed mogelijk. Ik vind het wel vreemd dat ze suggereren dat het lek in Chrome zelf zit, terwijl het in WebView zit, en dat is volgens mij gebaseerd op Chromium, en niet op Chrome.
tweaknico
@Johan971112 november 2015 17:31
En chrome is ook gebaseerd op chromium...
dus zo vreemd is dat dan niet
sunflame
12 november 2015 11:25
Goed... Dan gaat Google het nu fixen voor de laatste versie(s) van Android.
De > 60% van alle android toestellen die nog op 4.x zitten zijn nu helemaal compleet de pineut?
Quacka
@sunflame12 november 2015 11:37
als chrome geupdated kan worden zal het wel los lopen. Dus het ligt aan de oplossing.
Kaalaamaazoo
@sunflame12 november 2015 11:39
Dat ligt er aan of de fout in Chrome zit of in Android. Chrome is te updaten via de Play Store, dus dat gaat sneller en zonder inmenging van de OEMs.
Johan9711
@sunflame12 november 2015 16:08
Alleen bij 4.4 moet het probleem worden opgelost door een systeemupdate. 4.3 en lager zijn niet kwetsbaar.
Neocortex-re
12 november 2015 10:36
Je plaatst in de buurt van een drukke openbare locatie (café, station) een wifi station met een gefabriceerde inlogpagina die erg lijkt op die van de NS/ KPN/ t-mobile en oogsten maar. Dit is wel ernstig.

Apart overigens dat je code kunt schrijven die op alle android apparaten werkt.... :-)
Roland684
@Neocortex-re12 november 2015 11:02
Een wifi-station met een nep-inlogpagina is al genoeg om zonder exploit gebruikersnamen en wachtwoordn te harvesten.
Maar hier is het nog erger, je kunt de code gewoon op een lege pagina zetten en je bent binnen. En nog veel erger wordt het als er weer eens een advertentienetwerk wordt gehackt en daarmee de code op honderden websites terecht komt.

Een website die op alle android-toestellen werkt is vreemd? Ik denk alleen dat het niet zal werken als je niet de standaard-browser gebruikt, maar een die met en andere javascript-engine werkt.
Michael371
@Roland68412 november 2015 12:11
Er zijn wel apps waar je je mee kunt beveiligen tegen mitm aanvallen. Veel mensen hebben die helaas alleen niet.

Zowieso kan ik iedereen aanraden om een custom rom te gebruiken die wel beveiligingsupdates ontvangt.

Misschien niet voor iedereen ideaal, maar altijd beter dan met een OS te blijven zitten dat niet meer gepatched wordt.
Roland684
@Michael37112 november 2015 14:19
Ik bedoelde helemaal geen mitm attack. Ik bedoel dat je een wifi accesspoint opzet dat niets anders doet dan een nep inlogformulier tonen.
"Om ons wifi point te gebruiken, log in via facebooek. facebook username:.__ wachtwoord:__ [log in]"

En als ze dat invullen, dan verder niets... Gewoon wachtwoorden harvesten. simpel. Heeft ook niets met dit nieuwsbericht te maken.

Of je serveert niet eens dat formulier, maar alleen de exploit-code.
skunkopaat
@Michael37112 november 2015 14:23
Maar dan wel eentje zonder standaard root!
telenut
@Neocortex-re12 november 2015 11:14
pagina hoeft er niet op te lijken...
gewoon doorsturen naar een captive portal zou dus al volstaan... (gebruik maken van een veel gebruikte hotspot naam bijvoorbeeld)
Tjahneee
@telenut12 november 2015 13:15
Nog meer impact lijkt me als er weer een AD word geïnfecteerd zoals op nu.nl met bijvoorbeeld deze exploit.. Gevaarlijk is dit..
RebelwaClue
12 november 2015 10:41
Zeer kwalijke kwestie en hopelijk komen ze snel met een update. Maar normaal gesproken als je wilt installeren buiten de Playstore om, moet je daarvoor een vinkje aanzetten. Omzeilt deze exploit dit nu ook? Dat zou het nog een graadje erger maken.
SidewalkSuper
@RebelwaClue12 november 2015 10:46
Het hele systeem ligt hiermee open. Dus ook al staat het vinkje er niet, dan kun je met deze exploit het vinkje zelf zetten als het nog nodig zou zijn. ;)
t1mmy
12 november 2015 11:09
Heeft Android iets als app links zoals iOS heeft? Dan iemand dus: kwaad willende app installeren, app direct openen, root access krijgen, telefoon locken, etc etc etc.

In ieder geval nog een reden voor mij om geen Android telefoon te gebruiken. Geen telefoon is 100% veilig maar ik heb liever old amsterdam dan emmental kaas.
GertMenkel
@t1mmy12 november 2015 11:22
Android heeft dat inderdaad Dat is hier niet eens nodig: na de exploit heeft de aanvaller al systeempermissies, hij kan al iedere app starten die hij wil.
harry89
12 november 2015 12:48
Ouch.

Android zit tegenwoordig wel op het strafbankje...

Deze exploit, is misschien nog wel lelijker dan de stagefright bug (die ook al goed lelijk is)
Het is te hopen voor Google dat dit te fixen is met het updaten van Chrome, maar aan reacties hierboven te zien, zijn er ook delen van Android die hier in meespelen.

Het update model van Android gaat steeds harder tegenwerken.....
Shark.Bait
@harry8912 november 2015 13:00
Niet alleen dat, als fabrikanten hun eigen rommel toevoegen (touchwiz e.d.) dan komen er nog meer bugs in de software.

http://www.bbc.com/news/technology-34719564

In dit artikel een stuk over hoe google samsung wees op 11 veiligheidsproblemen die ze vonden in de S6 edge software, waaronder een email exploit.
Dreamvoid
12 november 2015 12:42
Mooi moment voor mij om Chrome definitief te lozen, het was ooit een supersnelle browser maar op mijn Mac is Safari een stuk sneller, en op mijn Android telefoon is de stock Android browser ook veel sneller. Ik weet niet wat Google allemaal aan het uitspoken is met Chrome de laatste tijd, maar er zit tegenwoordig zoveel lag in zelfs maar het openen van nieuwe tabs dat de lol er wel af is.
Ed Vertijsment
13 november 2015 08:24
"Node.js® is a JavaScript runtime built on Chrome's V8 JavaScript engine."

Maakt dit nodejs ook kwetsbaar? Of andere software die v8 gebruikt (vb: desktop)?

[Reactie gewijzigd door Ed Vertijsment op 13 november 2015 08:25]

SidewalkSuper
12 november 2015 10:24
Userland-exploits als deze zijn het gevaarlijkst voor de massa. Erg goed dat het nu verholpen kan worden. Hopelijk is alleen een update voor Chrome genoeg om het gat te dichten en zijn er geen onderdelen bij die moeilijker te updaten zijn.

Wat wel interessant (en ook beangstigend) is, is dat één enkele exploit genoeg is om het hele systeem op de knieën te krijgen. Dat is in de huidige tijd echt ongekend. Tegenwoordig is het normaal dat een hele streng aan exploits nodig zijn om het tot root te schoppen.

[Reactie gewijzigd door SidewalkSuper op 12 november 2015 10:29]

CEx
@SidewalkSuper12 november 2015 11:19
Onderschat niet de hoeveelheid tijd en geld in het zoeken naar en ontwikkelen van exploits wordt gestoken. Uiteindelijk wordt de naald gevonden.

Alle 'bijvangst', de minder gevaarlijke exploits, komen niet in de media.
Anoniem: 463321
@CEx12 november 2015 12:47
Dat maakt het er niet minder beangstigend op.
Johan9711
@SidewalkSuper12 november 2015 13:57
Zoals het er nu naar uit ziet hoeft Google enkel een update van webview online te zetten in de play store. Alleen Android 4.4 heeft daar niets aan, daar moet het met een OS update worden verholpen.

Probleem is echter, dat op dit moment Android 4.4 de meest gebruikte versie van Android is, en veel toestellen gaan niet worden geupdate...

[Reactie gewijzigd door Johan9711 op 12 november 2015 13:58]

Awesomehobo
12 november 2015 10:23
"Onderzoeker toont exploit Chrome voor Android om willekeurige apps te installere"

Installeren*

Ontopic:
Is er ook bekend om welke versie(s) van Chrome en/of Android dit gaat?
Gaat het hier om de meest recente, of om oudere versies?

Wellicht is dit in nieuwe versies al gepatched.

Oeps, niet goed gelezen;" In een update laat de site weten dat volgens de onderzoeker alle Android-versies met de nieuwste versie van Chrome vatbaar zijn."

[Reactie gewijzigd door Awesomehobo op 12 november 2015 10:26]

SidewalkSuper
@Awesomehobo12 november 2015 10:31
Uit de bron
Update: Since this story was published, Gong has confirmed to The Register that he believes the vulnerability affects all versions of Android running the latest Chrome. We have asked Google for comment.
http://www.theregister.co.uk/2015/11/12/mobile_pwn2own/
musiman
@Awesomehobo12 november 2015 10:29
Er staat duidelijk dat ook de nieuwste Chrome versie hier gevoelig voor is. Verder staat er gewoon duidelijk dat alle Chrome versies die de V8 javascript engine gebruiken, hier gevoelig voor zijn.
Dit kun je bij jouzelf controleren door te browsen naar: chrome://version/

[Reactie gewijzigd door musiman op 12 november 2015 10:30]

Awesomehobo
@musiman12 november 2015 10:30
Reactie was al gewijzigd :9

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee