Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Beveiligingsonderzoeker Jon Sawyer heeft een backdoor in minstens twee Android-toestellen gevonden, die is ontstaan door nalatigheid van de fabrikant Foxconn. Op deze manier zou root-toegang tot de apparaten mogelijk zijn zonder authenticatie.

Volgens Sawyer bevindt de kwetsbaarheid zich in de 'apps bootloader' van Foxconn, die de fabrikant in verschillende toestellen toepast. Tot nu toe heeft de onderzoeker twee kwetsbare toestellen gevonden, de Nextbit Robin en de M810 van InFocus. Hij verwacht dat er meer kwetsbare toestellen zijn, omdat Foxconn voor veel smartphonemerken toestellen levert. Het lek, dat Sawyer als debugging feature omschrijft, maakt het mogelijk om via usb volledige toegang tot een kwetsbare telefoon te krijgen zonder dat authenticatie is vereist. Ook de beveiliging door SELinux is op deze manier te omzeilen, aldus de onderzoeker.

Het lek vereist dus fysieke toegang, wat het met name interessant zou maken voor forensische onderzoekers. Bijvoorbeeld om gegevens van het apparaat af te halen of encryptiesleutels te brute forcen. Het lek ontstaat doordat er in de bootloader een commando aanwezig is waarmee een aanvaller het toestel in een 'factory test mode' kan zetten en zo toegang kan krijgen. Volgens Sawyer is de aanwezigheid van deze mogelijkheid 'een teken van grote nalatigheid van Foxconn'.

Kwetsbare apparaten zijn te herkennen aan de partities 'ftmboot' en 'ftmdata', aldus de onderzoeker. Na zijn ontdekking heeft hij in augustus contact opgenomen met Nextbit en Foxconn. Volgens de tijdlijn heeft tot nu toe alleen Nextbit een patch uitgebracht. Sawyer stelt dat veel smartphonebedrijven niet weten dat deze backdoor in hun toestellen aanwezig is. De onderzoeker heeft de kwetsbaarheid de naam 'Pork Explosion' meegegeven, naar eigen zeggen om te spotten met bedrijven die een kwetsbaarheid als pr-stunt gebruiken door deze van eigen namen te voorzien.

Moderatie-faq Wijzig weergave

Reacties (42)

Is dit de zogenaamde "pork exploit" die hij rond deze tijd zou releasen?
Ja, deze exploit heeft hij de naam 'Pork Explosion' meegegeven. Zie ook het bron-artikel.

[Reactie gewijzigd door P1nGu1n op 14 oktober 2016 14:49]

Ben ik nu achterdochtig als ik me afvraag of dit een bewuste backdoor is.
Dat noem ik geen achterdocht in deze tijd maar gewoon je gezonde verstand gebruiken. Zo ver gezocht is het niet.
Klopt, wellicht even doemdenker uithangen, maar vind het wel heel toevallig dat er een menu optie is 'omzeil alle beveiligingen' terwijl het toevallig Apple's grootste producent is...
Dus foxxcon zou producten van zijn eigen loopband onveilig maken ten faveure van Apple? En dat bij deze telefoons die niet eens concurrentie voor Apple zijn? Haha, dat is een goeie.

[Reactie gewijzigd door gjmi op 14 oktober 2016 16:00]

Man, man het blijft verbazend (en ergerlijk imho)hoe ver sommige mensen gaan met hun complottheorieŽn...altijd en eeuwig dat moedwillig zwart willen maken van een bedrijf, bah bah.

Ja hoor, een bedrijf zit er echt op te wachten dat uit gaat komen dat ze moedwillig een partner opdracht hebben gegeven om andere door die partner(s) gemaakte producten kreupel of onveilig te maken. Pfff, om simpel van te worden.
Als Samsung miljarden zou investeren in een productie fabriek waarom zouden ze dat dan voor Foxcon doen en niet voor een Samsung fabriek. Apple is niet zo breed als Samsung dus die willen zekerheid dat hun productiepartner genoeg capaciteit heeft en houdt.
"Don't attribute to malice what can be adequately explained by stupidity"
Eigenlijk is deze 'exploit' iets waar veel tweakers wel blij mee moeten zijn.
Via USB kan je namelijk allerlei dingen veranderen aan je toestel.
En omdat het via USB gaat en niet remote via een webbrowser of 'foute' app is de impact op de alledaagse veiligheid beperkt.
Blij moet je niet zijn wanneer een willekeurig iemand met een simpel commando een adb shell kan openen, zonder enige vorm van authenticatie. Als deze persoon fysieke toegang heeft tot je device, alleszins.
Heb je gelijk in hoor... maar anderszins is het geklaag over 'knox triggered' bij Samsung niet van de lucht.
De vraag is dan: wat wil men precies.
Men wil een bootloader die unlockable is zonder je garantie te verliezen, en root indien je dat wil. Maar niet root toegang van zodra je een USB kabel aansluit en een magisch commando uitvoert ;)
Wat is er dan anders aan (het verkrijgen van) root? Toch ook maar aan de PC hangen een APK installeren die dat magische commando voor jou doet.

Zolang ik steeds maar weer hoor dat je fysiek toegang moet hebben, lees ik al niet meer verder. Je moet al eerst dat toestel kunnen afpakken/stelen en dan nog.... Ik zie niet de wijkagent jou telefoon hacken.
Klinkt mij anders in de oren als een gat dat ook wel eens exploitable zou kunnen zijn door een "smart charger"... Zo ja, dan hoef je alleen maar iemand zo gek te krijgen jouw charger te gebruiken. In NL moet dat je vast wel lukken met prijsstunten (totdat men de malware in je charger detecteert, maar dan zal het voor velen al te laat zijn). Tot zover dus de noodzaak om fysieke controle over de telefoon te moeten hebben.
Ik wilde eerst zeggen "Ik dacht dat Foxconn een hardware fabrikant was", maar las verderop dat je daadwerkelijk fysiek toegang moet hebben tot de telefoon. Dat maakt het al wat logischer.

Wel een kwalijke zaak overigens. Ik neem aan de Nextbit en InFocus een claim neer kunnen leggen? Brengt hun telefoons wel in een serieus diskrediet.

Nu zijn dit "gelukkig" niet de best verkopende smartphones ter wereld en twee op de ontelbare aantal Android modellen. Daarentegen is dit natuurlijk een eerste ontdekking en kunnen mogelijk veel meer telefoons kwetsbaar zijn. Ik ben daarom erg benieuwd bij hoeveel Android telefoons dit het geval is.
Het is wel kwalijk dat de 'kleinere' merken dus wel zo benadeeld worden. Zulke imagoschade kan voor hen het einde betekenen. Als er straks ontdekt wordt dat Foxconn de grote merken alleen laat en alleen zulke 'steken laat vallen' voor de kleineren kan dit nog wel een staartje krijgen.
Een fabrikant doet meer dan alleen de hardware, maar doet ook ontwikkeling. Zeker voor 'kleine merken' die toch vooral specificaties aanleveren en een product willen hebben.
Dan zit het ding vol met handigheidjes voor eenvoudige fabricage. Helaas.
De grote merken maken misschien hun eigen bootloader. Misschien dat Foxconn voor kleinere fabrikanten dit als dienst aanbiedt, dan is het tenminste nog mogelijk voor andere partijen om in deze markt te stappen.
En het kan ook zijn dat Foxconn ook gewoon onbedoeld een designfout heeft gemaakt in hun software. Het zal niet de eerste bootloader zijn die via een "feature" onbedoelt toegang geeft het onderliggende OS.
Dit gaat geen staartje krijgen, het is gewoon heel simpel : Of je levert je eigen bootloader aan, of FoxConn heeft iets op de plank liggen wat je kan kopen.

Neem je die van FoxConn, tja dan neem je die inclusief alle gebreken en extra's.
Wanneer gaat dit soort rotzooi eens stoppen?

We hebben al het boot virus van Lenovo gehad, dat gedoe met die certificaten, en zo blijft het maar door gaan met fabrikanten die een zooitje maken van hun security.

Dat ziet er niet goed uit nu ze overal IoT insteken omdat dat toch zo lekker klinkt voor de marketing.
Dit soort rotzooi stopt als we alle menselijke handelingen uit processen gaan slopen. En niet alleen bij productie, maar bij alles. Zolang er mensen bij betrokken zijn worden er fouten gemaakt. Wij zijn nu eenmaal niet in staat om dingen foutloos te doen.
Alles is door ons gemaakt. Ook robots waar weer fouten door ja je raad t al de mens in kunnen zitten.

Fouten stoppen pad als de mens is uitgeroeid. En dat is al een paar keer bijna gelukt. Maar net niet helemaal.
De enige oplossing is volgens mij stoppen met naief zijn en dus met hardware waar de eindgebruiker geen controle/zeggenschap over heeft. Het grootste veiligheidsprobleem dat een computersysteem kan hebben...
Goed, implementeer dan ook de features die IK wil. Nu moet steeds maar opnieuw rooten omdat een Koreaanse Galaxy wel een call-recorder heeft die ook normaal werkt met een bluetooth headset, terwijl het Europese model allen zijn calls opneemt op de handset maar niet wanneer je een BT-headset gebruikt. Leuk hoor, wanneer je dan DAAR woont waar er fikse boetes zijn op het niet-handsfree gebruik van je GSM. :-(
Handig toch, root access hebben ťn Pokťmon Go spelen
Je telefoon is niet rooted (als in de zin van de su-binary is geÔnstalleerd). Deze exploit maakt het mogelijk een shell als root te openen. Wil je apps root-toegang geven, dan zal je alsnog een su-binary moeten hebben. Met deze exploit kan je deze wel installeren zonder je bootloader te hoeven unlocken, je hebt met die root-shell immers genoeg rechten om naar /system te schrijven.

[Reactie gewijzigd door P1nGu1n op 14 oktober 2016 14:53]

Booting to FTM boots the device with a kernel/ramdisk from the ftmboot partition, instead of boot or recovery partitions.

While in factory test mode adbd is running as root, and it requires no authentication to access a shell through adb. SELinux is in a disabled state, and it is not permissive but fully disabled.

In short, this is a full compromise over usb, which requires no logon access to the device. This vulnerability completely bypasses authentication and authorization controls on the device. It is a prime target for forensic data extraction. While it is obviously a debugging feature, it is a backdoor, it isn’t something we should see in modern devices, and it is a sign of great neglect on Foxconn’s part.
Emphasis mine

Je hebt dus root-toegang zonder authenticatie met ADB en SE-Linux (belangrijke beveiligingsmaatregelen) zijn uitgeschakeld.

[Reactie gewijzigd door P1nGu1n op 14 oktober 2016 14:49]

Dat scheelt ze een rechtszaak mocht het toestel in handen zijn geweest van een crimineel/terrorist en de FBI er in wil komen :+

Het scheelt dat het niet op afstand kan, dus in principe blijft de kans op exploiten wat beperkt. Maar zonder enige autorisatie zo bij de root shell kunnen heeft wel een nogal grote impact..
Dit lijkt me een essentiŽle functie voor een prototype in de ontwikkelingsfase, die Foxconn er weer later niet meer uit gehaald heeft.
Misschien gewoon vergeten. Lees: het ontwerpproces van Foxconn zit niet zo gestructureerd in elkaar dat dit soort dingen automatisch meegenomen worden wanneer het productieproces begint.
Misschien omdat Nextbit en InFocus een telefoon tegen zo'n scherpe prijs hebben besteld dat er geen budget meer was om de toestellen goed te testen met een 'normale' bootloader.

Foxconn kan toestellen produceren naar een kant en klaar ontwerp van andere bedrijven, zoals van Apple. Maar je kunt er ook een bestelling plaatsen voor een toestel met bepaalde specs, waarna er zonder verdere tussenkomst van de opdrachtgever een container met toestellen geleverd wordt.
Dit heeft helemaal niks te maken met bloatware?

Dit is een kwetsbaarheid door de fabrikant Foxconn toegevoegd aan de bootloader, die de toestellen voor bedrijven assembleert. De bedrijven hadden hier zelf ook geen weet van.
Of de bedrijven er wel of geen weet van hadden/konden hebben vind ik nog wel twijfelachtig hoor.

Vanwege het soort bedrijf wat FoxConn is heeft het dit soort bootloaders op de plank liggen, net zoals Apple die voor Iphones heeft liggen, het is gewoon nodig voor R&D dat je dit soort dingen hebt bij test-modellen etc.

En als jij nu als klein bedrijfje geen bootloader hebt en je vraagt of FoxConn een bootloader heeft dan is het antwoord daarop ja. Het is imho dan de verantwoordelijkheid van het kleine bedrijfje om het of zo te specificeren dat dit niet kan, of vragen te stellen wat die bootloader omvat.
Grapjas, er zit gewoon Bloatware op een Windows Phone en Apple bouwt gewoon zijn toestellen bij Foxconn (waar dit artikel op slaat). Dus weet niet waar je het over hebt.
Omdat Microsoft ooit "slecht" was wil dat toch niet zeggen dat ze dat altijd blijven? Ik neem aan dat er bij jou op het werk ook weleens wat verandert en verbetert. Zo niet, dan moet je op gaan passen. Bij iedere organisatie gaan dingen immers wel eens minder goed, dus als daar niets aan wordt gedaan is het het begin van het einde.

Microsoft heeft het in ieder geval al lang geleden onderkend en is nu niet meer het Microsoft van 10 jaar geleden.
Microsoft was heel lang de grote 'Boeman'.. Toen kwam Google met 'don't be evil' of zoiets.
Volgens mij was dat het slogan.. zou het niet meer weten, want de kern is er redelijk vanaf ondertussen.

Microsoft staat tegenwoordig (het is een relatieve meting) boven Apple en Google. Google boven Apple, maar deze 2 strijden redelijk om de positie. Nu Steve Jobs niet meer de 'chef' is, zou Apple wel eens hoger bij mij kunnen gaan staan.
MS is niet meer de grootste duivel.. Verre van.
Losstaand van het feit dat ik hun producten en diensten niet echt meer nodig heb. De voorkeur heb ik om Google totaal te passeren en Apple eigenlijk totaal geen praktisch nut aan mij biedt. (voor de 1 of 2 specifieke toepassingen is er altijd wel nog een stoffige Mac aanwezig in dat oh-zo-mooie wit)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True