Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 83 reacties
Submitter: mjpeters

Onderzoekers van de Vrije Universiteit in Amsterdam hebben een aanval gepresenteerd waarmee roottoegang verkregen kan worden op een groot aantal Android-apparaten. De 'Drammer'-methode werkt door een Rowhammer-aanval op het geheugen uit te voeren.

Tot nu toe waren de onderzoekers alleen in staat om deze techniek op x86-systemen uit te voeren, zoals zij demonstreerden in eerder onderzoek. Met de Drammer-methode tonen zij aan dat dit ook kan op mobiele apparaten op basis van ARMv7 en ARMv8. De aanval maakt het mogelijk om root-toegang op Android-toestellen te krijgen via een kwaadaardige app, zonder dat aanvullende permissies of kwetsbaarheden in software nodig zijn, aldus de onderzoekers, die deel uitmaken van het team van beveiligingsonderzoeker Herbert Bos. Drammer is bijvoorbeeld in combinatie met andere lekken, waaronder Stagefright, te gebruiken en zou daarmee een risico vormen voor miljoenen Android-gebruikers.

Drammer statistiekenDe wetenschappers hebben de aanval in het kader van het onderzoek met succes uitgevoerd op 27 toestellen, waaronder een Nexus 4, OnePlus One, Galaxy S4, Galaxy S5 en twee Moto G-varianten. Van de geteste ARMv8-apparaten was alleen de LG G4 kwetsbaar, wat door de kleine steekproefomvang niet tot de conclusie zou leiden dat deze apparaten beter beschermd zijn. In totaal testten de wetenschappers vijftien modellen van de Nexus 5, waarbij bleek dat twaalf vatbaar waren voor de Drammer-aanval. Het is niet duidelijk waardoor dit komt. De onderzoekers noemen de mogelijkheid dat de ouderdom van het geheugen een rol speelt. De Nexus 5-toestellen in kwestie waren namelijk al eens voor eerder onderzoek gebruikt.

Het feit dat een Moto G uit 2013 kwetsbaar is voor Drammer, is volgens de onderzoekers bovendien een teken dat de aanval al drie jaar lang met ARM-geheugencontrollers is uit te voeren. Een Rowhammer-aanval werkt door snel achter elkaar bepaalde geheugenrijen te activeren, waardoor een aanvaller in staat is om bits te flippen, bijvoorbeeld van 0 naar 1 of andersom. Uit het onderzoek komt naar voren dat de meeste bit flips in lpddr3 geheugen optraden, maar dat ook lpddr2 kwetsbaar is. Lpddr4-geheugen zou de aanval moeilijker maken, maar niet geheel onmogelijk.

De wetenschappers hebben hun bevindingen in juli aan Google gemeld, dat in oktober zijn partners op de hoogte heeft gesteld en met een oplossing komt in het security bulletin van november. Hierdoor zou de aanval alleen bemoeilijkt worden, maar niet geheel onmogelijk zijn. Uiteindelijk heeft de kwetsbaarheid het kenmerk CVE-2016-6728 ontvangen. Een van de onderzoekers stelt tegenover Ars Technica dat hij niet verwacht dat er op de korte termijn een oplossing is. Google zou werken aan een langetermijnoplossing. De onderzoekers ontvingen vierduizend dollar van de zoekgigant in het kader van het bug bounty-programma, meldt de site verder.

Een van de onderzoekers legt aan Ars Technica uit dat de aanval uit te voeren is met de basisfunctionaliteiten die door Android worden geboden. Omdat deze waarschijnlijk ook aanwezig zijn in iOS en Windows Phone, zouden deze besturingssystemen ook kwetsbaar kunnen zijn. De wetenschappers hebben een app ontwikkeld waarmee gebruikers kunnen testen of hun toestel kwetsbaar is. Zij hebben de exploit zelf nog niet vrijgegeven. Andere delen van Drammer zijn wel te vinden op GitHub. De wetenschappers willen hun onderzoek deze week presenteren op de ACM-conferentie voor computer- en communicatiebeveiliging in Wenen.

Drammer-aanval op een Nexus 5 met Android 6.0.1.

Drammer-aanval in combinatie met Stagefright

Moderatie-faq Wijzig weergave

Reacties (83)

Dit werd vorige week donderdag ook al gedemonstreerd tijdens een aflevering van De Universiteit van Nederland. Daar werd het publiek verzocht om met je telefoon naar een bepaalde website te gaan, waar de onderzoeker ter plaatse kon zien welke telefoons gevoelig waren voor deze aanval (icm Stagefright). Als voorbeeld werd één van deze telefoons gekozen, en werden eventjes de foto's die op de telefoon stonden geopend en Facebook van betreffende persoon opgestart. Altijd leuk :)

De aflevering is terug te kijken via NTR, link staat aangegeven in reactie hieronder door StephanVierkant. Leuk halfuurtje om een beginner de risico's en de algemene basis van hacken te voorzien.

Helaas betekent het, aangezien het Android betreft, dat deze bug waarschijnlijk niet overal gepatched wordt.

[Reactie gewijzigd door Nat-Water op 24 oktober 2016 11:49]

"Installeer een recente versie van Adobe Flashplayer
Klik hier om Adobe Flashplayer te installeren"

Doet me denken aan een PDF-bestand over hacken dat ik ooit had gedownload. Daarin werd onder andere leuk verteld dat PDF-bestanden goed waren om gebruikers mee te infecteren omdat mensen ze meer vertrouwden 8)7
Dat ging om de Stagefright aanval, die al best oud is (jaren).
Hier hebben ze het over een nieuwe aanval genaamd drammer.
Ja en nee. Er werden toen 2 aanvallen gecombineerd, waarvan inderdaad de 1e, de website, Stagefright hostte (wat mooi even de problemen met Android aantoonde: Stagefright is inderdaad inmiddels ruim een jaar oud, en dus nog steeds een risico is!). De 2e aanval was Drammer. Het wordt uitgelegd op 18:18 in de uitzending.
Ik heb iniedergeval de bewoording aangepast, dank :)

EDIT: Wat uitleg toegevoegd.

[Reactie gewijzigd door Nat-Water op 24 oktober 2016 12:01]

Waarschijnlijk had ik 1 biertje teveel op en heb ik dat gedrammer gemist :P 8)7
werd het publiek verzocht om met je telefoon naar een bepaalde website te gaan, waar de onderzoeker ter plaatse kon zien welke telefoons gevoelig waren voor deze aanval.
Weet je toevallig nog welke site dit was? We hebben hier nog een tablet liggen die gewoonweg unrootable blijkt te zijn na een klein miljard verschillende pogingen... :-)

Update, hartelijk dank voor de feedback en tips @GertMenkel, @Nat-Water en @ocwil

[Reactie gewijzigd door musback op 24 oktober 2016 13:04]

In het artikel staat ook een link naar een app waarmee je kunt uitproberen of het werkt voor jouw device.
Ik vermoed dat ze de site na de uitzenden hebben uitgezet. Maar ik kan wel een tip geven: de recent bekend geworden Linux exploit dirtyc0w (https://dirtycow.ninja) is ook bruikbaar op veel Android toestellen: https://github.com/timwr/CVE-2016-5195. Dit betekent dat er wellicht een root app à la Kingoroot/Gingerbreak uitkomt die op deze manier root access kan verkrijgen.

Hij is er nog niet, maar wellicht heb je er wat aan als er zo'n app uit komt!
Hij werd volgens mij genoemd in de show - niet expliciet uitgeschreven. Volgens de desbetreffende onderzoeker werden de telefoons die gevoelig waren doorverwezen naar een speciale page, alwaar de aanval kon beginnen. Werd volgens mij vrijwel aan het begin van de show genoemd. Aangezien dit een demonstratie was, zou het kunnen dat de betreffende site ook weer offline is.
Je zal maar net wat 'actiefoto's' met je vriendin hebben gekiekt de avond ervoor :')
Ga er van uit dat alles hackbaar is en maak/ zet dus nooit 'actiefoto's' op een apparaat dat met internet verbonden is.
Iemand die even 'langs komt kijken' in één van je apparaten zal in de meeste gevallen niets interessants vinden en weer vertrekken zonder iets te doen en zonder dat je iets in de gaten hebt. Eén plaats waar altijd even gekeken zal worden of er nog iets interessants te zien is, is je foto-map.
Dit soort "onderzoek" zorgt er natuurlijk wel voor dat gebruikers gewoon de moed compleet opgeven mbt "security". Iedere week lees je alweer over een methode om zowat iedere toestel te breken (Android, iOS, Windows, ...)

Wie kan nog mee met dit tempo ? Je kunt nu wel Google beschuldigen van hun slecht update methode (in Android), maar Windows is niet anders en is de software niet het probleem dan is de gebruiker het probleem (ransomware).
Dit is niet zozeer een kwestie van als gebruiker opgeven of je best blijven doen. Dit is gewoon belangrijk onderzoek, omdat het deel uitmaakt van een eeuwige wedloop tussen hackers/criminelen en beveiligingsmedewerkers/software-fabrikanten. Penetratie versus verdediging, niks nieuws onder de zon. De schaal en de vorm veranderd, maar het spel zelf is al een paar duizend jaar oud :P

Idealiter worden dergelijke dingen gewoon zo snel mogelijk via een regelmatige (low-impact) patch-methode dichtgetimmerd, steeds weer. Bij voorkeur op een manier waar de normale gebruiker (bijna) niets van merkt. En dat geldt voor alle software, ongeacht platform of soort, wat mij betreft. Ik vind dat deel van het contract dat je aangaat met de fabrikant: ik koop een product/dienst, jij probeert naar beste kunnen te zorgen dat dit deugdelijk en veilig is en blijft, zolang redelijkerwijs te verwachten is. Wat dan redelijk is, valt over te twisten, maar lijkt me minimaal gelijk aan de garantieperiode, voor dit soort dingen. En tsja, sommige bedrijven doen daar meer of minder aan, maar dat is hun keus, net zoals het de keus van de consument is om ze daar wel of niet op af te rekenen.

Dat mensen je beveiliging kunnen omzeilen is geen enkele reden om dan maar te zeggen "naja, het zal allemaal wel". In nieuwbouwwoningen worden immers ook nog steeds sloten geplaatst ;)
Alleen is Windows niet te vergelijken met Android.
Microsoft kan voor Windows namelijk wél zelf een update forceren naar alle toestellen (of PC's, weet niet welke versie je bedoelt). Dit kan Apple ook doen voor OS X (MacOS? ben de huidige officiële naam even kwijt) en iOS.

Dat er voor Android in alle gevallen behalve de Nexus lijn een fabrikant-laag tussen zit is qua security gewoon een probleem, juist omdát er elke week wel een nieuwe exploit opduikt. Google zal een manier moeten bedenken waarmee security updates altijd langs de fabrikant te pushen zijn en die methode toepassen op alle gangbare OS versies, dus de laatste 4.X, 5.X, 6.X en 7.X versies.
Dan hoeven ze alleen nog de fabrikanten te pushen/helpen om zoveel mogelijk telefoons naar de laatste minor release te brengen. Maar juist dat is zo simpel nog niet.
Kanttekening:

Ik heb laatst bij kennissen aan een laptop moeten werken, die had sinds eind april geen updates meer ontvangen. Heb alles en nog wat geprobeerd. Updates kwamen niet binnen. Wat bleek, er was een of ander conflict met een handvol Bluetooth kaarten waardoor Windows Update niet correct functioneerde. Dit was in September, het probleem was al bekend. Dus Microsoft laat ook mensen achter qua updates omdat ze geen fixes uitbrengen voor conflicten, bugs etc in Windows Update. Conclusie: Zelfs Microsoft kan geen updates forceren naar ieder apparaat dat Windows draait.
Tja, de complete controle over een PC heeft zelf MS niet. Self fixing software is nog even te ver weg... En om het nog even te relativeren; je moest eens weten hoeveel knurften er rondrijden in levensgevaarlijke auto's
Valt wel mee, ook veel windows toestellen blijven verstoken van updates, en zonder actieve rom-scene kun je daar net zo weinig aan doen als bij iDevices.
Dit is overigens geen android probleem, het is immers de hardware die het probleem veroorzaakt: ik vraag me dan ook af of je je hier softwarematig uberhaupt wel helemaal tegen kunt beschermen.

[Reactie gewijzigd door blouweKip op 24 oktober 2016 19:08]

Veel zuurder is het dat allerhande malware dus wel root-access kan krijgen op mijn telefoon, maar ikzelf als rechtmatige eigenaar dus niet!
Ik snap je punt volledig.

Het gaat ook verder dan "gewone" gebruikers. Met de grote hacks komt er al eens wat meer geld vrij voor beveiliging binnen bedrijven, maar hoe lang gaat dit duren? Als elke week er weer van alles moet gepachted en getest worden, geraakt het geduld en het budget binnen bedrijven ook wel op denk ik.
Het is wel degelijk belangrijk om te melden, maar je kan er als sysadmin soms ook wel moedeloos van worden.
probleem is dat een hoop fabrikanten gewoon de support laten liggen. hier liggen een Moto G die dus niet of nauwelijks meer updates krijgt en een asus Tf701 tablet die op 4.4.2 blijft hangen (want asus en support: boeien). daarnaast duurt het voor de toestellen die wel support krijgen vaak maanden voordat een nwe android versie wordt uitgerold.
Dit soort "onderzoek" zorgt er natuurlijk wel voor dat gebruikers gewoon de moed compleet opgeven mbt "security". Iedere week lees je alweer over een methode om zowat iedere toestel te breken (Android, iOS, Windows, ...)
Volgens mij precies andersom.
Je kunt de moed opgeven tav je hudige device als dat voor deze exploit vatbaar is.
Maar blij zijn met dit onderzoek omdat als het goed is en de hardware fabrikanten in beweging komen, we veilige devices krijgen.
Wie kan nog mee met dit tempo ? Je kunt nu wel Google beschuldigen van hun slecht update methode (in Android), maar Windows is niet anders en is de software niet het probleem dan is de gebruiker het probleem (ransomware).
In dit geval is de hardware fabrikant, geheugen fabrikanten,de schuld.
Daar kan de software niets aan doen. Buiten mogelijk de geheugen parameters te veranderen (CL,Frequenties etc)?

[Reactie gewijzigd door worldcitizen op 24 oktober 2016 11:47]

Wie kan nog mee met dit tempo ? Je kunt nu wel Google beschuldigen van hun slecht update methode (in Android), maar Windows is niet anders en is de software niet het probleem dan is de gebruiker het probleem (ransomware).
Hoezo is Windows niet anders? Op het Windows-platform word iedere maand minstens 1 update uitgestuurd naar het grote publiek (meer dan 1 in geval van een nieuwe feature release of een tussentijdse non-security update) in het beheer van Microsoft (of je systeembeheerder indien je Enterprise hebt).
ik heb liever de updates van Linux, die gaan veel sneller en je hoeft geen uren te wachten tot ze klaar zijn (met een netbook en verjaardagsupdate), kan gewoon doorwerken.
Ik snap niet dat dat nog steeds zo is met Windows.
Ik heb nog nooit een uur hoeven wachten op updates voor Windows 10. 1 a 2 keer per maand even een herstart die 2 a 3 minuten langer dan normaal duurt. En Windows planned die herstart altijd netjes in op momenten dat ik mijn PC toch niet gebruik. Laatst nog, "Uw PC moet vandaag herstart worden", ik loop 10min later naar de bakker om de hoek, ben nog geen 5min later terug. En ik kon netjes op een vers geupdate Windows inloggen.

Het update systeem is al enige tijd geen gedrocht meer, dat is echt een heel stuk verbetered sinds Windows 7. Stuk beter als mijn Linux bakje waar ik elke week een tiental updates op moet instaleren om bij te blijven.
Laat me niet lachen, updates in Windows duren aanzienlijk langer dan in vrijwel iedere Linux distributie. Windows 10 is sneller geworden maar breek me de bek niet los over bijvoorbeeld Windows Vista of 7. De updates gingen de laatste jaren al steeds langzamer maar sinds Windows 10 zijn de updates voor oudere Windows versies niet vooruit te branden. Je zou haast gaan denken dat Microsoft het er om doet...

Het enige fatsoenlijke alternatief is om met WSUS offline aan de slag te gaan maar de doorsnee gebruiker heeft daar geen weet van. Die zitten opgescheept met een updatesysteem dat soms uren bezig is met het downloaden en installeren van een handjevol (simpele) updates en daarmee de pc tergend traag maakt (svchost die doodleuk 50% van de CPU gebruikt en RAM vreet). In Windows 10 gaat het nu (nog) wel sneller maar is de optie vervallen om zelf te beslissen of je updates wel/niet kunt installeren wat IMHO een flinke achteruitgang is.

Ik zie niet waarom het installeren van veel updates een minpunt is van een Linux distributie. De updates installeren snel en je hoeft zelden te herstarten. Bovendien geven vrijwel alle distributies je opties om het soort updates (kritieke/beveiligingsupdates, aanbevolen updates of niet-ondersteunde updates) en de frequentie aan te passen (dagelijks, om de dag, wekelijks etc.). Je kunt zelfs instellen dat veiligheidsupdates automatisch geïnstalleerd moeten worden en overige updates eerst weergegeven moeten worden. In mijn optiek en ervaring werkt dit systeem aanzienlijk beter dan het updatesysteem in Windows, inclusief die van W10.
Op oudere Windowsen is het inderdaad een puinhoop kwa updates. De reden hiertoe is compatibility met oude meuk wat vanaf een vanilla Windows 7 tot de laatste update moet werken. Vandaar dat ze niet gewoon point releases maken bv.

Maar de simpele oplossing is de update rollups te pakken. Heb je in 1 klap je Windows 7 up to date. Zie ook https://support.microsoft.com/nl-nl/kb/3125574 met de meest recente van september 2016 https://support.microsoft.com/nl-nl/kb/3185278

svhost probleem op Windows 7 is een implementatie probleem. Is deels niet op te lossen, want is een flaw in het design in Windows 7. Het zal altijd een load nodig hebben door/tijdens updates.


Het verschil als desktop gebruiker tussen de 2, is dat ik op Windows over het algemeen 1 keer per maand eens updates krijg. En ik op mijn Debian desktopje bijna dagelijks updates aan het binnentrekken ben... En ik zelf mag kijken of het het herstarten waard is of niet. En op een server mag ik in de gaten houden welke libs en services geupdate worden, want alles wat aan het internet hangt en wordt geupdate, herstart ik als het om security patches gaat. Ik forceer liever het sluiten van eventueel exploitbare handles dan het risico lopen dat ze nog dagen (of maanden lang) open blijven hangen.

Op Windows 10 duren updates niet zo lang, zelfs de anniversary update duurde nog geen 15 minuten. Doorgaans word de herstart tijd van ~1min niet eens verdubbeld.

Als gewone standaard gebruiker werkt naar mijn idee het Windows systeem beter. Als gebruiker wil ik me zo min mogelijk bezig houden met onderhoud aan het OS. Linux doet het ondertussen een stuk beter als 10 jaar geleden, maar als mijn tijd niet waardeloos was, zou Windows 10 een stuk goedkoper zijn.

[Reactie gewijzigd door batjes op 24 oktober 2016 16:17]

Op Windows 10 duren updates niet zo lang, zelfs de anniversary update duurde nog geen 15 minuten. Doorgaans word de herstart tijd van ~1min niet eens verdubbeld.
Als je hardware bovenmatig snel is dan gaat dat op, op relatief langzame hardware (budget laptop bijvoorbeeld) ga je echt het verschil merken (meer dan 4!(!) uur voor de anniversary update: en dan tel ik nog niet eens het puinruimen erbij op na de update - op dezelfde hardware is een debian distro niet langer dan een minuutje bezig met een maand aan updates).

Juist als je weinig onderhoud wil doen aan je OS kom je uit bij linux.

[Reactie gewijzigd door blouweKip op 24 oktober 2016 19:14]

De Anniversary Update is dan ook niet gelijk aan een maandupdate. Is een nieuwe distro release. Als je dist-upgrade maar een minuutje duurt op dezelfde hardware, netjes.

Doorgaans merk ik de meeste updates niet, zit gewoon verwerkt in de normale shutdown cycles. Maar mijn systeem is 24/7 online. 1 keer in de maand een herstart van nog geen 5 minuten. Windows doet zelf de zekere voor het onzekere herstarten, bij Linux moet ik altijd kijken wat er nu weer geupdate is.

Linux heeft minder onderhoud nodig dan Windows, uhm oke. Alleen Ubuntu en aanverwanten komen in de buurt van het gemakzucht, cdtje/usb erin, instaleren, klaar alles werkt zonder omkijken.... En dan moet je al geluk hebben als alle drivers uit de doos zonder moeite werkbaar te krijgen zijn.

Als je Linux eenmaal hebt draaien en dan enkel security updates binnenhaalt, is het niet stuk te krijgen en goed stabiel. Maar Debian Stable is nou niet bepaald een aanrader als Windows vervanger.

Nou ben ik met beide opgegroeit en comfortabel in het gebruik van allebei. Maar ik zal echt niet snel een Linux distro aanraden aan mensen die geen verstand hebben van Linux of uberhaupt basale computer functionaliteiten.

Of je moet gedult genoeg hebben om mensen uit te leggen hoe ze via de commandline hun display settings moeten vinden en even hun driver moeten aanpassen.

Ik heb het vorig jaar nog meegemaakt dat een kudde jongelui allemaal van Windows overgingen naar Linux... wat een hel, zelfs op identieke hardware unieke problemen. Een minderheid van de installs is probleemloos en kwam later in het jaar nog regelmatig tegen dat men in hun tty bleven hangen tijdens het opstarten bv.

Het is wel een heel stuk beter als een jaar of 10 geleden. Maar met Windows krijg je op 1 van de X hoeveel systemen eens wat problemen tegen, terwijl ik buiten server installs, eigenlijk geen Linux desktops tegenkom zonder hun euvels. De enige die ik tegenkom zijn van mensen die goed bekend zijn met Linux, en er al wat werk in hebben gehad (of gewoon precies weten wat ze -moeten- doen).

Als een Guru even in 5minuten met 3 CLI instructies je hele omgeving klaarzetten is heel wat anders als Henk of Ingrid die een installatie cdtje van Ubuntu in hun vingers gedrukt krijgen.
Gezien de inhoud van de update kan ik de anniversary update niet echt vergelijken met een dist-upgrade (die overigens inderdaad ruim sneller klaar is op dezelfde hardware, maar dat terzijde). Primaire probleem vind ik overigens niet de snelheid maar het gebrek aan flexibiliteit en keuzevrijheid: zelfs met een enterprise/education versie is die ver te zoeken.


Als ik kijk naar de hoeveelheid problemen die ik op windows desktops tegenkom dan ben ik nog regelmatig verbaasd, zeker als je ziet hoe enorm de 3th party support is vergeleken met bijvoorbeeld linux, de hidden costs zijn vaak subtantieel.

De enige mensen die ik moeite met Linux (en dan heb ik het over een doorsnee distro) zie hebben zijn juist diegene die primair opgegroeid zijn met windows: opzich heel logisch, ik heb dezelfde worsteling met powershell komende vanaf *nix shells.
De gemiddeld gebruiker weet overigens net zomin iets van windows, zodra de kleurtjes of knoppen veranderen slaat de paniek toe.

Overigens mag ik niet teveel klagen, indirect zorgen de hidden costs van windows systemen/azure voor brood op de plank :P
Rowhammering is op elk os uit te voeren waar gebruik word gemaakt van dram:
https://en.wikipedia.org/wiki/Row_hammer

Dus niet alleen op android. Sterker nog, het is via javascript ook mogelijk: https://github.com/IAIK/rowhammerjs.
Maar niemand wíl een worm schrijven die miljoenen toestellen 'bricked', want dan zijn ze niet meer te exploiteren voor andere doeleinden :)
Dat betekent natuurlijk niet dat je veilig bent, maar geeft wel een (mijns inziens) plausibele verklaring waarom we niet allemaal met een baksteen rondlopen.
Klopt, dat bedoel ik met geluk hebben.

Volgens mij zijn er ook genoeg mensen die het hele internet kunnen platleggen maar dit niet doen omdat ze het zelf dan niet meer kunnen gebruiken.
Nou ja, de ddos aanvallen op Dyn leken daar toch wel enigszins op. Grote websites waren opeens onbereikbaar...
Dat was maar een klein gedeelte van het internet, wel bekende sites.
Mwah, some people just want to watch the world burn, zou me best voor kunnen stellen dat een of andere 'grapjas' voor de lol een boel toestellen zou slopen, gewoon omdat het kan.
Is het google die geluk heeft gehad, of al die fabrikanten en telco's die zo nodig een eigen gebranded ROM er op moesten gooien, zodat wij afhankelijk zijn van wanneer deze fabrikanten / telco's zin hebben om het te updaten?

Daarnaast begrijp ik echt niet hoe dit probleem heeft kunnen ontstaan.
Voor de opkomst van de "smart" Phone, hadden we al besturings systemen die zich zelf updaten.
Of je nu een Gateway PV had op een Dell Laptop, ze deden allemaal mee met de windows update rondes.
Ook onder Linux is er al jaren ee nieuwe update proces, dus waarom is dit zo anders voor "smart" Phones?
Waarom blijven we "smart" Phone, toch als bezonder iets behandelen, terwijl tegenwoordig niets meer is dan een mobile P.
Dat komt omdat al die telco's de software eerst willen/moeten goedkeuren voor gebruik op hun netwerk. Als de software niet goed werkt, kan het netwerk in de problemen komen, of gaan de klanten massaal bellen naar de klantenservice van de provider, terwijl het probleem bij een update van Google ligt.
Sorry hoor, Datacenters heb ik nog nooit software zien testen, die klanten op hun spul draaien. Daar hebben we een aantal standaarden voor.
En als je device overlast veroorzaakt, mag die gewoon het netwerk niet meer op.

Dus wat maakt telco's zo bijzonder? Behalve dat ze er alles aan doen, om wat winst te maken.
Zo'n update process is de nummer 1 exploit voor allerlei malware.
Een van de onderzoekers legt aan Ars Technica uit dat de aanval uit te voeren is met de basisfunctionaliteiten die door Android worden geboden. Omdat deze waarschijnlijk ook aanwezig zijn in iOS en Windows Phone, zouden deze besturingssystemen ook kwetsbaar kunnen zijn.
Is dus meer een ARM probleem met bijhorende functionaliteiten en heeft weinig met Android/Google op zich te maken. Ik denk dat alle besturingssystemen voor mobile platformen evenveel bugs hebben maar het ontdekken en exploiteren vooral komt door hoe populair een OS is.

[Reactie gewijzigd door Koldur op 24 oktober 2016 11:14]

Tegen Rowhammer exploits kan je niet zoveel doen, tenzij misschien de DRAM specifiek er op gemaakt is om dit tegen te gaan. Dat gaan fabrikanten niet doen want die willen een zo hoog mogelijke dichtheid tegen een zo laag mogelijke prijs. Security is niet hun zaak, zullen ze zeggen.
Een van de onderzoekers legt aan Ars Technica uit dat de aanval uit te voeren is met de basisfunctionaliteiten die door Android worden geboden. Omdat deze waarschijnlijk ook aanwezig zijn in iOS en Windows Phone, zouden deze besturingssystemen ook kwetsbaar kunnen zijn.
Doordat er aan het geheugen gefriemeld wordt, zou dit ook prima moeten kunnen op andere apparaten. De exploit zelf is niet eens ARMv7/ARMv8 specifiek en komt origineel van het x86-platform af:
Tot nu toe waren de onderzoekers alleen in staat om deze techniek op x86-systemen uit te voeren, zoals zij demonstreerden in eerder onderzoek.
't is niet dat specifiek Android hier wordt aangetoond als vatbaar, maar het hele ecosysteem, waarvan alle calls eigenlijk onder "normaal" worden gerekend. Het is een firm/hardwareprobleem dat pas op geheugencontrollerlaag iets lijkt te doen. Specifiek erg voor Android is dat dit gecombineerd kan worden met de Stagefright exploit waardoor je dit vanuit het web kunt doen.

Ik ben zelf benieuwd of er een iOS/WP demo komt ;)

Overigens lijkt mijn Z3 Compact op 6.0.1 niet kwetsbaar. Eens zien of mijn Galaxy Nexus er last van heeft :+

Drammer test app werkt niet eens op mijn Galaxy Nexus op Android 7.0, te weinig geheugen. Top :+

[Reactie gewijzigd door ikt op 24 oktober 2016 11:37]

Rowhammer is op elk besturingssysteem bruikbaar. De eerste voorbeelden waren volgens mij voor Linux.

Grootste probleem is dat er relatief weinig tegen te doen is.
Elk OS is zo lek als een mandje..
Zou dat met de BB Dtek50 ook zijn? Dit zou toch de veiligste android telefoon zijn?

Ik ken er niets van, daarom vraag ik het even en omdat mik een dtek50 bezit.
Elk OS dat geen coherent update beleid voert is zo lek als een mandje en spijtig is dat het grote probleem van Android momenteel.
Ik heb de app gedraaid, maar hij lijkt niet een duidelijk resultaat te geven? De service start en stopt, de log draait mee maar sluit niet af met een conclusie die voor mij leesbaar is :) .
Hoe interpreteer ik het resultaat?
Wow, ik verbaas me over het aantal mensen hier, dat zomaar een app, die niet uit de store komt op zijn telefoon installeert en draait. Hebben jullie enig idee wat de app precies doet? Dit is dus een app die bedoeld is om naar exploits op je telefoon te zoeken!
Dan kan je toch gewoon zelf builden?
De source code staat gewoon online ;-)

https://github.com/vusec/drammer

Een gezonde portie wantrouwen is terecht maar je moet ook niet overdrijven.
Wow, ik verbaas me over het aantal mensen hier, dat zomaar een app, die niet uit de store komt op zijn telefoon installeert en draait. Hebben jullie enig idee wat de app precies doet? Dit is dus een app die bedoeld is om naar exploits op je telefoon te zoeken!
In hoe verre kun je de apps uit Play Store te vertrouwen? Zeker t.a.v. spionage.

Ik heb de app gedraaid. Daarna een Factory reset, bij een andere smartphone zelfs plus een firmware update.
Er staat inderdaad helemaal niets in de output waar je aan kan zien dat je smartphone kwetsbaar is. Krijg bij mijn smartphone allemaal ene zelfde type melding.
Je hebt een punt. Hoewel ik zelf zoiets had van "Het staat op tweakers dus het zal wel goed zijn". Dus ook als een kip zonder kop die app geïnstalleerd en uitgevoerd met een (voor mij als leek) onbegrijpelijk resultaat.
Dat vroeg ik me ook al af. Het zou wel handig zijn als er een "yes/no vulnerable to Rowhammer bug" in beeld zou komen
Dat is ook mijn vraag. De app leek alleen met de slider helemaal naar links überhaubt iets te doen, en gaf alleen maar een sequentie getallen. Is het de bedoeling dat ze allemaal 256 of 128 zijn ofzo? Kan me niet herinneren dat ik de tekst "Exploitable Flips" ergens gezien heb zoals iemand hierboven meldt.
Dit! Ik heb precies hetzelfde, draait en sluit af zonder enige vorm van resultaat?
Android 7.1.1 hier op een Nexus 5X, deze is blijkbaar niet vatbaar. Exploitable Flips : 0

Update beleid is één van de belangrijkste redenen dat ik Nexus (en in de toekomst Pixel) prefereer. Goede 2e is HTC, welke tegenwoordig het beste updatebeleid heeft van de rest.

Wat ik ik nog wel zou willen zien is een testrun op iOS en WP toestellen, zoals genoemd in het artikel.
De Nexus 4 krijgt anders geen updates meer, al is er wel community support. Het toestel is uitgekomen in 2012, geen update naar 6.0, betekend dat ook bij Google een toestel binnen 3/4 jaar is afgeschreven.

Het is toch eigenlijk vreemd dat een Linuxdistributie wel gewoon kan worden geüpgraded en updates kunnen worden gepushed d.m.v. repo's, maar dit niet gebeurd op Android. Waarom is er bijv. nooit een security repo gemaakt, en die vervolgens deze patches kan installeren op iedere telefoon met de ingebouwde updater?
De Nexus 4 krijgt anders geen updates meer, al is er wel community support. Het toestel is uitgekomen in 2012, geen update naar 6.0, betekend dat ook bij Google een toestel binnen 3/4 jaar is afgeschreven.
Als je toestel vatbaar is voor de Drammer exploit, maakt het helemaal niet uit of je updates krijgt.
Het is toch eigenlijk vreemd dat een Linuxdistributie wel gewoon kan worden geüpgraded en updates kunnen worden gepushed d.m.v. repo's, maar dit niet gebeurd op Android. Waarom is er bijv. nooit een security repo gemaakt, en die vervolgens deze patches kan installeren op iedere telefoon met de ingebouwde updater?
De reden is dat er nog veel closed source zaken in de Smart Phone zitten. Zoals de Radio (2G/3G/4G) en in de meeste gevallen de video driver.

[Reactie gewijzigd door worldcitizen op 24 oktober 2016 12:42]

Helemaal gelijk, Nexus 10 idem.

Laatste security update was april 2016.
http://www.androidpolice....w-available-for-download/
Hier wordt ook uitgelegd waarom.
Geen Android versie update betekent niet dat je geen security updates krijgt.
(Heb er totaal geen verstand van)
Vind het wel erg interessant, de Nexus 5 uit het eerste filmpje heeft een Oktober patch maar een kernel uit Augustus? Lijkt me wat vreemd, mijn S6 heeft een September Patch en een September kernel (je zou er vanuit kunnen gaan dat hier dan ook de nodige fixes in zitten).

Sowieso heeft Android een major update probleem, fixes voor serieuze problemen laten vaak lang op zich wachten, worden niet op alle beschikbare toestellen toegepast en gebruikers hebben er vaak geen idee van terwijl een smartphone tegenwoordig meer informatie bevat dan de laptop op de werktafel.

De Drammer test applicatie heb ik eens laten runnen op mijn S6, welke niet kwetsbaar is voor deze bug/exploit aangezien het na 550 seconden niet gelukt is om bits te flippen ;)
Applicatie stond wel helemaal op "Relaxed" want op "Agressive" deed de applicatie niets.... :/
Waarom zou de kernel bij elke update bijgewerkt moeten worden? Lijkt me niet nodig.
Vaak zitten hier toch exploits in? Oudere kernel die niet geüpdatet wordt behoudt deze dan.
Volgens mij zitten er zou ongeveer nooit exploits in de kernel ;) Als er exploits in de Linux kernel zitten, is het meestal groot nieuws. Verreweg de meeste exploits zitten in userspace software zoals libraries en applicaties.
Volgens mij juist wel, de Xperia SP kon door een exploit in de kernel geroot worden zonder eerst de Bootloader te unlocken, dit is in een latere update weer gedicht waardoor dit dus niet mogelijk was.
Volgens mij zitten er zou ongeveer nooit exploits in de kernel
Leuke aanname, maar ook in de Linux kernel zitten gewoon exploits en zero days.

Dat jij er nooit van hoort, wil niet zeggen dat het niet gebeurd. Meestal komt het niet in het nieuws en komt er zelfs geen melding van op Tweakers.

Snelle google search laat zien dat er dit jaar nog een Zero day in de Linux kernel zat of dat vorig jaar de Android Linux Kernel zelf te exploiten was.
als er dit jaar 1 exploit in de kernel gevonden is, dan vind ik dat heel erg weinig ;)

Als er elke maand een update is, betekent dat, dat er maar een keer een nieuwe kernel meegestuurd zou hoeven worden.

Ik volg redelijk wat mailinglists mbt security, en volgens mij valt het aantal exploits op kernel niveau dit jaar redelijk mee (en zeker zero day). Er zijn af en toe wat local denial-of-service bugs, maar zelden echt privilege escalatie.

Uiteraard zullen er fouten in de kernel zitten, dat zal ik zeker niet ontkennen, maar in de praktijk worden er veel vaker fouten gevonden in bv ssl of andere libraries.
Het gebeurd inderdaad niet veel, maar het gebeurd wel. En dat was even een snelle search, ik heb niet de moeite genomen al die changelogs e.d. door te spitten.

Het komt gewoon voor, er van uit gaan dat het allemaal wel goed zit is juist fout in security :)

Ik wou verder niet brengen alsof Linux onveilig is of niet, naar mijn idee doet het het beter dan de NT kernel. (Al scheelt het weinig)

Maar ik ga er wel van uit dat de Amerikaanse NSA, Russiche of Chinese staatshackers, wel een zero day of 2 op de plank hebben liggen voor zowel Linux als Windows, OSX of BSD.

Je hebt verder volledig gelijk dat het overgrote deel van de exploits in userspace zit. Die code krijgt vaak ook wat minder aandacht als code van een kernel, buiten dat, is een kernel miniskuul klein vergeleken met de meuk in user space :P
Ik vrees toch dat zelfs deze update vele toestellen niet zal bereiken vanwege de slechte update procedures. Ik hoop echt ten zeerste dat hier meer aandacht aan gevestigd gaat worden en dat er voor een betere aanpak gekozen wordt.

Verder mooi dat deze onderzoekers hier werk van maken.
Google zou al jaren bezig zijn met beter security, maar het lijkt haast wel alsof dit soort sireuze lekken steeds sneller voor komen. Het is natuurlijk niet verwonderlijk dat steeds meer naar exploits op mobiel toestellen wordt gezocht aangezien het om heel veel devices gaat, en steeds meer gebruikers alleen via hun mobiel zaken doen ipv een laptop desktop.
En daarbij komt nog dat veel mensen hun mobiel niet zien als een beveiligingslek, of geen noodzaak zien om updates te installeren.
En wat ook nog meespeelt dat mensen niet updaten (apps/OS) omdat er te weinig opslag capaciteit is op het toestel.
Wel opmerkelijk om te zien dat er dan 15 stuks van de Nexus 5 ter beschikking waren voor dit onderzoek.
In totaal testten de wetenschappers vijftien modellen van de Nexus 5, waarbij bleek dat twaalf vatbaar waren voor de Drammer-aanval. Het is niet duidelijk waardoor dit komt.
Ik neem aan dat ze gekeken hebben of het geheugen het zelfde is?

Mogelijk een andere RAM geheugen stepping (ontwerp). Andere setting van de geheugen toegang (CL,Frequentie). Daarom ook handig te zien wanneer de toestellen precies geproduceerd zijn en of ze precies het zelfde zijn. Een Nexus 5 van jaar x maand y hoeft niet precies gelijk te zijn aan één van jaar a en maand b. Fabrikanten voeren wel vaker tussentijdse wijzigingen door waardoor het toestel beter wordt of goedkoper te produceren wordt of dat een onderdeel niet meer exact het zelfde is omdat dit een andere stepping heeft of zelfs een heel andere fabrinakant met op papier de zelfde specificaties.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True