Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen

Onderzoekers van het beveiligingsbedrijf AnubisNetworks hebben software van het Chinese bedrijf Ragentek op minstens 2,8 miljoen Android-toestellen gevonden, waarmee kwaadwillenden op afstand willekeurige code kunnen uitvoeren. Het gaat voornamelijk om toestellen van BLU.

De onderzoekers schrijven dat dit komt door een onveilige implementatie van een ota-mechanisme, waardoor het updateproces via een onbeveiligde internetverbinding verloopt. De kwetsbare toestellen proberen bovendien verbinding te maken met drie verschillende domeinen, waarvan er maar één domein is geregistreerd. Door zelf de overige twee domeinen te registreren, kregen de onderzoekers inzicht in het aantal getroffen toestellen. Zij schrijven dat een willekeurige kwaadwillende partij hetzelfde had kunnen doen en daardoor volledige toegang zou hebben tot de toestellen. Doordat het updateproces onbeveiligd is, zijn de toestellen nog steeds kwetsbaar voor man-in-the-middle-aanvallen.

In de blogpost identificeert het beveiligingsbedrijf in totaal 55 verschillende getroffen toestellen. Daarvan zijn 26,3 procent van de fabrikant BLU. Andere getroffen merken zijn Infinix, Doogee, Leagoo en Xolo. Er is een lijst met meer details over de getroffen toestellen beschikbaar. De onderzoekers zeiden tegen Ars Technica dat de meeste gebruikers van deze toestellen uit de Verenigde Staten komen. Dit stelden zij vast aan de hand van het verkeer naar de geregistreerde domeinen. De toestellen zouden over de hele wereld in gebruik zijn.

Zij voegen daaraan toe dat de software van Ragentek 'veel moeite doet' om zichzelf te verbergen en dat de software is aangepast om het te doen voorkomen alsof deze niet bestaat. Toch gaan zij er niet van uit dat het om een opzettelijk ontwikkelde rootkit gaat, maar om een legitiem updateproces. Zij hebben geen contact kunnen leggen met Ragentek of andere fabrikanten. Fabrikant BLU is de enige die tot dusver met een patch wil komen, blijkt uit de informatie op cert.org.

De onderzoekers benadrukken dat hun bevindingen losstaan van een soortgelijke ontdekking, waarover de New York Times deze week berichtte. Het beveiligingsbedrijf Kryptowire had vastgesteld dat er op toestellen van fabrikant BLU software van het Chinese bedrijf Adups Technology aanwezig is. Deze stuurde gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers van derden. De Chinese onderneming kwam later met een verklaring, waarin het stelde dat de gegevens werden verzameld om de juiste updates naar de toestellen te sturen en spam tegen te gaan.

Door Sander van Voorst

Nieuwsredacteur

18-11-2016 • 21:20

57

Lees meer

Reacties (57)

57
51
17
1
0
13
Wijzig sortering
vandaag: Beveiligingsexpert Google: 'antivirussoftware is vrijwel nutteloos'
https://nl.hardware.info/...ware-is-vrijwel-nutteloos

(rootkit en antivirussoftware. ik weet het niet zeker)
Anoniem: 426269 @icegodd20 november 2016 00:54
Die man slaat de spijker op zijn kop.

En die antivirusprogramma's lopen inderdaad per definitie altijd achter de feiten aan. Want ze moeten eerst het virus of andere zooi herkennen voordat het verwijderd kan worden. Ik vraag me af hoevel % er nog niet gededecteerd is en hoeveel % van de computers spyware/virus bevat zonder dat iemand het weet, ook al hebben die mensen een antivirus/antispyware programma draaien, of niet.
Ik vraag me af hoevel % er nog niet gededecteerd is en hoeveel % van de computers spyware/virus bevat zonder dat iemand het weet, ook al hebben die mensen een antivirus/antispyware programma draaien, of niet.
Ik meen me te herineren ooit eens ergens gelezen te hebben dat het gemiddelde virus 2 weken lang op een PC staat voordat het daar gedetecteerd wordt. (ik weet echter niet meer waar ik het gelezen heb)

AV loopt altijd achter de feitem aan. Alleen heuristisch scannen werkt, en bovenal, voorkomen dat een virus toegang krijgt. Dat laatste kan met de botte bijl, bv via een aangepaste hosts.txt of zoiets als spywareblaster in combinatie met een een browser bekende malafide advertenties en sites blokkeert.
Ja, let wel: antivirus op *android* toestellen is in de meeste gevallen overbodig.
Niet op je gewone PC.
De reden is dat veruit de meeste apps via de google app store worden geïnstalleerd, die al gechecked zijn en door antivirus software heen zijn gehaald.

Voor degene die apps via 'other sources' installeren, is het wel verstandig een antivirus programma op je android toestel te installeren.
Op pc is een antivirus in de meeste gevallen ook nutteloos. De virussen gaan in zo'n rap tempo dat ze toch altijd achter het net vissen.
Dat komt omdat anti-virus (anti-malware) veelal signature based is; de toekomst ligt in signatureless detectie/preventie. Bijvoorbeeld Malwarebytes is in bèta met een product genaamd Malwarebytes Anti-Ransomware signatureless gebaseerd is.
Denk je nu echt dat enkel via apps virussen kan oplopen?
Dat zeker niet. Echter: een virusscanner is ook maar een app. Een die in zijn eigen sandbox draait. Daardoor kan die virusscanner maar weinig uitrichten tegen echte malware. Het kan hooguit wat losse bestanden opruimen maar geen apps scannen of verwijderen.
Anoniem: 636203 @icegodd20 november 2016 08:50
Ja, als de fabrikant al een rootkit op je mobieltje zet dan sta je eigenlijk machteloos.

Het was zelfs zo dat ze de 'ps' en 'top' commando's hadden aangepast om hun eigen malware weg te filteren uit de lijst. Dat is klassiek gedrag van een rootkit.
helemaal mee eens.

op dat punt zag ik vorig jaar in een aankondiging, waar ik het helemaal mee eens ben, voor windows 10 dat windows 10 standaard software niet vertrouwd.

Dus standaard is alle software niet vertrouwd en zal het niet draaien.
Laat een software leverancier maar middels "certificaten voor software signing" bewijzen dat 'zijn' software 'goed' is.

NB: erop vertrouwende dat CA's geen ongein uithalen zoals Diginotar en WoSign... ;)
Volgens het lijstje is de Doogee Voyager 2 DG310 kwetsbaar, alleen is dit toetstel uit 2014. Hoe groot is de kans dat mensen deze nog na 2 jaar gebruiken. Had dan wel recentere modellen verwacht?

Edit: Ik onderschat het gevaar niet maar vraag me af of dit dan ook op recentere modellen terug te vinden is dan 1 model van 2 jaar geleden.

[Reactie gewijzigd door Chocoball op 24 juli 2024 09:41]

Als hij 2 jaar terug uitkwam wil niet zeggen dat hij dit jaar wellicht nog verkocht wordt. En veel mensen doen minstens 2 jaar met een toestel. En vergeet dan ook nog de tweedehandsmarkt niet.
Dus jij koopt elk(e 2) jaar een nieuwe telefoon? Ik heb een nexus 5, die is inmiddels al 3 jaar oud, en werkt nog perfect, niet traag, goed scherm en er is IMHO nog steeds geen nieuwe smartphone die er zo mooi uit ziet (geen onnodige knoppen, een rubberized achterkant en zwart).
Iedereen heeft een ander koop-patroon wat betreft smartphone's. De een koopt om de drie jaar, de ander koopt wanneer die stuk gaat. En dan heb je mensen die elke 9 maanden een nieuwe aanschaffen, waar ik er een van ben.

De een koopt een dure (900 euro) telefoon, de ander een goedkope (300-400).
Ik heb een recentere DooGee, na 1 maand zijn de updates gestopt, hij blijkt kwetsbaar voor bijna alles wat bekend is, en er blijkt ook een active rootkit op te zitten.

Contact met fabrikant hierover blijft onbeantwoord.

Oorspronkelijk stond er bovendien een keyboard op dat alles dat werd ingetypt doorstuurde naar ern externe server en zo nu en dan kreeg ik push notificaties voor andere chinse apps via dat keyboard.

[Reactie gewijzigd door djwice op 23 juli 2024 08:07]

Nou, dat gaat lekker bij BLU. Ik las in het artikel van de NY Times (of Ars Technica) van de week dat ze de grootste verkoper van unlocked toestellen zijn in de VS. Dan is dit wel een klap.

Ik hoop maar dat fabrikanten steeds meer gechallenged worden op de security en privacy van hun producten. Gezien de grote hoeveelheid gevoelige informatie die door je mobiel gaat, en het feit dat je hem altijd meedraagt en dus op allerlei onbeschermde netwerken kunt komen, mag dat best wat meer nadruk krijgen in de reviews. Zou een apart score onderdeel moeten zijn van iedere review eigenlijk, naast zaken als milieu impact en updatebeleid. Jammer dat hier nooit op wordt ingegaan.

Daarnaast zou ik ook
Deze stuurde gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers van derden.
Chinese onderneming kwam later met een verklaring, waarin het stelde dat de gegevens werden verzameld om de juiste updates naar de toestellen te sturen en spam tegen te gaan.
Dit is gewoon crimineel gedrag. De privacy van de gebruiker wordt met voeten getreden.
Apps moeten gewoon geen toegang krijgen tot core-kritieke processen of hoe dan ook. Update, prima, maar dan wel via de bekende (App) kanalen en niet via een externe service.

Een telefoon moet standaard alles op gesandboxed worden wil je dat het veilig is. Ook hier wordt vaak slecht tot geen audit gedaan naar security op apps in telefoons.

Probleem is ook google, dat op het begin vooral vrij kleine drempels had met name toegang tot de appstore.
Dat probeert iedereen ook wel, maar die sandboxing is ook niet waterdicht.
Enige veilig methode is beschikken over de broncode. Liefst zelf compileren, en zelf op de telefoon plaatsen. Sanbox gezooi is dan niet nodig, als ik alle broncode van alle processen kan inzien en bewerken, kan ik ook alle lekken dichten, alle problemen verhelpen en alle malware opsporen en volledig verwijderen door simpelweg de hele telefoon opnieuw te flashen. Ik, natuurlijk niet in mijn eentje, maar met een community van open-source ontwikkelaars. Win-win voor de fabrikanten ook, hoeven zijn geen software meer te beheren, dat doe ik liever zelf, net als op mijn PC.
Probleem in dit geval is dat het software is die zeer waarschijnlijk vanuit de Fabrikant geïnstalleerd is, of waarschijnlijk ergens in het productieproces. Dit maakt het hele probleem zo bizar. De toestellen zijn bij voorbaat al zo lek als een zeef.
Chinese toestellen op vooral de Amerikaanse markt. Zo'n toestel hoeft maar door een hoge pief van een bedrijf of regering gebruikt te worden en het is bingo!
Nu zijn BLUE toestellen wel behoorlijk low budget, maar toch inderdaad.

Overigens is al redelijk duidelijk dat het per ongeluk was. Het bedrijf BLUE doet er weinig geheimzinnig op. In China is het de normaalste zaak van de wereld om alles en nog wat naar servers te sturen. Voor de overheid, maar ook customer support, etc. Ook onversleuteld is geen enkel probleem. De claim was dat het voor customer support en telemetry is. In Chian is dit volstrekt normaal en geeft geen enkele ophef.

Het was echter uiteraard niet de bedoeling dat deze software op de Amerikaanse variant zou komen.

Ik geloof BLU in deze, en dat komt ook overeen met de mening van de onderzoekers die het lek vonden, maar uiteraard moet iedereen het zijne ervan vinden.
Dus ik begrijp van je dat een fabrikant opeens zomaar geld heeft rondslingeren om op een toestel wat op messcherpe marges moet draaien nog wat software te ontwikkelen. En dat dat van alle keuzen die kunt maken bij het beheren van je resrouces opeens 'per ongeluk' wat software moet zijn wat nog werkt ook en dat toevallig een rootkit is... Jij gelooft dat....
Dat zegt hij niet.

Het had juist extra gekost om het eraf te halen.
Waarom bij een laptop wel zelf installeren en bij een mobiel device accepteren dat het OS je door de strot geduwd wordt?

En moet je eens kijken hoeveel troep apple en android meeleveren die niet nodig zijn.
Wat een onzin, iOS komt met minstens zoveel voorgeinstalleerde 'troep' als android of windows... Hoezo hypocriet...
Ben altijd huiverig geweest voor die goedkope chinese toestellen want voor je het weet ben je een back-door naar china... En presto!
Het blijft een "vijand van het westen en vooral de amerikaanse imperialisten"!

De wapenwedloop die hier bijhoort gaat ook op cyber-vlak gewoon door. We kunnen denk ik wel stellen dat "onze vijanden" er beter in bedreven zijn dan wij westerlingen.

En dan kopen we en masse hun producten die onze eigen industrie dood-concurreren...
Die chinees maar lachen!

ps. Appletjes worden ook in China gemaakt
Vijand van het westen? Kan me niet herinneren dat china een land heeft aangevallen in het westen..
Lees je geschiedenisboekjes nog eens goed door... ;)
Taiwan/Taipei ring a bell?..
Hong Kong is al geschrokken...
Annexatie van Tibet?...

[Reactie gewijzigd door ToolBee op 24 juli 2024 09:41]

En die landen liggen in het westen? Als je ieder land dat ooit oorlog heeft gevoerd tot je vijand moet bestempelen hou je als land weinig vrienden over.
Taiwan is het overgebleven gebied van Chiang Kai-shek na de strijd tussen nationalisten en communisten die ontstond na de val van Japan. Beide zien zichzelf als het echte China en de ander als afvallig, Tot 1971 had Taiwan zitting in de Veiligheidsraad als vertegenwoordiger van China. Taiwan is dus ook China.
Serieus?
Ik ben geen kenner, ik pak google, tik in: 'IOS lek'
...ik ben erg tevreden met mijn Symbian toestel...
Maar 9/10 keer word het lek gedicht voor al hun telefoons. Iets wat Google 9/10 keer ook doet. Alleen fabrikanten het niet overnemen. Dus kom je op een OS uit wat zo lek als een mandje is.

Maar ook iPhones hebben. Voor geïnstalleerde apps.

[Reactie gewijzigd door loki504 op 24 juli 2024 09:41]

Met zo'n groot marktaandeel mag je verwachten dat ze hier zelf wat aan doen aangezien het gat in de software zit niet in de hardware. Een gedegen update proces kan je niet neerleggen bij een derde.
Symbian wordt al jaren niet meer ontwikkeld, als er iets onveilig is op het web van nu is het wel een antieke browser
Pardon, ik vergat het sarcasme dingetje erbij te zetten...
Leek me redelijk logisch dat ik het cynisch bedoelde.

Maar om daar even op door te gaan op je stelling:
Ik vind van niet. Je hebt het over de browser, maar het ging over een OS. Hoe dan ook, als we dan even de browser erbij pakken.. Die is dus als browser nauwelijks in gebruik anno 2016. Dat zou dus ook kunnen betekenen dat het niet eens zo onveilig is als het lijkt in je ogen. Er is geen hond die gaten gaat misbruiken van een antieke niet gebruikte browser, of OS.

Alle gekheid op den stok, het was maar een geintje. Ik heb heus een N8 liggen in de auto, die gebruik ik als FM transmitter. Maar voor het dagelijks gebruik, gebruik ik een Android toestel zonder rootkit.
Anoniem: 427499 18 november 2016 21:41
Hier een linkje naar hun (AnubisNetworks) blog met technische informatie ;)
http://blog.anubisnetwork...vulnerable-to-mitm-attack
-edit: Goedemorgen

[Reactie gewijzigd door Anoniem: 427499 op 24 juli 2024 09:41]

Je mag er eigenlijk van uit gaan dat als je een Android telefoon koopt je hem vanaf dag 1 compleet in eigen beheer moet nemen inclusief een complete wipe van de schijf, en dan nog hopen dat er geen rotzooi achter blijft.

CyanogenMod en zelf updaten. Heb je daar geen zin in? Hooguit een Pixel of Nexus zo lang ze ondersteund worden.
enigste merk wat ik ken is DOGEE.
alleen omdat deze in mijn top 5 keuze lijst stond toen ik een chinaphone wilde kopen.
(heb een jiayu s3a)
En dus? Wat is je punt?
Waarom zo een ophef, Google en de amerikaanse overheid verzamelt al jaaaaren ongelooflijk veel informatie en daar kraait blijkbaar geen haan naar.
Je kan bvb op je google account zien wanneer je welke app opgestart hebt,
als je gps opstaat, kan je maanden terugkijken waar je overal geweest bent,
en wie weet wat ze nog allemaal verzamelen.

Bovendien tapt de amerikaanse overheid massaal buitenlandse communicatielijnen af,
en schrikt er niet voor terug om telecom operatoren te hacken (bvb Proximus in België)
om via hen afrikaanse telecom verbindingen af te luisteren.
En dan worden de amerikanen als onze vrienden beschouwd, en is china de vijand, dat is toch wel een wat eenzijdige zienswijze.
Google verzamelt data maar geeft of verkoopt deze data niet door. Toch een belangrijke nuance.
Overigens simpelweg omdat ze zelf de echte waarde van de verzamelde data inzien, in tegenstelling tot de consument...., en omdat Google zo groot is dat het altijd wel een werkmaatschappij tot haar beschikking heeft die de data nu of in de toekomst op juiste wijze kan 'inzetten'.

Op dit item kan niet meer gereageerd worden.