Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen

Onderzoekers van het beveiligingsbedrijf AnubisNetworks hebben software van het Chinese bedrijf Ragentek op minstens 2,8 miljoen Android-toestellen gevonden, waarmee kwaadwillenden op afstand willekeurige code kunnen uitvoeren. Het gaat voornamelijk om toestellen van BLU.

De onderzoekers schrijven dat dit komt door een onveilige implementatie van een ota-mechanisme, waardoor het updateproces via een onbeveiligde internetverbinding verloopt. De kwetsbare toestellen proberen bovendien verbinding te maken met drie verschillende domeinen, waarvan er maar één domein is geregistreerd. Door zelf de overige twee domeinen te registreren, kregen de onderzoekers inzicht in het aantal getroffen toestellen. Zij schrijven dat een willekeurige kwaadwillende partij hetzelfde had kunnen doen en daardoor volledige toegang zou hebben tot de toestellen. Doordat het updateproces onbeveiligd is, zijn de toestellen nog steeds kwetsbaar voor man-in-the-middle-aanvallen.

In de blogpost identificeert het beveiligingsbedrijf in totaal 55 verschillende getroffen toestellen. Daarvan zijn 26,3 procent van de fabrikant BLU. Andere getroffen merken zijn Infinix, Doogee, Leagoo en Xolo. Er is een lijst met meer details over de getroffen toestellen beschikbaar. De onderzoekers zeiden tegen Ars Technica dat de meeste gebruikers van deze toestellen uit de Verenigde Staten komen. Dit stelden zij vast aan de hand van het verkeer naar de geregistreerde domeinen. De toestellen zouden over de hele wereld in gebruik zijn.

Zij voegen daaraan toe dat de software van Ragentek 'veel moeite doet' om zichzelf te verbergen en dat de software is aangepast om het te doen voorkomen alsof deze niet bestaat. Toch gaan zij er niet van uit dat het om een opzettelijk ontwikkelde rootkit gaat, maar om een legitiem updateproces. Zij hebben geen contact kunnen leggen met Ragentek of andere fabrikanten. Fabrikant BLU is de enige die tot dusver met een patch wil komen, blijkt uit de informatie op cert.org.

De onderzoekers benadrukken dat hun bevindingen losstaan van een soortgelijke ontdekking, waarover de New York Times deze week berichtte. Het beveiligingsbedrijf Kryptowire had vastgesteld dat er op toestellen van fabrikant BLU software van het Chinese bedrijf Adups Technology aanwezig is. Deze stuurde gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers van derden. De Chinese onderneming kwam later met een verklaring, waarin het stelde dat de gegevens werden verzameld om de juiste updates naar de toestellen te sturen en spam tegen te gaan.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-11-2016 21:2057

18-11-2016 • 21:20

57 Linkedin

Lees meer

Security-onderzoekers vinden out-of-the-boxkwetsbaarheden bij 29 Android-merken Nieuws van 17 november 2019
Amerikaanse smartphonemaker Blu schikt met FTC over dataverzameling op telefoons Nieuws van 1 mei 2018
Onderzoekers vinden kwaadaardige advertentie-sdk in 500 Play Store-apps Nieuws van 23 augustus 2017
Amazon staat verkoop van Blu-smartphones weer toe na privacyzorgen Nieuws van 7 augustus 2017
Nederlandse ontwikkelaar schrijft 'rootkit' in de vorm van php-module Nieuws van 16 juni 2017
Lid van groep achter Linux-rootkit Ebury bekent schuld Nieuws van 29 maart 2017
Senatoren vragen opheldering over veiligheid smartphone president Trump Nieuws van 14 februari 2017
Google-initiatief uit 2014 verhelpt beveiligingsproblemen bij 275.000 apps Nieuws van 20 januari 2017
'Software die data verzamelt, aanwezig in Android-toestellen van 43 fabrikanten' Nieuws van 16 december 2016
Beveiligingsonderzoekers gebruiken Dirty COW-lek voor roottoegang op Android Nieuws van 25 oktober 2016
Drammer-exploit geeft roottoegang op Android-toestellen door aanval op geheugen Nieuws van 24 oktober 2016
'Nalatigheid Foxconn leidt tot aanwezigheid backdoor in twee Android-toestellen' Nieuws van 14 oktober 2016
Europol: veel mobiele malware net zo geavanceerd als pc-malware Nieuws van 28 september 2016
Google patcht laatste Quadrooter-lekken in Android Nieuws van 7 september 2016
Linux-bug maakt veel Android-toestellen kwetsbaar Nieuws van 16 augustus 2016
Google: overgrote deel van Android-toestellen is veilig voor Quadrooter-lekken Nieuws van 10 augustus 2016
Meer producten en artikelen
Netwerk en systeembeheer Google Android Security

Reacties (57)

-Moderatie-faq
57
51
17
1
0
13
Wijzig sortering
icegodd
18 november 2016 21:38
vandaag: Beveiligingsexpert Google: 'antivirussoftware is vrijwel nutteloos'
https://nl.hardware.info/...ware-is-vrijwel-nutteloos

(rootkit en antivirussoftware. ik weet het niet zeker)
Anoniem: 426269
@icegodd20 november 2016 00:54
Die man slaat de spijker op zijn kop.

En die antivirusprogramma's lopen inderdaad per definitie altijd achter de feiten aan. Want ze moeten eerst het virus of andere zooi herkennen voordat het verwijderd kan worden. Ik vraag me af hoevel % er nog niet gededecteerd is en hoeveel % van de computers spyware/virus bevat zonder dat iemand het weet, ook al hebben die mensen een antivirus/antispyware programma draaien, of niet.
BeosBeing
@Anoniem: 42626920 november 2016 18:46
Ik vraag me af hoevel % er nog niet gededecteerd is en hoeveel % van de computers spyware/virus bevat zonder dat iemand het weet, ook al hebben die mensen een antivirus/antispyware programma draaien, of niet.
Ik meen me te herineren ooit eens ergens gelezen te hebben dat het gemiddelde virus 2 weken lang op een PC staat voordat het daar gedetecteerd wordt. (ik weet echter niet meer waar ik het gelezen heb)

AV loopt altijd achter de feitem aan. Alleen heuristisch scannen werkt, en bovenal, voorkomen dat een virus toegang krijgt. Dat laatste kan met de botte bijl, bv via een aangepaste hosts.txt of zoiets als spywareblaster in combinatie met een een browser bekende malafide advertenties en sites blokkeert.
champoo
@icegodd18 november 2016 23:39
Ja, let wel: antivirus op *android* toestellen is in de meeste gevallen overbodig.
Niet op je gewone PC.
De reden is dat veruit de meeste apps via de google app store worden geïnstalleerd, die al gechecked zijn en door antivirus software heen zijn gehaald.

Voor degene die apps via 'other sources' installeren, is het wel verstandig een antivirus programma op je android toestel te installeren.
sygys
@champoo19 november 2016 10:41
Op pc is een antivirus in de meeste gevallen ook nutteloos. De virussen gaan in zo'n rap tempo dat ze toch altijd achter het net vissen.
PostHEX
@sygys19 november 2016 22:11
Dat komt omdat anti-virus (anti-malware) veelal signature based is; de toekomst ligt in signatureless detectie/preventie. Bijvoorbeeld Malwarebytes is in bèta met een product genaamd Malwarebytes Anti-Ransomware signatureless gebaseerd is.
aval0ne
@champoo20 november 2016 02:06
Denk je nu echt dat enkel via apps virussen kan oplopen?
Tjolk
@aval0ne20 november 2016 13:45
Dat zeker niet. Echter: een virusscanner is ook maar een app. Een die in zijn eigen sandbox draait. Daardoor kan die virusscanner maar weinig uitrichten tegen echte malware. Het kan hooguit wat losse bestanden opruimen maar geen apps scannen of verwijderen.
ArtGod
@icegodd20 november 2016 08:50
Ja, als de fabrikant al een rootkit op je mobieltje zet dan sta je eigenlijk machteloos.

Het was zelfs zo dat ze de 'ps' en 'top' commando's hadden aangepast om hun eigen malware weg te filteren uit de lijst. Dat is klassiek gedrag van een rootkit.
Musqueteer
@icegodd22 november 2016 09:51
helemaal mee eens.

op dat punt zag ik vorig jaar in een aankondiging, waar ik het helemaal mee eens ben, voor windows 10 dat windows 10 standaard software niet vertrouwd.

Dus standaard is alle software niet vertrouwd en zal het niet draaien.
Laat een software leverancier maar middels "certificaten voor software signing" bewijzen dat 'zijn' software 'goed' is.

NB: erop vertrouwende dat CA's geen ongein uithalen zoals Diginotar en WoSign... ;)
Chocoball
18 november 2016 22:10
Volgens het lijstje is de Doogee Voyager 2 DG310 kwetsbaar, alleen is dit toetstel uit 2014. Hoe groot is de kans dat mensen deze nog na 2 jaar gebruiken. Had dan wel recentere modellen verwacht?

Edit: Ik onderschat het gevaar niet maar vraag me af of dit dan ook op recentere modellen terug te vinden is dan 1 model van 2 jaar geleden.

[Reactie gewijzigd door Chocoball op 18 november 2016 23:13]

Arokh
@Chocoball19 november 2016 09:08
Als hij 2 jaar terug uitkwam wil niet zeggen dat hij dit jaar wellicht nog verkocht wordt. En veel mensen doen minstens 2 jaar met een toestel. En vergeet dan ook nog de tweedehandsmarkt niet.
SuperDre
@Chocoball19 november 2016 17:16
Dus jij koopt elk(e 2) jaar een nieuwe telefoon? Ik heb een nexus 5, die is inmiddels al 3 jaar oud, en werkt nog perfect, niet traag, goed scherm en er is IMHO nog steeds geen nieuwe smartphone die er zo mooi uit ziet (geen onnodige knoppen, een rubberized achterkant en zwart).
Coffee
@SuperDre20 november 2016 13:17
Iedereen heeft een ander koop-patroon wat betreft smartphone's. De een koopt om de drie jaar, de ander koopt wanneer die stuk gaat. En dan heb je mensen die elke 9 maanden een nieuwe aanschaffen, waar ik er een van ben.

De een koopt een dure (900 euro) telefoon, de ander een goedkope (300-400).
djwice
@Chocoball19 november 2016 18:16
Ik heb een recentere DooGee, na 1 maand zijn de updates gestopt, hij blijkt kwetsbaar voor bijna alles wat bekend is, en er blijkt ook een active rootkit op te zitten.

Contact met fabrikant hierover blijft onbeantwoord.

Oorspronkelijk stond er bovendien een keyboard op dat alles dat werd ingetypt doorstuurde naar ern externe server en zo nu en dan kreeg ik push notificaties voor andere chinse apps via dat keyboard.

[Reactie gewijzigd door djwice op 19 november 2016 18:18]

bilgy_no1
18 november 2016 21:46
Nou, dat gaat lekker bij BLU. Ik las in het artikel van de NY Times (of Ars Technica) van de week dat ze de grootste verkoper van unlocked toestellen zijn in de VS. Dan is dit wel een klap.

Ik hoop maar dat fabrikanten steeds meer gechallenged worden op de security en privacy van hun producten. Gezien de grote hoeveelheid gevoelige informatie die door je mobiel gaat, en het feit dat je hem altijd meedraagt en dus op allerlei onbeschermde netwerken kunt komen, mag dat best wat meer nadruk krijgen in de reviews. Zou een apart score onderdeel moeten zijn van iedere review eigenlijk, naast zaken als milieu impact en updatebeleid. Jammer dat hier nooit op wordt ingegaan.

Daarnaast zou ik ook
andreetje
19 november 2016 09:19
Deze stuurde gevoelige gegevens, waaronder contacten, sms-berichten en de gespreksgeschiedenis, naar servers van derden.
Chinese onderneming kwam later met een verklaring, waarin het stelde dat de gegevens werden verzameld om de juiste updates naar de toestellen te sturen en spam tegen te gaan.
Dit is gewoon crimineel gedrag. De privacy van de gebruiker wordt met voeten getreden.
Jism
18 november 2016 21:41
Apps moeten gewoon geen toegang krijgen tot core-kritieke processen of hoe dan ook. Update, prima, maar dan wel via de bekende (App) kanalen en niet via een externe service.

Een telefoon moet standaard alles op gesandboxed worden wil je dat het veilig is. Ook hier wordt vaak slecht tot geen audit gedaan naar security op apps in telefoons.

Probleem is ook google, dat op het begin vooral vrij kleine drempels had met name toegang tot de appstore.
Dreamvoid
@Jism20 november 2016 08:16
Dat probeert iedereen ook wel, maar die sandboxing is ook niet waterdicht.
cdwave
@Jism20 november 2016 20:17
Enige veilig methode is beschikken over de broncode. Liefst zelf compileren, en zelf op de telefoon plaatsen. Sanbox gezooi is dan niet nodig, als ik alle broncode van alle processen kan inzien en bewerken, kan ik ook alle lekken dichten, alle problemen verhelpen en alle malware opsporen en volledig verwijderen door simpelweg de hele telefoon opnieuw te flashen. Ik, natuurlijk niet in mijn eentje, maar met een community van open-source ontwikkelaars. Win-win voor de fabrikanten ook, hoeven zijn geen software meer te beheren, dat doe ik liever zelf, net als op mijn PC.
icratox
@Jism18 november 2016 21:48
Probleem in dit geval is dat het software is die zeer waarschijnlijk vanuit de Fabrikant geïnstalleerd is, of waarschijnlijk ergens in het productieproces. Dit maakt het hele probleem zo bizar. De toestellen zijn bij voorbaat al zo lek als een zeef.
memphis
@icratox18 november 2016 21:52
Chinese toestellen op vooral de Amerikaanse markt. Zo'n toestel hoeft maar door een hoge pief van een bedrijf of regering gebruikt te worden en het is bingo!
Armin
@memphis19 november 2016 00:31
Nu zijn BLUE toestellen wel behoorlijk low budget, maar toch inderdaad.

Overigens is al redelijk duidelijk dat het per ongeluk was. Het bedrijf BLUE doet er weinig geheimzinnig op. In China is het de normaalste zaak van de wereld om alles en nog wat naar servers te sturen. Voor de overheid, maar ook customer support, etc. Ook onversleuteld is geen enkel probleem. De claim was dat het voor customer support en telemetry is. In Chian is dit volstrekt normaal en geeft geen enkele ophef.

Het was echter uiteraard niet de bedoeling dat deze software op de Amerikaanse variant zou komen.

Ik geloof BLU in deze, en dat komt ook overeen met de mening van de onderzoekers die het lek vonden, maar uiteraard moet iedereen het zijne ervan vinden.
oks
@Armin19 november 2016 04:53
Dus ik begrijp van je dat een fabrikant opeens zomaar geld heeft rondslingeren om op een toestel wat op messcherpe marges moet draaien nog wat software te ontwikkelen. En dat dat van alle keuzen die kunt maken bij het beheren van je resrouces opeens 'per ongeluk' wat software moet zijn wat nog werkt ook en dat toevallig een rootkit is... Jij gelooft dat....
Arokh
@oks19 november 2016 09:05
Dat zegt hij niet.

Het had juist extra gekost om het eraf te halen.
Arokh
@Jism19 november 2016 09:06
Waarom bij een laptop wel zelf installeren en bij een mobiel device accepteren dat het OS je door de strot geduwd wordt?

En moet je eens kijken hoeveel troep apple en android meeleveren die niet nodig zijn.
SuperDre
@Jism19 november 2016 17:11
Wat een onzin, iOS komt met minstens zoveel voorgeinstalleerde 'troep' als android of windows... Hoezo hypocriet...
ToolBee
@Jism18 november 2016 22:48
Ben altijd huiverig geweest voor die goedkope chinese toestellen want voor je het weet ben je een back-door naar china... En presto!
Het blijft een "vijand van het westen en vooral de amerikaanse imperialisten"!

De wapenwedloop die hier bijhoort gaat ook op cyber-vlak gewoon door. We kunnen denk ik wel stellen dat "onze vijanden" er beter in bedreven zijn dan wij westerlingen.

En dan kopen we en masse hun producten die onze eigen industrie dood-concurreren...
Die chinees maar lachen!

ps. Appletjes worden ook in China gemaakt
ChAiNsAwII
@ToolBee19 november 2016 00:16
Vijand van het westen? Kan me niet herinneren dat china een land heeft aangevallen in het westen..
ToolBee
@ChAiNsAwII19 november 2016 01:45
Lees je geschiedenisboekjes nog eens goed door... ;)
Taiwan/Taipei ring a bell?..
Hong Kong is al geschrokken...
Annexatie van Tibet?...

[Reactie gewijzigd door ToolBee op 19 november 2016 01:45]

HerrPino
@ToolBee19 november 2016 08:32
En die landen liggen in het westen? Als je ieder land dat ooit oorlog heeft gevoerd tot je vijand moet bestempelen hou je als land weinig vrienden over.
Zapato
@ToolBee19 november 2016 08:53
Taiwan is het overgebleven gebied van Chiang Kai-shek na de strijd tussen nationalisten en communisten die ontstond na de val van Japan. Beide zien zichzelf als het echte China en de ander als afvallig, Tot 1971 had Taiwan zitting in de Veiligheidsraad als vertegenwoordiger van China. Taiwan is dus ook China.
TimothyW
@Jism19 november 2016 00:35
Serieus?
Ik ben geen kenner, ik pak google, tik in: 'IOS lek'
...ik ben erg tevreden met mijn Symbian toestel...
loki504
@TimothyW19 november 2016 07:16
Maar 9/10 keer word het lek gedicht voor al hun telefoons. Iets wat Google 9/10 keer ook doet. Alleen fabrikanten het niet overnemen. Dus kom je op een OS uit wat zo lek als een mandje is.

Maar ook iPhones hebben. Voor geïnstalleerde apps.

[Reactie gewijzigd door loki504 op 19 november 2016 07:17]

NLKornolio
@loki50419 november 2016 13:34
Met zo'n groot marktaandeel mag je verwachten dat ze hier zelf wat aan doen aangezien het gat in de software zit niet in de hardware. Een gedegen update proces kan je niet neerleggen bij een derde.
Dreamvoid
@TimothyW20 november 2016 08:18
Symbian wordt al jaren niet meer ontwikkeld, als er iets onveilig is op het web van nu is het wel een antieke browser
TimothyW
@Dreamvoid20 november 2016 23:26
Pardon, ik vergat het sarcasme dingetje erbij te zetten...
Leek me redelijk logisch dat ik het cynisch bedoelde.

Maar om daar even op door te gaan op je stelling:
Ik vind van niet. Je hebt het over de browser, maar het ging over een OS. Hoe dan ook, als we dan even de browser erbij pakken.. Die is dus als browser nauwelijks in gebruik anno 2016. Dat zou dus ook kunnen betekenen dat het niet eens zo onveilig is als het lijkt in je ogen. Er is geen hond die gaten gaat misbruiken van een antieke niet gebruikte browser, of OS.

Alle gekheid op den stok, het was maar een geintje. Ik heb heus een N8 liggen in de auto, die gebruik ik als FM transmitter. Maar voor het dagelijks gebruik, gebruik ik een Android toestel zonder rootkit.
KaasDoosNL
18 november 2016 21:41
Hier een linkje naar hun (AnubisNetworks) blog met technische informatie ;)
http://blog.anubisnetwork...vulnerable-to-mitm-attack
-edit: Goedemorgen

[Reactie gewijzigd door KaasDoosNL op 18 november 2016 21:45]

BikkelZ
18 november 2016 21:44
Je mag er eigenlijk van uit gaan dat als je een Android telefoon koopt je hem vanaf dag 1 compleet in eigen beheer moet nemen inclusief een complete wipe van de schijf, en dan nog hopen dat er geen rotzooi achter blijft.

CyanogenMod en zelf updaten. Heb je daar geen zin in? Hooguit een Pixel of Nexus zo lang ze ondersteund worden.
darknessblade
18 november 2016 21:49
enigste merk wat ik ken is DOGEE.
alleen omdat deze in mijn top 5 keuze lijst stond toen ik een chinaphone wilde kopen.
(heb een jiayu s3a)
sjaak-IV
19 november 2016 07:41
http://webwereld.nl/secur...edenis-naar-apple-servers
aval0ne
@sjaak-IV20 november 2016 02:11
En dus? Wat is je punt?
mbbs1024
19 november 2016 16:02
Waarom zo een ophef, Google en de amerikaanse overheid verzamelt al jaaaaren ongelooflijk veel informatie en daar kraait blijkbaar geen haan naar.
Je kan bvb op je google account zien wanneer je welke app opgestart hebt,
als je gps opstaat, kan je maanden terugkijken waar je overal geweest bent,
en wie weet wat ze nog allemaal verzamelen.

Bovendien tapt de amerikaanse overheid massaal buitenlandse communicatielijnen af,
en schrikt er niet voor terug om telecom operatoren te hacken (bvb Proximus in België)
om via hen afrikaanse telecom verbindingen af te luisteren.
En dan worden de amerikanen als onze vrienden beschouwd, en is china de vijand, dat is toch wel een wat eenzijdige zienswijze.
aval0ne
@mbbs102420 november 2016 02:12
Google verzamelt data maar geeft of verkoopt deze data niet door. Toch een belangrijke nuance.
moreasy
@aval0ne20 november 2016 10:03
Overigens simpelweg omdat ze zelf de echte waarde van de verzamelde data inzien, in tegenstelling tot de consument...., en omdat Google zo groot is dat het altijd wel een werkmaatschappij tot haar beschikking heeft die de data nu of in de toekomst op juiste wijze kan 'inzetten'.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee