Interview Karsten Nohl: Niemand hackt een Android-toestel via een enkel lek

Op de Hack in the Box-conferentie presenteerde onderzoeker Karsten Nohl samen met een collega zijn onderzoek naar ontbrekende patches op Android-toestellen. Tweakers sprak met Nohl, die stelt dat een ontbrekende patch niet meteen betekent dat je daadwerkelijk kwetsbaar bent.

“We kennen allemaal het Stagefright-lek, dat inmiddels tot een merknaam is geworden. Tot op de dag van vandaag heeft echter niemand kunnen aantonen dat daar ook daadwerkelijk een Android-toestel mee kan worden overgenomen. Er zijn dan ook maar heel weinig kwetsbaarheden waarbij alleen dat ene lek nodig is om op afstand een aanval uit te voeren.” Het enige lek waarmee dit volgens Nohl mogelijk is, staat bekend als ‘return to libstagefright’ en werd in 2016 na de originele Stagefright-kwetsbaarheid ontdekt. Tijdens zijn presentatie, die vrijdag in Amsterdam plaatsvond, stelde Nohl dat er normaal gesproken een combinatie van vier verschillende exploits nodig is om een Android-toestel op afstand over te nemen.

Met deze uitspraak lijkt hij afbreuk te doen aan het nut van zijn eigen onderzoek, waarin hij ontbrekende patches bij verschillende smartphonemakers identificeerde. De details daarvan kwamen in de afgelopen week al naar buiten. Over wat dit voor gemiddelde consumenten betekent, zegt Nohl: “De belangrijkste boodschap is dat er geen reden tot paniek is. Dat er patches ontbreken op Android-toestellen, betekent niet dat ze meteen openliggen voor hacks. De situatie is veel gecompliceerder, in feite zo gecompliceerd, dat criminelen wegblijven bij Android-hacks. Dat betekent overigens niet dat ze wegblijven bij Android. Het overnemen van Android-toestellen gebeurt tegenwoordig door gebruikers zover te krijgen om apps te installeren en ze vervolgens om bepaalde permissies te vragen.”

"Dat er patches ontbreken op Android-toestellen, betekent
niet dat ze meteen openliggen voor hacks"

“Dat zie ik niet als hacking; dat is social engineering en zolang dit zo effectief blijft, zal het niet nodig zijn om daadwerkelijk te hacken. In bepaalde gevallen, zoals bij staten, is er meer behoefte aan een onopvallende aanval. In dat soort gerichte aanvallen zie je wel hacks.” Op de vraag hoe de effectiviteit van social engineering te verminderen is, bijvoorbeeld door een partij als Google, antwoordt Nohl: “Het opvoeden van gebruikers werkt, je moet alleen niet beginnen door ze als idioten te behandelen, want dan luisteren ze niet. Ik denk dat ze, als ze eenmaal een hack hebben meegemaakt, wel zullen leren. Dus ik denk dat dit een situatie is die zichzelf oplost. Zodra het pijn doet, begint het leren.”

Hoe is dan de overtuiging ontstaan dat een ongepatcht lek meteen een risico met zich meebrengt? Volgens Nohl heeft dit ermee te maken dat gebruikers van besturingssystemen als Windows afkomen. “Android is niet zo homogeen als Windows, het is een stuk complexer. Als je bijvoorbeeld de onderliggende kwetsbaarheid van WannaCry bekijkt, EternalBlue, en die vergelijkt met Stagefright, heeft dat eerste lek voor miljarden euro’s schade aangericht, terwijl Stagefright niet eens werkt. Dus er zijn twee even bekende ‘merknamen’, maar mensen hoeven zich er niet in dezelfde mate zorgen over te maken.” Daarnaast zegt Nohl dat het overnemen van een Android-smartphone wordt bemoeilijkt door maatregelen als sandboxing en aslr.

Gevraagd naar de zaak van de Consumentenbond tegen Samsung, waarin Stagefright wordt gebruikt als bewijs dat ontbrekende patches een risico opleveren, zegt Nohl: “Het verkopen van een telefoon en dan bijvoorbeeld een jaar later stoppen met updates is een probleem, maar speelt meer op het gebied van consumentenrechten. Het is niet zozeer een beveiligingsprobleem. Dat Samsung zegt dat het geen patches meer installeert, is niet wenselijk, maar het is tenminste een eerlijke uitspraak. Je kunt bijvoorbeeld een goedkoop toestel voor YouTube gebruiken, maar je gaat er niet je gevoelige gegevens opzetten als de fabrikant een dergelijke uitspraak heeft gedaan. Wat mij betreft is het gevaarlijker als een fabrikant zegt dat bepaalde patches zijn toegepast, terwijl dat helemaal niet zo is, want gebruikers hebben een bepaalde veiligheidsverwachting.” Nohl ziet het nut van de rechtszaak wel in, omdat hij keuzevrijheid voor consumenten als belangrijk ziet en het goed is dat fabrikanten transparant zijn over hun beleid.

"Een rationeel bedrijf ziet dat gebruikers niet stoppen met vragen om maandelijkse beveiligingsupdates"

De volgende vraag aan de onderzoeker was waarom fabrikanten zouden liegen over hun patchniveau. “Als we het over een rationeel bedrijf hebben, dan ziet het dat gebruikers niet zullen stoppen met vragen om maandelijkse beveiligingsupdates. Een manier om aan die behoefte te voldoen, is gewoon het aanpassen van de datum van het patchniveau. In een omgeving waarin alleen naar die ene datum wordt gekeken, is dat een redelijke keuze. In de loop van ons onderzoek hadden we contact met verschillende fabrikanten, waardoor misschien duidelijk werd dat het niet meer voldoet om het op die manier aan te pakken.” Zo merkte Nohl tijdens zijn presentatie op dat een fabrikant bijvoorbeeld is begonnen met het daadwerkelijk doorvoeren van patches.

Het viel hem bovendien op dat het contact met de fabrikanten bijzonder goed verliep. “Ik heb zelden een respons gezien die zo constructief was.” Hij kon niet zeggen met welke fabrikanten hij in contact was geweest, omdat het 'om een vertrouwensrelatie gaat'. Andere onderwerpen waar Tweakers Nohl over sprak, waren Project Treble en custom roms. Nohl ziet Treble als een ‘geweldig idee’, omdat het voor fabrikanten op die manier makkelijker wordt om naar een volgende Android-versie te gaan. De onderzoeker vergeleek dit tijdens zijn presentatie met servicepacks van Windows, waarin elke patch tot dat moment is meegenomen. Hoewel Treble het volgens Nohl op de korte termijn moeilijker maakt om naar Android 8 over te gaan, is het effect op de lange termijn positief.

Op de vraag hoe de patches er op custom roms uitzagen, zei Nohl: “Custom roms hebben ook patchgaps en als we ze vergelijken met fabrikanten, scoren ze evenmin bijzonder goed.” Hij oppert dat dit ermee te maken kan hebben dat ontwikkelaars van de roms meer gericht zijn op nieuwe functies dan op patches, maar dat ze met behulp van zijn geüpdatete SnoopSnitch-app snel kunnen zien of ze iets zijn vergeten. Ook hoopt hij via de app meer inzicht te krijgen in de patchniveaus op dat soort besturingssystemen.

"Als we custom roms vergelijken met fabrikanten, scoren ze evenmin bijzonder goed”

Nohl wil op zijn site een ranglijst bijhouden van de patchniveaus van fabrikanten, op basis van het onderzoek dat hij samen met zijn team gedurende twee jaar heeft uitgevoerd. Gedetailleerde gegevens wil hij in eerste instantie alleen met fabrikanten delen, zodat criminelen niet de mogelijkheid hebben om aan de hand van de gegevens een zwak platform te kiezen en daar aanvallen voor te ontwikkelen. Een mogelijkheid om zijn data te koppelen met productdatabases lijkt hem een goed idee en hij ziet dit op termijn zeker als technisch mogelijk.

De slides van de presentatie van Nohl zijn online te raadplegen op de site van Hack in the Box. Op een gegeven moment wordt de video ook gepubliceerd; dat is op het moment van schrijven nog niet gebeurd. Nohl is momenteel chief scientist bij het Berlijnse Security Research Labs. In het verleden heeft hij zich onder meer beziggehouden met de beveiliging van de ov-chipkaart, simkaarten en telecomnetwerken.

Een selectie uit de presentatie