Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker gebruikt externe Android-opslag om kwaadaardige app te installeren

Onderzoeker Slava Makkaveev heeft op de Def Con-beveiligingsconferentie een aanval op Android-smartphones getoond. Deze gebruikt de externe opslag van Android om de sandbox van apps binnen te dringen en bijvoorbeeld een kwaadaardige app te installeren.

Makkaveev, verbonden aan beveiligingsbedrijf Check Point, legde tijdens zijn presentatie uit dat hij met externe opslag een partitie binnen de interne opslag van Android-telefoons bedoelt, die door alle apps op het toestel wordt gedeeld. Hoewel in de Android-richtlijnen is opgenomen dat appontwikkelaars deze opslag met de nodige beveiligingsmaatregelen moeten gebruiken, kwam hij erachter dat een aantal grote ontwikkelaars zich niet aan deze aanbevelingen houden, waaronder Google, LG en Xiaomi. Dat maakt het volgens hem mogelijk om de sandbox van kwetsbare Android-apps binnen te dringen. Voor zijn aanval is het vereist dat er al een 'onschuldige' app op het toestel aanwezig is met de rechten om naar de externe opslag te schrijven.

Een van de aanbevelingen voor Android-ontwikkelaars luidt bijvoorbeeld dat ze inputvalidatie moeten toepassen als ze gegevens gebruiken die opgeslagen zijn op de externe opslag. Hij liet zien dat dit bijvoorbeeld niet gebeurt bij Google Translate, dat pakketten voor offlinevertalingen op de externe opslag plaatst. Door deze bestanden te vervangen kon hij de Translate-app laten crashen op het moment dat deze een poging doet om een vertaling uit te voeren. Dat zou vervolgens weer een weg banen naar het injecteren van code die binnen de kwetsbare app wordt uitgevoerd.

Een andere aanbeveling is dat ontwikkelaars geen uitvoerbare bestanden op de externe opslag plaatsen. In het geval van de Application Manager van LG en de Xiaomi Browser gebeurde dat bijvoorbeeld wel. Op die manier was het voor Makkaveev mogelijk om een gedownload updatebestand aan te passen, zodat er uiteindelijk een kwaadaardige app heimelijk op de telefoon werd ge´nstalleerd in plaats van de update. De onderzoeker noemt zijn aanval man-in-the-disk en heeft een fuzzer ontwikkeld om dit soort kwetsbaarheden op te sporen. Check Point heeft na de presentatie een blogpost gepubliceerd.

Aanval via de Xiaomi-browser waarbij op de achtergrond een kwaadaardige app wordt ge´nstalleerd

Door Sander van Voorst

Nieuwsredacteur

13-08-2018 • 07:01

22 Linkedin Google+

Reacties (22)

Wijzig sortering
Hele rare vraag, maar kan iemand onderzoeken of die "fuzzer" wel veilig is dan...als deze man weet hoe je het moet binnendringen kan die ook elk toestel besmetten met zijn check tool
Ja dat blijft het spannende heh ;)

Maar meestal wordt iemand nogal uitgejouwd door de security gemeenschap als zo'n grap wordt uitgehaald. Check Point heeft natuurlijk ook gewoon aan de reputatie te denken. Ziet verder als een redelijk serieus bedrijf uit (Google Cache want de site is nogal plat). Volgens Wikipedia hebben ze 4000 medewerkers. Dan ga je je niet zomaar als een eikel gedragen.

[Reactie gewijzigd door Henk Poley op 13 augustus 2018 08:30]

Bedankt voor je reactie Henk, zover heb ik t niet uitgezocht maar t was gewoon de eerste gedachte die in mij opkwam toen ik het bericht las.
Zo'n fuzzer ga je normaal gezien ook niet op je persoonlijke smartphone draaien. Dat doe je op een dedicated toestel, of zelfs in een emulator.
Ik heb een oneplus nooit gedacht dat ik het fijn zou vinden dat er geen externe sd kaart in kon maar zo te zien maakt dat hem wel iets veiliger :)

Ontopic: vreemd dat Google zelf zich hier niet aan heeft laten houden ik bedoel het is een eigen design
Ik heb een oneplus nooit gedacht dat ik het fijn zou vinden dat er geen externe sd kaart in kon maar zo te zien maakt dat hem wel iets veiliger
Huh? Heb je het artikel wel goed gelezen?
Makkaveev, verbonden aan beveiligingsbedrijf Check Point, legde tijdens zijn uit dat hij met externe opslag een partitie binnen de interne opslag van Android-telefoons bedoelt, die door alle apps op het toestel wordt gedeeld
Externe opslag is dan nog steeds erg makkelijk.
Gewoon USB OTG, en dan een opslagmedium eraan.
Niet helemaal, je moet eerst externe opslag ingesteld hebben voor de betreffende app. Als dat niet het geval is, moet je dus eerst dat ding OTGen, dan een app er naar toe verwijzen om het als opslag te zien, dan nog daadwerkelijk bestanden er heen sturen (want dat is een voorwaarde)... Nodeloos ingewikkeld en in het geheel niet op afstand toe te passen.
Helemaal mee eens. Ik doelde er ook meer op dat het gebrek aan een sd-kaart aansluiting niet een gebrek aan externe opslag mogelijkheden betekent ;)
... dat hij met externe opslag een partitie op binnen de interne opslag van Android-telefoons bedoeld...
Dat heeft dus niets met fysieke externe opslag als een SD-kaart te maken.
Best wel ironisch dat je met een Micro secure Secure Digital kaart dit soort dingen kan doen.

Deze aanval lijkt mij, dat het moeilijker is uit te voeren met telefoons, die gebruik maken van adoptable storage, aangezien die je SD-kaart versleuteld.


Ik zit er naast.

[Reactie gewijzigd door F. Scaglietti op 13 augustus 2018 07:29]

'Secure Digital' is niet voor jou als consument bedoeld, maar om bestanden die met DRM beveiligd zijn te kunnen koppelen aan de kaart.
Zie https://en.wikipedia.org/...tion_for_Recordable_Media
Oh nee die boze hackers! Ik help nu alweer 20 jaar mensen met hun computer problemen en het is Óltijd iemand die snoepjes aanneemt van een vreemde email of iets download zonder te weten wat.
dat mensen een app updaten via de app zelf is hun eigen fout.
als ze een notificatie krijgen dat er een nieuwe versie is ga je toch naar de playstore om deze te downloaden, en niet via de app zelf, er zijn vast genoeg mensen die hier intrappen.???

er is niet veel verschil met dit en een losse APK instaleren, dus als dit voorkomt is het de fout van de gebruiker zelf. daarnaast is het nog niet duidelijk tot in welk level dit malefiede apps extra kan laten instaleren.
Uh, ik krijg nooit een melding van Android, hij flatst er nieuwe versies van allerlei zooi, ook die ik niet gebruik (en niet kan verwijderen), ongevraagd op. Geen enkele app lijkt daarom te hoeven vragen, ze updaten allemaal automatisch en vragen nooit wat.
In mijn LG al mijn apps langs gegaan en overal schrijven naar systeem uitgezet waar dat kon...wat vandaag of morgen de gevolgen zijn..zie ik dan wel weer, maar idd sommige apps verwacht je niet van dat ze systeem instellingen zouden kunnen aanpassen
Staat er nou dat Google zich niet aan de Android richtlijnen houd? Als in de Google Pixel telefoons?
"Voor zijn aanval is het vereist dat er al een 'onschuldige' app op het toestel aanwezig is met de rechten om naar de externe opslag te schrijven"

Verder word niet vermeld welke android versies / security patches er vulnerable zijn?

Dus om geinfecteerd te worden moet je;
- Een ouder toestel hebben of een toestel die je zelf nooit update.
- Een willekeurige applicatie dat je waarschijnlijk niet kent gaan sideloaden of eventueel via de playstore installeren EN RECHTEN geven om wel degelijk te mogen wegschrijven naar je opslag.

Leuk gevonden, maar dit lijkt me gewoon weer zo'n gigantische omweg om iets doms te bereiken. Lijkt me niet uitvoerbaar in een realistisch scenario, kan je evengoed een infected APK sideloaden ... Als je ze dan toch al kan overtuigen om iets te installeren.
Moet je jezelf afvragen hoe groot de kans is dat dergelijke taferelen zich op jouw eventuele android telefoontje af gaan spelen. Ik kan je een hint geven, die is vrijwel nihil. Natuurlijk is wat meer common sense handig bij Android, hoewel Google er al sinds een jaartje met de bezem door gaat, niet alles wat in de play staat is even veilig. Net als bij Windows dus even ietsje meer nadenken voordat je een app download of bepaalde pagina's opent.
Ja want iOS is nog nooit gekraakt... Oh wacht dat noem je Jailbreaking en is natuurlijk iets totaal anders.
zulke taferelen houden me weg van android terwijl ik het ecosysteem wel waardeer.
Wat is je alternatief dan? Met deze lui wil je ook geen zaken doen. Blackberry? Windows Phone?

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True