Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

'WhatsApp dicht lek dat leidde tot crash na ontvangen van oproep'

Volgens Natalie Silvanovich, een onderzoeker bij Googles Project Zero-beveiligingsteam, heeft WhatsApp een lek in zijn apps voor Android en iOS gedicht, dat tot een crash kon leiden na het ontvangen van een oproep door een aanvaller.

Silvanovich beschrijft haar bevindingen in een vermelding op de bugtracker van Project Zero. Daar schrijft ze in een update dat WhatsApp op 28 september een patch heeft uitgebracht voor Android en op 3 oktober voor iOS. Ze stelt dat een kwaadaardige beller in staat was om op afstand een crash van WhatsApp teweeg te brengen in de client van een doelwit door gebruik te maken van een bepaald rtp-pakket. Het ontvangen van dat pakket leidt volgens de onderzoeker tot heap corruption.

Ze heeft geen poging gedaan om haar ontdekking om te zetten in een exploit, schrijft ze op Twitter. Daar vermeldt ze wel dat het lek wel 'veel potentie' heeft. Ze geeft geen informatie over de vraag of de kwetsbaarheid het bijvoorbeeld mogelijk maakte om op afstand code uit te voeren. Project Zero-collega Tavis Ormandy stelt in een eigen tweet dat het om een ernstig lek gaat dat alleen vereist dat een aanvaller een oproep plaatst.

Door Sander van Voorst

Nieuwsredacteur

10-10-2018 • 10:14

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Weer een voorbeeld wat aantoont hoe belangrijk controle van binnenkomende informatie is. Vertrouw nooit binnen je applicatie informatie die vanaf buitenaf wordt aangeleverd.
Ze moeten hier ook gewoon meer aandacht aan gaan bieden binnen opleidingen, ik ben nu zelf ook bezig met een studie en het enige wat we krijgen qua security is dat we een goed Wachtwoord moeten hebben. Persoonlijk denk ik dat er juist veel naar Cyber Security moet gekeken worden en er ook op worden voorbereid, maar hey dat ben ik dan weer, wat weet een student er nou weer van? :+

Edit: Applicatie en Media ontwikkeling Student

[Reactie gewijzigd door energydrank op 10 oktober 2018 11:25]

Misschien later in het semester?

Daarnaast CISSP certificeringen zijn vaak net iets anders.
Hoort dit niet in het eerste semester gegeven te worden. Security by design zou een standaard uitgangspunt moeten zijn bij (bijna) alle ontwikkelingen!
Als het in het eerste semester gegeven zou moeten worden dan denk ik toch echt dat er veel Scholen zich er niet aan houden :P

zit nu in het 2e jaar op mn stage en ik leer meer over security van mn stage waar ik koffie haal dan op school :+
haal je ook energydrank?
CISSP is misschien dan inderdaad ook wel een stapje te ver, maar op zn minst een soort basis leggen lijkt mij een goed idee.

ik heb liever dat Studenten/Afgestudeerden op zn minst een Goede basis Security hebben liggen zodat misschien een CISSP certificering wat meer binnen handbereik ligt (Nou heb ik geen idee wat voor een eisen ervoor worden gestelt).

Verder heb ik tot nu toe van nog geen enkele mede student gehoort dat hij/zij iets heeft gehad van Security zelfs niet van de afgestudeerden op de Discord server van onze school, en nou had ik juist laatst ergens gelezen dat er vrij weinig aandacht wordt besteedt aan deze onderwerpen op scholen
Ligt er ook aan wat voor een student je bent (qua voorkennis + je manier van denken). 90% van mijn medestudenten geven geen hol om privacy en security en hergebruiken al hun wachtwoorden. Gebruiken niet eens een wachtwoordmanager. Het is echt om te huilen.

[Reactie gewijzigd door AnonymousWP op 10 oktober 2018 10:34]

Klopt, veel van mijn medestudenten doen dit ook, maar dan zou je op zn minst als School zijnde toch wel een les introduceren waar je ingaat op deze Security issues, nou ligt dit inderdaad ook aan hoeveel voorkennis je hebt en wat je manier van denken is maar ik denk dat je dat dan ook direct mee kan nemen in zulke lessen
Mee eens. Wij hebben ook security-lessen, maar die 90% die zo simpel erover is vind de lessen ook niet leuk dus tsja :').

Dan moet alsnog de leraar er verstand van hebben want ik heb er wel eens een paar gehad waarvan ik dacht "jeetje... je geeft security en je gebruikt programma X en hebt instelling Y zo staan". Best cringe :p.
Conclusie:

Meer Security lessen door mensen die ook daadwerkelijk geinteresseert zijn in de veiligheid en weten wat ze doen :p
Tijdens mijn studie heb ik een minor Information Systems Security gedaan.
Het was niet specifiek gefocust op het veilig maken van applicaties, maar ook dingen zoals hoe encryptie werkt, social engineering, netwerk beveiliging en een deel wat meer business gericht (ISO certificering, risico analyses, etc.).
ik ben nu zelf ook bezig met een studie
Een studie? Een boer is ook bezig met 'een studie' en daar leren ze helemaal niks over wachtwoorden. Er moet helemaal niet veel naar Cyber Security gekeken worden dit moet gewoon een aparte stroom / opleiding van IT worden. Net zoals een beheerder niks hoeft te weten van programmeren.
Dus een Programmeur hoeft volgens jou niks te weten over Cyber Security en dat hij gewoon iedere Input lekker zo kan laten en gewoon wachtwoorden ff zonder te hashen in een database kan flikkeren zonder er een hash + Salt overheen te pleuren?

Laten we dan ook direct even allemaal onze Pincodes van de bankrekeningen uitwisselen 8)7
Tot op zekere hoogte ja. Als security zo belangrijk is moet er gewoon een apart beroep van gemaakt worden. Sterker nog; dat is er al genaamd 'it security officer'. Die is verantwoordelijk voor het bewaken van de security en moet zorgen dat er salt wordt toegepast het is aan de programmeur om dit toe te passen niet om te beslissen als het nodig is.

En btw; alle pincodes van iedereen zijn bekend en ook alle bankrekeningnummers.
Denk je niet dat het efficiënter is om een programmeur te leren over het (overlaten aan het systeem van het) veilig opslaan van wachtwoorden en het voorkomen van buffer overflows dan dat je de concierge er met het bezemwagentje achteraan laat lopen?

Trouwens, een programmeur die geen idee heeft wat hij doet als het om security gaat, zal automatisch ook andere aspecten van zijn werk niet onder de knie hebben.

[Reactie gewijzigd door mae-t.net op 10 oktober 2018 16:11]

PIN-codes zijn helemaal niet bekend. Bankrekeningnummers zijn niet geheim
In principe zou het systeemdesign inherent secure moeten zijn. Je moet er niet vanuit gaan dat een programmeur die wat over security weet je gaat behoeden voor lekken. Uiteraard is het handig dat een programmeur daar wat van weet, maar je kunt er niet op vertrouwen dat je daarmee geen security issues meer hebt. Derhalve volgt daaruit dat het een onbetrouwbare schakel is en je dus andere middelen als static code analysis, systeemontwerp en architectuur, audits, protocolkeuze zo zult moeten gebruiken dat je een inherent veilig systeem bouwt.
Ik als Mederwerker netwerkbeheer ICT, iig een landsttede opleiding, kreeg wel wat meer met Security lessen. Daarnaast hebben we de optie gehad om Security 2 te kiezen die hier dieper op in gaat. Zelf als niveau 3 student heb dat niet gedaan omdat mijn school jaar net wat anders loopt, verder kreeg i kwle de zelfde lessen als de Niv4 studentjes.

In sec1 leerde we wat encryptie is(wisten de meestal maargoed) waar het vandaan komt en hoe het precies inelkaar steekt. Natuurlijk ook het wachtwoordne verhaal kwam er bij. Tevens moesten we een systeem beveiligen dmv systemhardening, chrome dus danig locken dat t alleen mogelijk was om te browsen verder niks te downloaden.

Dus ik gok dat dit later in het jaar/opleiding verteld word.. Maar als iets me leert is dat niet elke school het zelfde is al dragen ze de zelfde naam.
Ja maar tot op welk niveau hebben we het dan over? Eg: de standaard uitleg met Bob en Alice en eventueel een Eve of Mallory is leuk om te doorgronden hoe het in de achtergrond werkt en heel goed dat men dat begrijpt, maar dat wil niet zeggen dat je het zelf ook kan toepassen of begrijp waar allemaal op gelet moet worden om dat daadwerkelijk veilig te maken/houden en uitzonderingen te detecteren. Laat ik het iets anders zeggen: dat ik weet hoe de motor van m'n auto werkt, wil nog niet zeggen dat ik er zelf eentje kan bouwen.

Mijn ervaring met de meeste security lessen, zowel op MBO als HBO niveau en entree WO (uitgezonderd gespecialiseerde opleidingstrajecten), is dat het goed overbrengt wat er gebeurt in theorie maar dat niemand er in de praktijk echt iets mee kan doen na die lessen. (Noemenswaardig bedoel ik dan, op dit soort schaal; dat gaat iets verder dan privileges of bijv. een certificaatje installeren.)

Niet om jou of je kennis aan te vallen/af te kraken he, puur een observatie. :)
Het is al mooi dat de theorie trouwens wordt gegeven, daar niet van. Dat is al heel wat meer dan een paar jaar geleden het geval was. Dat men er nu al meer aandacht aan besteed en in ieder geval basiskennis voor zaken als encryptie, veiligheid op het internet (incl. wachtwoorden), e.d. aan de studenten meegeeft is een goede ontwikkeling. Wat mij betreft hoeft het ook echt niet extreem geavanceerd te zijn hoor. Bugs als dit doen zich, zeker in grote applicaties, nu eenmaal wel eens voor; hoe goed het development team ook is en hoeveel er wordt nagekeken: it happens - dat gaat geen enkele opleiding helemaal voorkomen denk ik.
Om eerlijk te zijn is mijn kennis van security vrij minimaal. Het is vrijveel info naast een bak andere info. Soms een beetje veel. Het is ook een vrijlastig vak om te geven want je leert pas echt met security omgaan als je iets opbouwt van de grond op, dit beveiligd en dan steek proefsgewijs het laat hacken door iemand, of iig een poging tot. Bedrijven doen dit regelmatig en hebben daar het geld ook voor met scholen zoals welbekend is dat minder het geval.

Verder ben ik hel geheel met je eens, het is al goed dat het word gegeven. Het is al vrij lastig aan mensen uit te leggen dat het iets belangrijks is, natuurlijk zijn er mensen die er naar luisterd maar ook mensen die er totaal geen erg in hebben. Het is ook erg goed om te zien dat steeds meer bedrijven 2-factor auth. op hun websites plaatsen doormiddel van hun eigen systeem ook door een Authenticater als Google Authenticator te gebruiken. Dat maakt het al een stuk veiliger.
Het niet vertrouwen is tegenwoordig meestal niet het probleem. Juist bij de controle van de binnenkomende informatie wil nog wel eens wat mis gaan.
Tja, en zo worden dus veel mobiele devices overgenomen.

Een mooi voorbeeld is je browser op je tablet of phone. Een echte beerput zeg maar.

Je browser stuurt je voltallige device informatie en je browser software versie in je User agent string naar alle servers die je bezoekt. De (kwaadaardige) hacker maakt hier dankbaar gebruik van en kan zo geheel automatisch een exploit met payload naar je device sturen van de gehackte web server. Terwijl je met je ogen knippert is je device owned, zo snel gaat het.
Ik zoek nog steeds een manier om whatsapp (video)oproepen te blokkeren op iOS. Weet iemand een manier of welke poorten en adressen ik moet blokkeren?
Microfoon en camera permissies uitzetten kom je denk ik een heel eind mee.
Nee helaas niet. Whatsapp weigert te werken zonder die permissies correctie: de bel en video bel functies blijven werken maar dan krijg je onmiddelijk vragen over permissies bij een voicecall of videocall

Edit2: ook werken de “quality of life” functies zoals foto’s maken vanuit de chat en gesproken berichten niet

[Reactie gewijzigd door mikesmit op 10 oktober 2018 19:24]

Mja dat is uitgaand, inkomend worden als het goed is automagisch geweigerd. Geen idee of je daar dan een melding van krijgt, ik blokkeer het niet.

Nee dat klopt, het is alles of niets aan permissies - je kan niet cherry picken.
Jammer dat dergelijke fixes niet worden genoemd in de release notes in de app store. Nu staat er alleen dat deze update voortaan previews van foto's in pushberichten laat zien. Geeft mij toch wat minder urgentie om te updaten...
Zullen we niet elke bug een lek noemen? :/
Het is een beetje zweverig of dit een bug of een lek is. Nu lijkt het meer op een bug. De Proof of Concept zorgt voor memory corruption waardoor de app crasht. Tavis Ormandy zei dat het “zou kunnen” dat het een serieus beveiligingslek is waarmee accounts gekaapt kunnen worden, maar heeft niet aangegeven hoe dat in z’n werk zou moeten gaan; die PoC bewijst een bug die een crash veroorzaakt, Ormandy zegt iets anders maar licht dat verder niet toe.

Wat het nou dus is is vaag, maar op basis van die PoC kan men op dit moment louter een bug met crash als gevolg bewijzen. Wat meer in de categorie “iPhone crasht op basis van 10 vreemde tekens in iMessage” zou vallen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True