Onderzoekers manipuleren WhatsApp-mediabestanden via externe Android-opslag

Onderzoekers van Symantec hebben de externe Android-opslag gebruikt om via WhatsApp of Telegram ontvangen mediabestanden te manipuleren. Het gaat om een bekende kwetsbaarheid op Android rondom het gebruik van de externe opslag.

Symantec noemt de kwetsbaarheid Media File Jacking en deze raakt standaard WhatsApp voor Android, omdat het daar een standaardinstelling is om ontvangen mediabestanden op te slaan naar de externe opslag. Bij Telegram is dat pas het geval als dat specifiek wordt ingesteld. De kwetsbaarheid betreft de tijd tussen het opslaan van de ontvangen van de mediabestanden en het laden van de bestanden in de interface van beide chat-apps. Dit tijdsverloop geeft kwaadwillenden een mogelijkheid om bijvoorbeeld afbeeldingen aan te passen, al moet er dan wel eerst malware op de telefoon zijn geïnstalleerd. Deze kan in deze tijd tussen het opslaan en het inladen van het bestand de inhoud analyseren en vervolgens manipuleren of vervangen.

Als bijvoorbeeld via WhatsApp verkregen afbeeldingen naar de interne opslag van het apparaat worden geschreven, kunnen de bestanden ook alleen door de app worden gebruikt en kunnen andere apps geen toegang krijgen. Bij het gebruik van de externe opslag is dat wel het geval. Applicaties die om de benodigde permissie write_external_storage vragen is vrij normaal op Android, waardoor de onderzoekers stellen dat een onbewuste gebruiker niet zo snel zal twijfelen om permissie te geven.

In feite gaat het hier om een breder probleem van de in potentie onveilige wijze waarop opslag op Android-apparaten door apps worden gebruikt. Onderzoeker Slava Makkaveev toonde een jaar geleden al aan dat de externe opslag van Android gebruikt kan worden om de sandbox van apps binnen te dringen en bijvoorbeeld een kwaadaardige app te installeren. Voor een dergelijk aanval is het noodzakelijk dat er al een 'onschuldige' app op het toestel aanwezig is met de rechten om naar de externe opslag te schrijven.

Symantec heeft zowel WhatsApp als Telegram van zijn bevindingen op de hoogte gesteld. De effectiefste oplossing is voorkomen dat de apps bestanden naar de externe opslag kunnen wegschrijven. Dat betekent dat de interne opslag daarvoor moet worden ingesteld. Onder meer Cnet meldt dat WhatsApp bij monde van een woordvoerder laat weten dat dit voorbeeld vergelijkbaar is met eerdere kwesties rondom mobiele apparaatopslag en de impact op het app-ecosysteem. Het inzetten van de interne opslag is volgens WhatsApp echter niet aan te raden, omdat het privacyissues zou creëren en lang niet alle apparaten zouden intern genoeg opslagruimte hebben.

Door Joris Jansen

Redacteur

Feedback • 15-07-2019 19:0534

15-07-2019 • 19:05

34 Linkedin

Lees meer

Onderzoeker gebruikt externe Android-opslag om kwaadaardige app te installeren Nieuws van 13 augustus 2018
Beveiliging en antivirus Symantec telegram Whatsapp

Reacties (34)

-Moderatie-faq
34
32
20
2
0
6
Wijzig sortering
JayPe
15 juli 2019 22:18
Wacht even? Kan WhatsApp z'n media bestanden op de SD kaart opslaan?
(HashTag durf te vragen)

Ik ben niet anders gewend dan dat het interne opslag geheugen van m'n telefoon volloopt door afbeeldingen en video's van WhatsApp, juist omdat ik de foto's/video's NIET naar de SD kaart kan laten opslaan.
(Android 9 - Sony Xperia XZ1 Compact)
dennis_rsb
@JayPe15 juli 2019 22:51
Nee zover ik weet kan dit op geen enkel toestel. Of misschien als je hem root? De moto g3 van mn ma heeft 8gb intern, heb er een sd kaartje in. Maar whatsapp kan ik niet instellen dat ontvangen media direct op de sd komen, helaas. Mijn eigen telefoon heeft 32 gb intern, waarvan ongeveer de helft nog vrij is. En heb een sd kaartje erin voor foto’s, spotify offline en navigatie, omdat ik die nog over had van een raspberry experiment. 64 gb sandisk kaartje. :)
F-I-X
@dennis_rsb16 juli 2019 11:05
Ik weet bijna 100% zeker dat er vroeger wel een mogelijkheid en optie was om je WA mediabestanden op de externe opslag te gooien.

Ik zie nu ook dat deze functie weg is.
Waarschijnlijk gesneuveld in de updates van de android versies. Vroeger kon je ook app's verplaatsen naar extern geheugen e.d hoewel dat iets totaal anders is.
LOTG
15 juli 2019 20:07
Ik vind dat ook al zolang een flut permissie systeem. Waarom is isolated storage niet standaard? Ik vond het op Windows Phone echt veel beter qua security. Toegang tot media was daar ook een aparte permissie.
AnonymousWP
@LOTG15 juli 2019 20:18
Toegang tot media was daar ook een aparte permissie.
Dat is het op Android ook. Je kan per app de permissie voor opslag intrekken bijvoorbeeld.
LOTG
@AnonymousWP15 juli 2019 20:20
Nee, media als in foto en video's. Niet de complete opslag. Dat zou gewoon een aparte permissie moeten zijn waar de meeste apps niets te zoeken hebben.

Waarom heeft bijvoorbeeld Asphalt 9 toegang tot de complete SD kaart nodig? Slaat nergens op.

[Reactie gewijzigd door LOTG op 15 juli 2019 20:22]

Unsocial Pixel
@LOTG15 juli 2019 20:39
Rw voor updates, uitbreidingen? Niet elke app claimed instant de hoeveelheid opslag die het nodig heeft.

Dit hierboven is speculatief maar het zou een mogelijke reden kunnen zijn.
LOTG
@Unsocial Pixel15 juli 2019 20:45
Het gaat er ook om dat het permissie systeem zuigt. Of het technisch nodig is doet er niet toe, het zou niet nodig moeten zijn. Opslag op de SD kaart is prima, maar dan ook alleen in zijn eigen stukje waar die aan kan. Het moet toch niet zo zijn dat een app dan ook meteen bij alles op de SD kaart kan? Daar is geen technische reden voor tenzij het een file manager of zo is en in dat geval weet ik waarom die rechten nodig zijn. Nu weet ik dat niet en kan ik dus ook niet beslissen of die App mijn files gaat door zoeken of alleen data die nodig is gaat downloaden.
Unsocial Pixel
@LOTG16 juli 2019 10:57
Tja dan zou die bij de install al een x hoeveelheid opslag moeten claimen, waar ook de nodige cons en pros voor te bedenken zijn. Uiteindelijk is het een afweging die gemaakt word door zowel de user als de developer als wat gebruikelijk/handig/gewenst/makkelijk is.
AnonymousWP
@LOTG15 juli 2019 20:24
Oh op die fiets. Ja, inderdaad, goed punt. In Android R komen ze waarschijnlijk wel met Scoped Storage though. In Q wordt het opt-in.

[Reactie gewijzigd door AnonymousWP op 15 juli 2019 20:24]

royzegthoi
@LOTG15 juli 2019 20:37
Ik weet het niet zeker maar volgensmij doen de devs van Asphalt dat als anti-cheat maatregel.
Sammekl
@LOTG16 juli 2019 07:35
WhatsApp heeft gekozen om internal storage te gebruiken ipv de privé opslag van de app. Waarschijnlijk om de volgende redenen:

- Dat je media niet verloren gaat bij het verwijderen van de app
- Zodat gebruikers de media makkelijk via hun PC kunnen inladen.
- Gallerij apps kunnen de media bestanden inlezen.

Het zou inderdaad beter zijn als dit soort internal storage folders apart beveiligd kunnen worden door middel van permissies, maar ik ben bang dat dit veel gedoe met zich meebrengt (bovenstaande punten).
WhatsappHack
15 juli 2019 20:28
Ja als je intern een paar GB hebt wat zowat volledig al ingenomen wordt door het OS en niet te verwijderen bloatware dan kan je niet veel anders dan de externe opslag te pakken indien aanwezig. :+ Wat ik me wel afvraag: als je die modus (ben ff de naam kwijt) aanzet dat het externe geheugen wordt gezien als intern, wordt het dan wel netjes gesandboxt.
AnonymousWP
@WhatsappHack15 juli 2019 20:29
Je bedoelt adaptive storage?

Geen idee eigenlijk. Goeie vraag. Ik heb al jaren geen SD-kaartje meer in m'n telefoon.
WhatsappHack
@AnonymousWP15 juli 2019 20:31
Adoptable storage, inderdaad. :) Now I 'member. :P
Kan er verrekte weinig over vinden op ome Google, dus dat wordt zelf onderzoeken I guess.
AnonymousWP
@WhatsappHack15 juli 2019 20:32
Weinig? Er is zelfs een heel tabje met security te vinden: https://source.android.com/devices/storage/adoptable ;). By the way, Samsung telefoons hebben het al heel lang niet meer volgens mij. Is eruit gesloopt :+.

[Reactie gewijzigd door AnonymousWP op 15 juli 2019 20:33]

GekkePrutser
@AnonymousWP15 juli 2019 20:52
Samsung heeft het zelfs vanaf het begin niet gehad :)
TrekVogel
@GekkePrutser16 juli 2019 09:38
Klopt, Samsung redeneert dat het niet handig is dat als verwisselbare media verwijderd worden dat dan meteen het hele geheugen verrot is.
- peter -
15 juli 2019 19:39
Google wilde in Android Q fijnmazerige permissies voor de external storage invoeren, maar heeft dat uitgesteld tot de versie erna. Teveel backwards incompatibility bij bestaande apps. Ze zijn zich er iniedergeval wel van bewust.
AnonymousWP
@- peter -15 juli 2019 20:17
Het heeft zo z'n voordelen maar ook veel nadelen. Je moet basically je hele app opnieuw ontwikkelen met die API volgens mij. Kost verschrikkelijk veel tijd, helemaal als je het in je eentje doet en het heeft je jaren geduurd. Dan ben je dus nog wel even bezig.
WoutervOorschot
15 juli 2019 19:28
Apps kunnen foto’s op je apparaat aanpassen, dat lijkt me wenselijke functionaliteit? Ik snap de insteek van dit ‘lek’ niet helemaal.
Christoxz
@WoutervOorschot15 juli 2019 19:51
Het lijkt mij geen functionaliteit dat een malware een ontvangen afbeelding kan onderscheppen en zelfs aanpassen zodat jij wat anders ontvangt dan origineel verstuurd.
WoutervOorschot
@Christoxz15 juli 2019 20:42
Het gaat om een opgeslagen afbeelding, die vervolgens door eventuele malware zou kunnen worden veranderd, waardoor jij de veranderde foto ziet.

Net zoals bijv. de google photos app of onedrive app op de achtergrond je foto’s kan uploaden. Er lijkt me weinig geks aan deze functionaliteit.

De aanbevolen oplossing is ook om foto’s slechts in de app op te slaan, wat al mogelijk is wanneer je ‘save to camera roll’ (op ios dan) uitzet.

Als je malware hebt die je foto’s aanpast heb je grotere zorgen dan wat doorgestuurde whatsappfoto’s lijkt me.
LOTG
@WoutervOorschot15 juli 2019 20:26
Het lijkt mij wenselijk dat ik de App een foto kan aanleveren om aan te passen. Niet dat ik een app toegang tot alles moet geven waarna deze dat op eigen houtje kan doen ongeacht of ik daar blij mee ben.
josttie
15 juli 2019 19:33
Wat een clickbait artikel dit. Apps kunnen nu eenmaal na permissie gegeven te hebben bij de bestanden, dus per definitie is het belangrijk om apps te installeren die bijvoorbeeld geen foto's automatisch doorsturen van je opslag. Dus dit is al jaren aan de gang en bekend en ook bestempeld als geen probleem (ook al geef je het een fancy naam). Facebook encrypt de bestanden van Messenger met (volgens mij door hunzelf ontwikkelde) conceal omdat die dat dus niet willen dat bestanden zomaar zichtbaar zijn, ik neem aan dat Whatsapp en elke security engineer hiervan op de hoogte is. Wat een storm in een glas water.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Zeehond op 15 juli 2019 22:27]

LOTG
@josttie15 juli 2019 20:29
Waarbij WhatsApp dus Facebook is. En hoe weet jij of Apps foto's doorsturen? Als ze dat zonder toestemming doen gaan ze dat niet adverteren.

En het grote probleem is dat veel Apps dus toestemming vragen om de SD kaart om hun eigen dingen op te slaan, echter is er dan geen systeem wat dan limiteerd dat ze ook alleen bij hun eigen data kunnen.
josttie
@LOTG15 juli 2019 20:32
Ja dus dat betekent dat dit artikel totaal 0 nieuwswaarde heeft.
Ik weet niet of apps wel of geen foto's doorsturen, maar dit is al jaren bekent dat het mogelijk is. Dus dit artikel slaat helemaal nergens op.
LOTG
@josttie15 juli 2019 20:35
Het onderliggende probleem misschien niet, maar de implementatie hier ervan is weldegelijk interessant. Het gaat om het aanpassen van media voor dat jij die gezien hebt. Je zou dus in theorie nooit weten dat het is aangepast.
RoestVrijStaal
15 juli 2019 19:26
Op Windows is dit toch ook niet anders?

Sterker nog, UAC geeft je enkel een dialoog met het pad van de applicatie die verhoogde permissies wil, maar de intentie wordt nergens vermeld.

[Reactie gewijzigd door RoestVrijStaal op 15 juli 2019 20:48]

Ikheetchris
16 juli 2019 11:58
Dit probleem zou toch deels op te lossen kunnen zijn door de WhatsApp-servers geüploade bestanden digitaal te ondertekenen, waarbij de WhatsApp-app verifieert of de handtekening nog correct is, en zo niet, een melding te tonen dat deze afbeelding sinds ontvangst bewerkt is.
Thystan
16 juli 2019 15:33
Lijkt me op dit moment nog niet echt een security issue, omdat als iemand toegang heeft tot me foto's deze sowieso de foto's kan bewerken.

Als er op een gegeven moment, bijvoorbeeld voor login, met plaatjes of iets dergelijks wordt gewerkt, dan kan ik het me wel goed voorstellen.
Vlad86
15 juli 2019 21:11
Dit is typisch iets wat een onwetende manager zou gaaf vinden, waardoor deze bedrijf ingehuurd wordt voor een opdracht. Is meer een reclame dan nieuws.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee