Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers manipuleren WhatsApp-mediabestanden via externe Android-opslag

Onderzoekers van Symantec hebben de externe Android-opslag gebruikt om via WhatsApp of Telegram ontvangen mediabestanden te manipuleren. Het gaat om een bekende kwetsbaarheid op Android rondom het gebruik van de externe opslag.

Symantec noemt de kwetsbaarheid Media File Jacking en deze raakt standaard WhatsApp voor Android, omdat het daar een standaardinstelling is om ontvangen mediabestanden op te slaan naar de externe opslag. Bij Telegram is dat pas het geval als dat specifiek wordt ingesteld. De kwetsbaarheid betreft de tijd tussen het opslaan van de ontvangen van de mediabestanden en het laden van de bestanden in de interface van beide chat-apps. Dit tijdsverloop geeft kwaadwillenden een mogelijkheid om bijvoorbeeld afbeeldingen aan te passen, al moet er dan wel eerst malware op de telefoon zijn geïnstalleerd. Deze kan in deze tijd tussen het opslaan en het inladen van het bestand de inhoud analyseren en vervolgens manipuleren of vervangen.

Als bijvoorbeeld via WhatsApp verkregen afbeeldingen naar de interne opslag van het apparaat worden geschreven, kunnen de bestanden ook alleen door de app worden gebruikt en kunnen andere apps geen toegang krijgen. Bij het gebruik van de externe opslag is dat wel het geval. Applicaties die om de benodigde permissie write_external_storage vragen is vrij normaal op Android, waardoor de onderzoekers stellen dat een onbewuste gebruiker niet zo snel zal twijfelen om permissie te geven.

In feite gaat het hier om een breder probleem van de in potentie onveilige wijze waarop opslag op Android-apparaten door apps worden gebruikt. Onderzoeker Slava Makkaveev toonde een jaar geleden al aan dat de externe opslag van Android gebruikt kan worden om de sandbox van apps binnen te dringen en bijvoorbeeld een kwaadaardige app te installeren. Voor een dergelijk aanval is het noodzakelijk dat er al een 'onschuldige' app op het toestel aanwezig is met de rechten om naar de externe opslag te schrijven.

Symantec heeft zowel WhatsApp als Telegram van zijn bevindingen op de hoogte gesteld. De effectiefste oplossing is voorkomen dat de apps bestanden naar de externe opslag kunnen wegschrijven. Dat betekent dat de interne opslag daarvoor moet worden ingesteld. Onder meer Cnet meldt dat WhatsApp bij monde van een woordvoerder laat weten dat dit voorbeeld vergelijkbaar is met eerdere kwesties rondom mobiele apparaatopslag en de impact op het app-ecosysteem. Het inzetten van de interne opslag is volgens WhatsApp echter niet aan te raden, omdat het privacyissues zou creëren en lang niet alle apparaten zouden intern genoeg opslagruimte hebben.

Door Joris Jansen

Nieuwsredacteur

15-07-2019 • 19:05

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Wacht even? Kan WhatsApp z'n media bestanden op de SD kaart opslaan?
(HashTag durf te vragen)

Ik ben niet anders gewend dan dat het interne opslag geheugen van m'n telefoon volloopt door afbeeldingen en video's van WhatsApp, juist omdat ik de foto's/video's NIET naar de SD kaart kan laten opslaan.
(Android 9 - Sony Xperia XZ1 Compact)
Nee zover ik weet kan dit op geen enkel toestel. Of misschien als je hem root? De moto g3 van mn ma heeft 8gb intern, heb er een sd kaartje in. Maar whatsapp kan ik niet instellen dat ontvangen media direct op de sd komen, helaas. Mijn eigen telefoon heeft 32 gb intern, waarvan ongeveer de helft nog vrij is. En heb een sd kaartje erin voor foto’s, spotify offline en navigatie, omdat ik die nog over had van een raspberry experiment. 64 gb sandisk kaartje. :)
Ik weet bijna 100% zeker dat er vroeger wel een mogelijkheid en optie was om je WA mediabestanden op de externe opslag te gooien.

Ik zie nu ook dat deze functie weg is.
Waarschijnlijk gesneuveld in de updates van de android versies. Vroeger kon je ook app's verplaatsen naar extern geheugen e.d hoewel dat iets totaal anders is.
Ik vind dat ook al zolang een flut permissie systeem. Waarom is isolated storage niet standaard? Ik vond het op Windows Phone echt veel beter qua security. Toegang tot media was daar ook een aparte permissie.
Toegang tot media was daar ook een aparte permissie.
Dat is het op Android ook. Je kan per app de permissie voor opslag intrekken bijvoorbeeld.
Nee, media als in foto en video's. Niet de complete opslag. Dat zou gewoon een aparte permissie moeten zijn waar de meeste apps niets te zoeken hebben.

Waarom heeft bijvoorbeeld Asphalt 9 toegang tot de complete SD kaart nodig? Slaat nergens op.

[Reactie gewijzigd door LOTG op 15 juli 2019 20:22]

Rw voor updates, uitbreidingen? Niet elke app claimed instant de hoeveelheid opslag die het nodig heeft.

Dit hierboven is speculatief maar het zou een mogelijke reden kunnen zijn.
Het gaat er ook om dat het permissie systeem zuigt. Of het technisch nodig is doet er niet toe, het zou niet nodig moeten zijn. Opslag op de SD kaart is prima, maar dan ook alleen in zijn eigen stukje waar die aan kan. Het moet toch niet zo zijn dat een app dan ook meteen bij alles op de SD kaart kan? Daar is geen technische reden voor tenzij het een file manager of zo is en in dat geval weet ik waarom die rechten nodig zijn. Nu weet ik dat niet en kan ik dus ook niet beslissen of die App mijn files gaat door zoeken of alleen data die nodig is gaat downloaden.
Tja dan zou die bij de install al een x hoeveelheid opslag moeten claimen, waar ook de nodige cons en pros voor te bedenken zijn. Uiteindelijk is het een afweging die gemaakt word door zowel de user als de developer als wat gebruikelijk/handig/gewenst/makkelijk is.
Oh op die fiets. Ja, inderdaad, goed punt. In Android R komen ze waarschijnlijk wel met Scoped Storage though. In Q wordt het opt-in.

[Reactie gewijzigd door AnonymousWP op 15 juli 2019 20:24]

Ik weet het niet zeker maar volgensmij doen de devs van Asphalt dat als anti-cheat maatregel.
WhatsApp heeft gekozen om internal storage te gebruiken ipv de privé opslag van de app. Waarschijnlijk om de volgende redenen:

- Dat je media niet verloren gaat bij het verwijderen van de app
- Zodat gebruikers de media makkelijk via hun PC kunnen inladen.
- Gallerij apps kunnen de media bestanden inlezen.

Het zou inderdaad beter zijn als dit soort internal storage folders apart beveiligd kunnen worden door middel van permissies, maar ik ben bang dat dit veel gedoe met zich meebrengt (bovenstaande punten).
Ja als je intern een paar GB hebt wat zowat volledig al ingenomen wordt door het OS en niet te verwijderen bloatware dan kan je niet veel anders dan de externe opslag te pakken indien aanwezig. :+ Wat ik me wel afvraag: als je die modus (ben ff de naam kwijt) aanzet dat het externe geheugen wordt gezien als intern, wordt het dan wel netjes gesandboxt.
Je bedoelt adaptive storage?

Geen idee eigenlijk. Goeie vraag. Ik heb al jaren geen SD-kaartje meer in m'n telefoon.
Adoptable storage, inderdaad. :) Now I 'member. :P
Kan er verrekte weinig over vinden op ome Google, dus dat wordt zelf onderzoeken I guess.
Weinig? Er is zelfs een heel tabje met security te vinden: https://source.android.com/devices/storage/adoptable ;). By the way, Samsung telefoons hebben het al heel lang niet meer volgens mij. Is eruit gesloopt :+.

[Reactie gewijzigd door AnonymousWP op 15 juli 2019 20:33]

Samsung heeft het zelfs vanaf het begin niet gehad :)
Klopt, Samsung redeneert dat het niet handig is dat als verwisselbare media verwijderd worden dat dan meteen het hele geheugen verrot is.
Google wilde in Android Q fijnmazerige permissies voor de external storage invoeren, maar heeft dat uitgesteld tot de versie erna. Teveel backwards incompatibility bij bestaande apps. Ze zijn zich er iniedergeval wel van bewust.
Het heeft zo z'n voordelen maar ook veel nadelen. Je moet basically je hele app opnieuw ontwikkelen met die API volgens mij. Kost verschrikkelijk veel tijd, helemaal als je het in je eentje doet en het heeft je jaren geduurd. Dan ben je dus nog wel even bezig.
Apps kunnen foto’s op je apparaat aanpassen, dat lijkt me wenselijke functionaliteit? Ik snap de insteek van dit ‘lek’ niet helemaal.
Het lijkt mij geen functionaliteit dat een malware een ontvangen afbeelding kan onderscheppen en zelfs aanpassen zodat jij wat anders ontvangt dan origineel verstuurd.
Het gaat om een opgeslagen afbeelding, die vervolgens door eventuele malware zou kunnen worden veranderd, waardoor jij de veranderde foto ziet.

Net zoals bijv. de google photos app of onedrive app op de achtergrond je foto’s kan uploaden. Er lijkt me weinig geks aan deze functionaliteit.

De aanbevolen oplossing is ook om foto’s slechts in de app op te slaan, wat al mogelijk is wanneer je ‘save to camera roll’ (op ios dan) uitzet.

Als je malware hebt die je foto’s aanpast heb je grotere zorgen dan wat doorgestuurde whatsappfoto’s lijkt me.
Het lijkt mij wenselijk dat ik de App een foto kan aanleveren om aan te passen. Niet dat ik een app toegang tot alles moet geven waarna deze dat op eigen houtje kan doen ongeacht of ik daar blij mee ben.
Wat een clickbait artikel dit. Apps kunnen nu eenmaal na permissie gegeven te hebben bij de bestanden, dus per definitie is het belangrijk om apps te installeren die bijvoorbeeld geen foto's automatisch doorsturen van je opslag. Dus dit is al jaren aan de gang en bekend en ook bestempeld als geen probleem (ook al geef je het een fancy naam). Facebook encrypt de bestanden van Messenger met (volgens mij door hunzelf ontwikkelde) conceal omdat die dat dus niet willen dat bestanden zomaar zichtbaar zijn, ik neem aan dat Whatsapp en elke security engineer hiervan op de hoogte is. Wat een storm in een glas water.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Zeehond op 15 juli 2019 22:27]

Waarbij WhatsApp dus Facebook is. En hoe weet jij of Apps foto's doorsturen? Als ze dat zonder toestemming doen gaan ze dat niet adverteren.

En het grote probleem is dat veel Apps dus toestemming vragen om de SD kaart om hun eigen dingen op te slaan, echter is er dan geen systeem wat dan limiteerd dat ze ook alleen bij hun eigen data kunnen.
Ja dus dat betekent dat dit artikel totaal 0 nieuwswaarde heeft.
Ik weet niet of apps wel of geen foto's doorsturen, maar dit is al jaren bekent dat het mogelijk is. Dus dit artikel slaat helemaal nergens op.
Het onderliggende probleem misschien niet, maar de implementatie hier ervan is weldegelijk interessant. Het gaat om het aanpassen van media voor dat jij die gezien hebt. Je zou dus in theorie nooit weten dat het is aangepast.
Op Windows is dit toch ook niet anders?

Sterker nog, UAC geeft je enkel een dialoog met het pad van de applicatie die verhoogde permissies wil, maar de intentie wordt nergens vermeld.

[Reactie gewijzigd door RoestVrijStaal op 15 juli 2019 20:48]

Dit probleem zou toch deels op te lossen kunnen zijn door de WhatsApp-servers geüploade bestanden digitaal te ondertekenen, waarbij de WhatsApp-app verifieert of de handtekening nog correct is, en zo niet, een melding te tonen dat deze afbeelding sinds ontvangst bewerkt is.
Lijkt me op dit moment nog niet echt een security issue, omdat als iemand toegang heeft tot me foto's deze sowieso de foto's kan bewerken.

Als er op een gegeven moment, bijvoorbeeld voor login, met plaatjes of iets dergelijks wordt gewerkt, dan kan ik het me wel goed voorstellen.
Dit is typisch iets wat een onwetende manager zou gaaf vinden, waardoor deze bedrijf ingehuurd wordt voor een opdracht. Is meer een reclame dan nieuws.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True