Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers vinden kwetsbaarheid om Android-permissies over te nemen

Beveiligingsonderzoekers hebben een kwetsbaarheid gevonden in Android waarmee apps de permissies van andere apps kunnen overnemen. Volgens de ontdekkers wordt het lek ook actief misbruikt, maar niet door apps in de Play Store.

De kwetsbaarheid werd ontdekt door het Noorse securitybedrijf Promon. Het bedrijf noemt de kwetsbaarheid Strandhogg. Die maakt het mogelijk voor geïnfecteerde apps om de permissies van legitieme applicaties over te nemen. Zo kan een aanvaller via zulke apps bijvoorbeeld toegang krijgen tot sms'jes om zo 2FA-codes te onderscheppen, of toegang krijgen tot bestanden op de schijf.

De kwetsbaarheid zit in de manier waarop Android wisselt tussen processen. Via een proces dat 'taskAffinity' heet, kan een app de identiteit overnemen van een andere taak die op dat moment actief is. De bug kan dan actief worden op het moment dat een gebruiker een legitieme app opstart, waarop de nep-app kan vragen voor bepaalde permissies. Het lijkt er dan op alsof de legitieme app vraagt om die permissie. Gebruikers zouden daardoor eerder geneigd zijn die te accepteren.

Naast het vragen om permissies is het met deze methode ook mogelijk een phishingpagina te tonen om de inloggegevens van een gebruiker te stelen. De methode werkt op iedere versie van Android, ook op versies die geen root-toegang hebben. De onderzoekers probeerden de methode uit op de 500 populairste Android-apps in de Play Store en wisten de kwetsbaarheid op al die apps uit te buiten.

De applicaties stonden niet in de Play Store zelf, maar waren te downloaden via een dropper-app. Dat zijn applicaties die wel in de Play Store staan, maar één of meerdere apps van daarbuiten installeren. Zulke apps doen zich voor als legitieme apps, maar worden doorgaans gebruikt om malware te installeren. De applicaties zijn inmiddels verwijderd door Google, zeggen de ontdekkers.

Door Tijs Hofmans

Redacteur privacy & security

03-12-2019 • 10:16

25 Linkedin Google+

Submitter: Jonathan-458

Reacties (25)

Wijzig sortering
Hier een mooie Twitter thread over deze "kwetsbaarheid": https://twitter.com/fs0c131y/status/1201761350231482368?s=19

Het komt er vooral op neer dat dit een bedrijf is wat even in de spotlight wil staan. Het feit dat ze Google Ads hebben voorbereid voor de "lancering" zegt denk ik genoeg.
Het is anders best wel een serieus probleem. Al dan niet by design en al langer bekend, is het een te misbruiken aanpak die heel netjes gemeld is.
Ze verdienen het dus om in de spotlight te staan. Er is nog geen aanpak om misbruik te voorkomen.
Wel "slordig" dat ze eerdere onderzoeken niet vermelden.
Overigens ook slordig van tweakers die hier aandacht voor had kunnen hebben.

[Reactie gewijzigd door SED op 3 december 2019 13:55]

Dank voor de link. Even het doc in die link gecheckt. Het gaat dus om task hijacking. Het is al bekend sinds 2015. En het werkt nog steeds. Lijkt me toch een kwalijke zaak die je niet dient te bagatelliseren middels aanhalingstekens of het bedrijf die hieraan wil verdienen via de aandacht.

Als je de abstract alleen al leest, is dit best erg. Mogelijkheden bestaan o.a. uit ui spoofing, dos en stelen van credentials. Verderop in de reacties hier, stond ook een opmerking dat dit niet verder gaat dan userland, maar dit is dus al genoeg om heel veel kwaad aan te richten. Onderschat niet waar het hier om gaat!

Nog even een quote uit het gelinkte doc: "Our analysis shows that the task hijacking risk is prevalent.", oftewel wordt actief gebruikt. Sinds 2015.
En deze: "Despite the merits, we find that the Android task management mechanism is plagued by severe security risks."

Klinkt toch als iets dat aangepakt dient te worden. De aandacht kan Google wellicht ertoe dwingen in de volgende versie dit wel te fixen.

[Reactie gewijzigd door PTR op 3 december 2019 15:19]

Omdat dit al eerder is opgemerkt of Google het niet oplost wil nog niet zeggen dat de aandachtzoekers geen punt hebben. Het ontwerp van Google schiet hier duidelijk te kort omdat er een gebrek aan controle is voor de gebruiker om ongewenst gebruik tegen te gaan. Op zijn minst zou Google hier een permissie voor moeten maken.

Voorheen waren Microsoft fanboys ook tegen kritiek op gebrek aan beveiliging en domme implementaties van bijvoorbeeld Windows wachtwoord opslag en toepassing. Tot het een paar keer echt fout gimg en zowel microsoft als de fans door kregen dat je dit soort fouten in ontwerp beter niet kan bagatelliseren of verwerpen.

Ik zou niet weten wat er verstandig aan zou zijn om dit foute ontwerp in stand te houden simpelweg omdat het zo ontworpen is. Het is by design is geen sterk argument als dat design zwak is en onnodig risico voor de gebruiker meebrengt.
Het ontwerp van Google schiet hier duidelijk te kort omdat er een gebrek aan controle is voor de gebruiker om ongewenst gebruik tegen te gaan.
Een veel gemaakte denkfout. Men gaat er van uit dat de gebruiker de klant is. Maar de klant is degene die Google betaalt en dat is niet de gebruiker maar de overheden en organisaties die Google betalen voor informatie. De grootste klant zijn de geheime diensten van de USA. Die betalen miljarden voor informatie. Daar bouwen bedrijven als Google graag features voor in in het ontwerp. Het zijn dus geen tekortkomingen voor de klant maar features. Daarom zit het er ook al sinds 2015 in.

Het draait dus niet om de gebruiker, dat is eigenlijk een leecher die gratis wil meeprofiteren, en daar hard op afgerekend wordt. Dat hele model van gratis is een scam om mensen vrijwillig hun rechten te laten opgeven. Daarbij doet men alsof men de gebruiker is toegedaan. Bedrijven die er dingen gratis weg geven? Welnee, dat is nu het lokkertje om de scam te laten werken.

Wanneer worden mensen eens wakker? En dan bedoel ik net name tweakers die Google maar hoog blijven houden omdat ze ooit meegegaan zijn in de hype, Ben ik ook, maar inmiddels weet ik wel beter.

[Reactie gewijzigd door Elefant op 4 december 2019 23:47]

Ads voorbereiden op een bug die je kenbaar gaat maken na dit al aan Google gemeld te hebben, vind ik niet zo heel raar. Zeker niet als je businessmodel is om apps te beveiligen. We gaan toch ook niet zo redeneren als een anti-virus bedrijf komt met een nieuw virus die al dan niet gebaseerd is op oudere exploits?

Ja je moet eerst de gebruiker een app buiten de store om laten installeren, maar er zijn wel degelijk partijen die zo werken. Epic bijvoorbeeld met Fortnite. Veel programmaatjes op XDA bijvoorbeeld ook. Dan lijkt me dit een legitieme claim. Het is dus vooral zaak om goed op te letten en om bedrijven te forceren officiële distributie-kanalen te gebruiken alsmede die distributiekanalen geen monopolie te geven en onnodig veel winst op te strijken over de ruggen van ontwikkelaars.

Ik ben benieuwd of er nog Android beveiligingsapplicaties zijn die dit soort dingen inmiddels detecteren.

Ik zie inmiddels een aanvulling binnen je bron:
Addendum 1: They reported the issue to Google this summer. Google didn’t patch it because, I don’t know, they probably don’t consider it as “a serious vulnerability”
Dan kun je het hun toch niet kwalijk nemen om hierop in te spelen?

[Reactie gewijzigd door Martinspire op 3 december 2019 16:08]

Begrijp ik dan goed dat het lek niet in het permissiesysteem zit? Er zit een lek in 'taskAffinity, dat gebruikt wordt om een phishing aanval uit te voeren. Dat vind ik iets heel anders dan een kwetsbaarheid in het permissiesysteem
Ik beschouw het niet eens als een echt lek want het is totaal "By Design"

When the intent that launches an activity contains the FLAG_ACTIVITY_NEW_TASK flag.
A new activity is, by default, launched into the task of the activity that called startActivity(). It's pushed onto the same back stack as the caller. However, if the intent passed to startActivity() contains the FLAG_ACTIVITY_NEW_TASK flag, the system looks for a different task to house the new activity. Often, it's a new task. However, it doesn't have to be. If there's already an existing task with the same affinity as the new activity, the activity is launched into that task. If not, it begins a new task.
https://developer.android...ties/tasks-and-back-stack

Er lijkt niet goed te zijn nagedacht over de potentiele gevolgen van deze manier van task injection. Er zou minstens een permissie of waarschuwing moeten zijn voor dit soort gedrag. Ik ben ook wel benieuwd in hoeverre het plaatsen van activities in een andere task wordt gebruikt voor legtieme doeleinde.

[Reactie gewijzigd door Retonator op 3 december 2019 11:22]

Geen bug, wel een lek natuurlijk..

Of je nu per ongeluk (bug) of bewust (by design) de permissies van een andere applicatie kunt krijgen, doet niets af aan het feit dat de app ineens met meer rechten draait dan oorspronkelijk was toegewezen..
Moet ik nu mijn alu hoed uit de kast gaan halen en veronderstellen dat dit 'by design' een optie geeft om te misbruiken?
Dit moet ook met een korrel zout worden genomen. Het is geen echt permissiesysteem. Apps draaien al op user-level. Het (deels onklaar gemaakte) Android/Linux permissiesysteem zit daar ver onder maar daar gaat dit niet over. Apps zijn geen programma's en worden uitgevoerd door dezelfde user...

[Reactie gewijzigd door blorf op 3 december 2019 11:47]

Op userland niveau kan je ook al genoeg kwaad aanrichten, als in gegevens stelen. Security is meer dan alleen system level access krijgen.
Dat komt omdat het wiel opnieuw uitgevonden moet worden. Er is alsnog een constructie nodig om op dat niveau strikt onderscheid in permissies van processen te handhaven.
Maar een random app uit de store vraagt rustig om toegang tot je foto's zonder goede reden en vrijwel altijd zonder details. Wat gaan we doen met welke foto's? Dus korrel zout?
Wat er naar mijn mening nog mist is dat deze exploit te gebruiken is op alle versies van Android 6 en hoger. Dus ook 9 en 10 waar Google de rechten van apps flink aan banden heeft gelegd.
Staat er al in:
De methode werkt op iedere versie van Android, ook op versies die geen root-toegang hebben.
Toch knap hoe creatief die hackers zijn.
Wow, op iedere versie van Android. Dat is wel een enorme vondst. Dan is t update beleid toch wel een probleem om t nu te fixen. Zeg ik als Android fan.
Google Play Services staat ook op 'iedere versie' van Android, dus als ze het op die manier op kunnen lossen is het al werkbaar.
De standaard software die bij telefoonfabrikanten af komt heeft GAPPS aan boord ja, omdat Google hen dit verplicht.
Als je een versie van Android zonder GAPPS wil, dan zal je zelf aan de slag moeten door bijvoorbeeld LinageOS of /e/ er op te flashen. En dan nog kan je er voor kiezen of je wel of geen GAPPS er bij wil. Zelf kies ik voor een versie zonder GAPPS.
Ik vind de opmerking dat applicaties die bij GPS vandaan komen veilig zouden zijn voor deze exploit op zijn minst tendensieus. Ik ben vrij zeker dat hetzelfde geldt voor F-Droid en mogelijk andere Android app stores. Een reëlere opmerking zou zijn dat gesideloade APK's van onbekende en/of onbetrouwbare herkomst gewantrouwd zouden moeten worden.
Tjah, zolang je niks buiten de store om installeert, is er dus weinig aan de hand. En ik denk ook dat de meeste apps van apkmirror nog wel normaal zullen zijn, al is het makkelijker om die te laten infecteren dus.

Toont maar weer aan hoe belangrijk het is om niet zomaar apps te gaan installeren.
Als je een webpagina maakt met alleen een inlog scherm en met als titel: login met uw apple of google account en daarbij een logo plaatst. Dat er ontzettend veel mensen dit gaan invullen, en dan heb je denk ik ook nog het geluk dat die persoon al zijn mogelijke wachtwoorden invult als je aangeeft dat het wachtwoord onjuist is.
Maar dan moet je dus nog wel zelf expliciet wéér toegang geven voor een permissie die de app al heeft. De oplettende gebruiker merkt dat wel, een hoop ook niet.

Hebben ze het ook getest op BlackBerry Android? Die geeft namelijk ook een melding wanneer een app de permissie gebruikt, daarbij zal je gelijk zien dat dat een andere app is waarschijnlijk.
Maar dan moet je dus nog wel zelf expliciet wéér toegang geven voor een permissie die de app al heeft. De oplettende gebruiker merkt dat wel, een hoop ook niet.
Dit zou inderdaad kunnen opvallen, echter er zijn ook andere aanvallen mogelijk. Aangezien via de beschreven methode in principe de task van de betreffende app wordt overgenomen kan ook een phising aanval op een 'natuurlijk' moment worden geplaats. Je kunt activities compleet namaken zonder dat deze van het echt te onderscheiden zijn.
Ik ben iemand die wel regelmatig door de instellingen van mijn telefoon heen ga om alles te controleren. Maar ook ik mis nog wel eens wat. Google Maps gebruikt en hoppa wifi scanning stond weer een paar dagen aan :X
Als ik die extra spatie zie, gaan er bij mij al bellen rinkelen. Maar genoeg mensen die overal ja op zeggen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True