Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Actief misbruikt lek gaf apps root-toegang op telefoons met MediaTek-soc

Er zijn details verschenen van een lek in veel telefoons met MediaTek-socs dat actief misbruikt werd, waarmee apps root-toegang konden krijgen. De exploit werkte onder meer op toestellen van Xiaomi, Huawei, LG, Sony en Oppo.

De vinder van het lek heeft het MediaTek-su genoemd, schrijft XDA-Developers. De ontwikkelaar, die aanvankelijk een root-methode wilde vinden voor Amazon Fire-tablets, vond het lek in februari vorig jaar. Vervolgens heeft MediaTek een patch uitgebracht in het voorjaar van 2019, maar veel telefoons hebben die patch nog niet gehad en zijn dus nog kwetsbaar.

Het lek zit in 'vrijwel alle' MediaTek-socs met 64bit-processorkernen. Samsung-telefoons lijken door wijzigingen aan de kernel immuun voor de exploit, maar modellen van veel fabrikanten zouden wel vatbaar zijn, claimen XDA-gebruikers. Daaronder zijn de Nokia 3.1 en 5.1, Sony Xperia L3, LG K8+ 2018 en tientallen andere modellen.

Er is verder weinig bekend over het lek, dat Google alleen noemt in zijn Android Security Bulletin, maar verder niet uitlegt. Trend Micro zei al in januari dat Mediatek-su in gebruik was bij kwaadaardige apps om root-toegang te krijgen. Mediatek-su is ook in gebruik voor reguliere gebruikers om root te krijgen op hun telefoons. Het werkt op alle Android-versies tot en met Pie. Telefoons met Android 10 zijn niet vatbaar.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Nieuwsredacteur

03-03-2020 • 08:25

28 Linkedin

Submitter: AnonymousWP

Reacties (28)

Wijzig sortering
Lekker dit... :(

We weten hoe het zit met Android updatebeleid: veel mensen zullen dus geen update krijgen en kwetsbaar blijven. ...En dan te denken aan al die moderne dingen die je kunt doen met je smartphone, zoals betalingen, maar uiteraard ook andere persoonlijke gegevens die op je smartphone staan. Op mijn smartphone staan meer persoonlijke gegevens dan op mijn PC, om maar een voorbeeld te noemen.

Het updatebeleid bij Android is en blijft toch echt een serieus gebrek bij veel fabrikanten. Helemaal nu smartphones in principe langer dan 2-3 jaar gebruikt kunnen worden, omdat ze voor alle basistaken meer dan snel genoeg zijn en bij de meeste de bouwkwaliteit ook meer dan voldoende is. Denk ook aan zaken als duurzaamheid, een beter milieu oftewel we willen minder wegwerpmaatschappij, dus gaan we langer doen/doen we langer met onze smartphones. Als je dat wilt, als je die kant op wilt, dan zal je updatebeleid op orde moeten zijn! Ook voor oudere toestellen!

[Reactie gewijzigd door Stinky9 op 3 maart 2020 08:49]

Dat begint toch met de kernel die upstream verder ontwikkeld dient te worden, zodat je altijd de nieuwste kernel en Android versie kunt flashen. Daar zitten uiteraard haken en ogen aan en telefoonfabrikanten zullen liever nieuwere telefoons verkopen.

Mischien moet er maar verplicht worden om bootloaders en kernel drivers als broncode (en dus niet als blobs) vrij te geven, zodat je zelf altijd je beveiliging in orde kunt maken. Ik blijf het vreemd vinden, dat je op een laptop wel overal toegang toe hebt, alhoewel zich daar ook problemen voordoen met de ME/PSP en Secure Boot, maar op een telefoon niet in de naam van "veiligheid".

[Reactie gewijzigd door psychicist op 3 maart 2020 09:52]

Wat je noemt heet geplande veroudering. Vanuit consumentenbescherming, het milieu en beveiliging mag daar best wel (gehandhaafde) wetgeving voor komen, inderdaad.
Dat is technisch allemaal prima op te lossen door de juiste keuzes te maken. Een enorm platform heeft simpelweg de verantwoordelijkheid om dit te regellen. Dat $authority hier niet op toe ziet is kwalijk en onverantwoord
Helemaal mee eens. Het updatebeleid op Android blijft de zwakke plek. Veel toestellen zijn door dit lek gewoon onveilig. Wat dat betreft kan men nog veel leren van de concurrentie.
Het is meer de schuld van de SOC fabrikanten dan die van android.
Vervolgens heeft MediaTek een patch uitgebracht in het voorjaar van 2019, maar veel telefoons hebben die patch nog niet gehad en zijn dus nog kwetsbaar.
Als er hier iemand niet schuldig is, dan is het de SOC fabrikant. Zij hebben al lang een patch klaar staan.

De schuld ligt hem enerzijds bij de fabrikanten van de toestellen omdat ze de patch niet uitrollen. Dat kan redenen hebben als: het niet weten (ik hoop van niet), of er het geld niet in willen steken (die 1000 varianten van toestellen die doorgaans worden uitgebracht moeten allemaal getest worden).

Anderzijds kan je je afvragen of Google dat allemaal niet wat beter had kunnen opzetten. In Linux (waar Android op gebouwd is) is zo'n patch installeren kinderspel, en worden niet alle hardwareconfiguraties getest. Op één of andere manier heeft Google een ecosysteem gemaakt waarbij dat allemaal zo simpel niet meer is (misschien kennen anderen hier de reden waarom dat allemaal moeizamer lijkt te gaan dan bij Linux, want in principe spreken we over dezelfde kernel).
Het is inderdaad jammer dat Android geen patches toestaat. Op webOS-telefoons/-tablets (eveneens gebaseerd op Linux) kon je altijd zelf patches installeren.
Ehhh, de SOC fabrikanten zijn juist wel een groot onderdeel van het probleem. De binary blob die je nodig hebt maakt het updaten onnodig lastig. Iedere telefoonfabrikant zit, voor iedere telefoon, voor iedere Android versie, weer opnieuw het wiel uit te vinden.

Dit is juist een van de kernpunten waar Google verbeteringen eist van de SOC leveranciers, en waarom ze dat verplichte updateregime voor Android 9+ afdwingen.

Zelfs de Rasberry Pi bevat een gigantische binary blob.
Denk ook aan zaken als duurzaamheid, een beter milieu oftewel we willen minder wegwerpmaatschappij, dus gaan we langer doen/doen we langer met onze smartphones.
En dat is nu net het probleem, wil je een beter updatebeleid gecombineerd met duurzaamheid dan zullen fabrikanten die kosten doorberekenen aan de consument. En laat dat nu net het probleem zijn van menig consument.

Je kunt geen en/en combinatie verwachten voor de prijzen die je vandaag de dag voor smartphones neerlegt. Over milieu gesproken, in 2019 wisten veel mensen niet hoe snel ze nog even een elektrische auto moesten kopen aangezien e.e.a. zou veranderen rondom de subsidies. Dat zelfde gold ook enkele jaren geleden met zonnepanelen. Zodra mensen (teveel) voor duurzaamheid moeten betalen, zullen ook steeds meer mensen afhaken.
Als je dat wilt, als je die kant op wilt, dan zal je updatebeleid op orde moeten zijn! Ook voor oudere toestellen!
Ik denk dat we een nieuwe regeling nodig hebben naast garantie.
Garantie is prima voor fysieke objecten maar niet voor software. Garantie gaat er van uit dat een product "goed" is als het uit de fabriek komt, en dan langzaam stuk gaat naarmate de materialen verouderen. Garantie is er voor als het veel sneller stuk gaat dan de bedoeling is. Garantie hoeft dus ook maar een korte tijd te werken, daarna is het normaal dat dingen vroeg of laat stuk gaan.

Software blijft echter altijd hetzelfde. Gebreken die gevonden worden zijn niet voortijdig ontstaan, maar hebben er altijd in gezeten. Je software kan bit voor bit hetzelfde zijn gebleven maar toch niet meer geschikt zijn voor gebruik.
Bij software wil je juist dat deze voortdurend aangepast wordt aan de hand van gevonden gaten en nieuwe inzichten.

Misschien moeten we een voorbeeld nemen aan de auto-industrie waar regelmatig auto's worden teruggeroepen naar de garage omdat er een ernstige fout is gevonden, ook als die auto geen garantie meer heeft. Dat zal echter niet zomaar gaan want zo'n terugroepactie is verschrikkelijk duur. Het voordeel daarvan is dat autofabrikanten extra hun best zullen doen om te zorgen dat het nodig is om auto's terug te roepen.
Ligt ook aan de risico berekening met een formule. Zat al in de film Fight Club.
Leuk ook die lijst met "closed source" critical vulnerabilities in de Qualcomm component...
Inderdaad, de fabrikanten van SOC's zijn verschrikkelijk als het aankomt op dit soort dingen. Ze zijn ook de reden dat Android-versies updaten voor veel fabrikanten jarenlang onmogelijk is geweest (en het is nog steeds zeer moeilijk in veel gevallen).

Als ik een lek in Qualcomm of MediaTek zou vinden zou ik persoonlijk gewoon het Google-beleid aanhouden (90 dagen notice en dan publiekelijk uitbrengen). Het moet eens gedaan zijn met die vage praktijken.

Op een paar asociale bedrijven zoals Nvidia na werken op de PC-markt alle fabrikanten gewoon mee aan de kernel waar iedereen van afhankelijk is. Qualcomm en Mediatek brengen eigen kernels uit want hun code is blijkbaar van dermate dramatische kwaliteit dat het nooit upstream geaccepteerd zal worden.

Het is tijd dat er een open source-vriendelijke chipsetfabrikant opstaat. Misschien dat iets als de EU daar subsidie voor kan geven? Als fabrikanten hun vage firmware houden, gaan consumenten wereldwijd er alleen maar op achteruit.
Qualcomm en Mediatek brengen eigen kernels uit want hun code is blijkbaar van dermate dramatische kwaliteit dat het nooit upstream geaccepteerd zal worden.
Dat is maar de helft van het verhaal. De andere helft is dat de fabrikanten die deze chips gebruiken dat gewoon accepteren. Als een bedrijf als Samsung op z'n strepen zou gaan staan en alle nog chips koopt die goed onderhoudbaar zijn dan zouden de chipfabrikanten snel genoeg bijdraaien.
Maar dat doen de fabrikanten niet want die willen vooral een zo goedkoop mogelijke chip. De meeste klanten kijken meer naar de prijs dan naar de ondersteuning op termijn. Wat dat betreft helpt het ook niet dat telefoons een statussymbool zijn geworden waardoor veel mensen hun telefoon vervangen lang voordat de hardware verouderd is.
En hoe zit het met laptops met MediaTek-socs?

[Reactie gewijzigd door djwice op 3 maart 2020 08:33]

The author states that the exploit works on “virtually all of MediaTek’s 64-bit chips,” and they specifically name the following as being vulnerable: MT6735, MT6737, MT6738, MT6739, MT6750, MT6753, MT6755, MT6757, MT6758, MT6761, MT6762, MT6763, MT6765, MT6771, MT6779, MT6795, MT6797, MT6799, MT8163, MT8167, MT8173, MT8176, MT8183, MT6580, and MT6595.
Klinkt dat het gaat om alle/meeste mobiele socs.
De MT8173 zit volgens de specs ook in deze laptop: pricewatch: Acer Chromebook R 13 CB5-312T-K7SP

En de laptop draait Android (gedeelde kernal met Crostini Linux (Debian) en ChromeOS).
Chrome OS is geen android
Het werkt op alle Android-versies tot en met Pie. Telefoons met Android 10 zijn niet vatbaar.
Maar is ChromeOS niet vatbaar omdat het alleen op Android te misbruiken is of is ChromeOS niet vatbaar omdat ze op ChromeOS niet getest hebben of dit lek te misbruiken is?
Op alle Chromebooks vanaf 2018 draait ook Android en Crostini Linux out of the box. Deze delen de kernal met ChromeOS.
Als ik het goed begrijp zit het probleem in een specifieke versie van de kernel die waarschijnlijk door verschillende fabrikanten is geforked. Bij Android laptops zou dat dus een probleem kunnen zijn, bij Chrome OS verwacht ik niet.
Samsung-telefoons lijken door wijzigingen aan de kernel immuun voor de exploit, maar modellen van veel fabrikanten zouden wel vatbaar zijn
Google: wijzigingen Samsung aan Android-kernel veroorzaken beveiligingsproblemen
nieuws: Google: wijzigingen Samsung aan Android-kernel veroorzaken beveiligin...

Wat is google toch weer hypocriet bezig zeg :/
De onderzoeker geeft aan dat de telefoons wel kwetsbaar zijn, maar dat de exploit moet worden aangepast op het type telefoon. De onderzoeker maakte gewoon een one-size-fits-all voor de meeste telefoons en had geen zin/tijd om voor Samsung-telefoons specifiekere exploits te maken.

Oftewel: als een kwaadwillende er iets meer inspanning in steekt is Samsung net zo kwetsbaar, ze zijn niet veiliger dan andere telefoons.
Dus een telefoon zoals die van mij, OPPO Reno Z (MediaTek SOC), is dus vatbaar geweest of nog steeds.

Security Patch is van 5 november 2019, welp :/
"Vervolgens heeft MediaTek een patch uitgebracht in het voorjaar van 2019"

Ik neem dan wel aan dat je de patch gekregen hebt :)
Absoluuut ideaal om de tig MediaTek en Evenwell spyware op Nokia's te freezen. Niet onmisbaar (het meeste kan ook wel via een ADB shell (pm uninstall --user 0 [package_naam]), maar wel handiger. Na een reboot gewoon weer geen root (indien gewenst).

https://forum.xda-develop...t-mediatek-armv8-t3922213

[Reactie gewijzigd door guillaume op 3 maart 2020 08:47]

Valt deze SoC er ook onder? Mediatek Helio G90T

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True