Nieuwe versie Android-kwetsbaarheid Strandhogg is gemakkelijker uit te buiten

Een Noors beveiligingsbedrijf heeft een manier gevonden om een eerder ontdekte kwetsbaarheid in Android gemakkelijker uit te buiten. Het gaat om Strandhogg 2.0, waarmee apps kunnen worden nagebootst om inloggegevens te stelen of permissies over te nemen.

Strandhogg 2.0 werd ontdekt door het Noorse beveiligingsbedrijf Promon en zou een spirituele opvolger zijn van Strandhogg, dat eind vorig jaar werd ontdekt. Strandhogg kon ook permissies van andere Android-apps overnemen. Het huidige onderzoek wijst op een kwetsbaarheid waarmee Strandhogg nog gemakkelijker uit te voeren is.

Strandhogg 2.0 maakt gebruik van dezelfde soort kwetsbaarheid als de originele versie, maar op een andere manier. Bij de originele malware werd een Android-feature genaamd taskAffinity uitgebuit. Die functie is bedoeld om sneller tussen apps te wisselen. Strandhogg is malware die taskAffinity kan gebruiken om een andere app na te bootsen door de packagenaam van een app te kopiëren. Zo kan de app zich bijvoorbeeld voordoen als een nagebootste bankapp, om op die manier inloggegevens te bemachtigen. Ook kon de geïnfecteerde app om bepaalde Android-permissies vragen, waarbij gebruikers dan dachten dat de permissies nodig waren voor de originele app.

De originele Strandhogg was relatief eenvoudig te blokkeren in de Play Store doordat het gebruik van taskAffinity in het Android Manifest moest staan voordat de kwetsbaarheid kon worden uitgebuit. Bij Strandhogg 2.0 gaat misbruik op een andere manier. Daarbij is het volgens Promon niet meer nodig om packages in het Android Manifest te manipuleren. De code om een gebruiker aan te vallen wordt namelijk pas achteraf gedownload.

strandhogg 20

Strandhogg 2.0 is bovendien wat gemakkelijker uit te buiten doordat de malware geen roottoegang nodig heeft om op de telefoon te draaien. Dat was bij het origineel nog wel een vereiste.

Het beveiligingsbedrijf heeft de kwetsbaarheid aan Google doorgegeven. Dat kwam in de April Update voor Android met een patch. Het lek heeft code CVE-2020-0096 meegekregen. Strandhogg 2.0 is niet uit te buiten op Android 10, maar wel op alle oudere versies.

Door Tijs Hofmans

Nieuwscoördinator

27-05-2020 • 10:05

48

Reacties (47)

Sorteer op:

Weergave:

Android 10: +/- 8% van alle gebruikers

Ondanks het feit dat op dit moment Android veiliger is dan iOS voor allerlei attacks die misbruik maken van een bepaalde vorm van memory corruption, is die veilige versie voor de meeste gebruikers simpelweg niet weggelegd. Bovendien is Android begonnen als een bijna compleet open systeem en zijn ze achteraf dingen gaan dichttimmeren, waardoor je sneller paadjes overhoudt zoals dit. Ik kan er nog steeds niet over uit dat Facebook Messenger zich gewoon ongevraagd in mijn UI nestelt. Dat irriteerde me al in Android 2.3. Los daar van is de Play Store ook gewoon een zooitje vergeleken met de iOS App Store.

[Reactie gewijzigd door BikkelZ op 22 juli 2024 14:09]

Hoe kan FB messenger zich ongevraagd in je UI nestelen? Heb ik echt nog nooit last van gehad. En ik ben inmiddels al een jaar of 3 FB vrij, dus het zou me zeker opvallen.

Dat het vaak wordt meegeleverd als bloatware is een ander verhaal :(

En zoals ik het zie is dit niet een exploit in Android, maar in die van de Google services?
Nee als je Messenger installeert dan krijg je zo'n bubble van Messenger. Zal vast wel uit te zetten zijn maar het gaat er meer om dat applicaties gewoon veel meer kunnen rommelen met de rest van het systeem dan mogelijk is in iOS.
Yep, in principe zou zo'n chat-app zodra je je bankieren app opent een "voer PIN-code in" scherm kunnen tonen over de bank app heen, en zo je beveiliging lek prikken. Echt een vreemd ding in Android.
Nee dat kan niet. Apps kunnen exclusieve toegang tot het scherm opeisen zodat overlays van andere apps verdwijnen (en screenshots worden geblokkeerd). Waar BikkelZ over klaagt is gewoon een feature, apps kunnen overlays maken á la picture-in-picture zodat je een filmpje kan kijken tijdens het whatsappen of je navigatie instructies zien terwijl je telefoon app open staat tijdens een gesprek.
Ter info: Als je de chatbubbels bedoelt:
Facebook Messenger krijgt die rechten bij 'allow apps to draw overlays', (in mijn S7 edge heet het bij settings --> apps --> ... speciale toegang -> "apps die bovenop kunnen worden weergegeven") dus dat kan je daar ook gewoon uitzetten. Het is ook een setting in de app zelf geloof ik.

Maar ik snap je punt wel dat het risico's meebrengt, maar die rechten moet je wel eerst toekennen als ik me niet vergis.
Je kan overlay van apps uitzetten, dan kan messenger dat niet meer ;-)

edit; wat je dan ook niet meer hebt is bijv google maps die rechtsonder in je scherm draait terwijl jij een andere app open hebt staan, functies die IOs niet hebben

[Reactie gewijzigd door robbinwehl op 22 juli 2024 14:09]

Gewoon een toestel met Sailfish nemen en je facebook account opzeggen, ben je er vanaf.
"Ondanks het feit dat op dit moment Android veiliger is dan iOS voor allerlei attacks die misbruik maken van een bepaalde vorm van memory corruption"

Waar haal je dat? Of bedoel je iOS devices met jailbreak?
Ben hier (als Android-gebruiker) ook benieuwd naar.
OpenSource blijft toch wel koning. Dan weet je tenminste welke wijzigingen er worden toegepast.
Auditen van de code is eveneens belangrijk.

Mijn OnePlus 5T heeft inmiddels ook z'n laatste major update gekregen. Wat ik hierna ga doen (Qua ROM of toestel) is nog niet duidelijk.
Ik heb een android telefoon die 2 jaar oud is en die krijgt geen updates meer. Dus ik zit vast op android 9 of ik moet via XDA zelf een andere firmware er op zetten. Maar eerlijk gezegd heb ik daar niet zoveel zin in. Als die support nou een keer langer doorloopt dan kan je er nog wat mee. Hebben ze jaren geleden beloofd maar is niks van gekomen. Het is een wegwerp cultuur geworden, na 2 jaar kan je de telefoon weggooien terwijl er niks mis mee is. Ik hoef geen nieuwe telefoon.

Daarnaast erger ik mij ook aan die voor geïnstalleerde software, facebook kan ik alleen uitzetten en niet verwijderen.
Nou dan moet je gewoon een Nokia kopen daar kan je het wel uitzetten of verwijderen en je krijgt 3jaar beveiligings updates en als je een toestel neemt waar de nieuwste versie android opstaat uit de box dan ook 2x een nieuwe Android versie.
Maar dit is wel gepacht in 8.0, 8.1 en 9.0

https://source.android.com/security/bulletin/2020-05-01


Dan zouden we moeten kijken hoeveel toestellen deze patches hebben gekregen. Is zeker nog niet ideaal, en daarom met ieder nieuwe Android release wordt gewerkt aan het los updaten van onderdelen, en straks kunnen hopelijk dat soort zaken gewoon via play services geüpdatet worden.
Waarom de eerste post al gelijk weer IOS erbij halen, en ervoor zorgen dat het niet meer over deze Android bug gaat, maar welk systeem beter is.
Kunnen er in de Playstore van deze 2.0 apps staan? Of geldt dit alleen voor losse downloads?
Het lijkt me wel opvallen als er een ING app met 1 miljoen downloads staat en 1 met 10.000. Dan zal er toch vast wel iemand zijn die hier melding van maakt?

Wat ik bij dergelijke nieuwsberichten graag wil weten is waar ik op moet letten om zelf geen slachtoffer te worden. Dat is me nu niet echt duidelijk.
Volgens mij is het idee juist dat een compleet andere app zich kan voordoen als een al geinstaleerde app. Bijvoorbeeld jij download een game wat ook echt een game is, maar de makers hebben kwade bedoelingen en hebben ook deze malware meegeleverd. Het gaat zich dan voordoen als de ING app (die al geinstaleerd was), zodat wanneer je de ING app opstart het eigenlijk de malware opstart. Ondertussen kun je de game wel gewoon spelen.

[Reactie gewijzigd door FakeTruth op 22 juli 2024 14:09]

Maar is het dan zo dat ik in mijn launcher 2x ING zou zien staan? De originele ING launcher icon kunnen ze toch niet vervangen?
Neen, er staat gewoon 1 keer de ING app. Maar zodra je deze aanklikt onderschept deze malware de call en presenteert jou met een aanlogscherm exact zoals die van de ING. Deze gegevens (lees je pin, mogelijk je vingerafdruk?) worden dan doorgegeven aan de malware server én aan de ING app zelf.

Zo ben je dus gewoon ingelogd op een legitieme app, maar je gegevens zijn ook doorgestuurd naar een 3e partij met minder goede bedoelingen. Het moet zo ook mogelijk zijn om betalingen te onderscheppen of zelfs gewoon te verrichten.

Ik ben wel benieuwd of app locker (een soort tweede authenticatie voor applicaties) zoals Xiaomi, Realme en anderen die bieden hier nog tegen zou helpen? Kan er ook niet uit wijs worden of een vingerafdruk ook word afgevangen, of alleen andere input. Anyone?
Interessant, dat is wel heel zorgelijk als ze een app launcher icon kunnen 'hijacken'.

Overigens zullen ze niet zomaar je vingerafdruk kunnen krijgen hoor. Die data is niet beschikbaar voor apps, ook niet voor de ING app.
Hoe werkt dat precies? Ik kan me voorstellen dat Android een hash van de vingerafdruk aan de vragende app doorgeeft, maar kunnen kwaadwillenden met deze methode niet gewoon die hash kapen en gebruiken voor identiteitsfraude?
Volgens mij staat die hash binnen een afgeschermd OS deel. De app vraagt om authenticatie, Android verifieert je vingerafdruk en de app krijgt alleen een berichtje 'authenticate gelukt' of 'authenticatie mislukt'.
Je kunt btw voor elke app instellen dat vingerafdruk nodig is voor het opstarten. Je zult dan wel zelf moeten opletten op het feit dat de malware het niet vraagt en de originele wel.
Of misschien zie je iets vreemds gebeuren op het moment dat de malware het overneemt.
Bedankt. Dat klinkt logisch.
Je ziet dan maar 1x ING in de launcher. De originele launcher icon kunnen ze dus juist wel vervangen.
Je kunt dit ook zien in de video in het artikel.

[Reactie gewijzigd door FakeTruth op 22 juli 2024 14:09]

En erger nog:
De code om een gebruiker aan te vallen wordt namelijk pas achteraf gedownload.
Of dit in de playstore afgevangen kan worden valt daarmee te betwijfelen lijkt me.
Hmmm keek net updates na op m'n s9+

Zit blijkbaar nog op de maandelijkse patch ronde van maart en geen update beschikbaar. Vertraging door Corona? Hopelijk komt die snel.

Update: Oh nevermind, zit al op Android 10. 😅

[Reactie gewijzigd door Nees op 22 juli 2024 14:09]

Ieder zijn/haar ding. Ik gun iedereen die dat wil een wekelijkse update. Zelf pak ik ze ook allemaal mee maar eigenlijk zie ik het verschil niet.
Toen ik mijn huidige telefoon kocht draaide ie op Android 9. Nu op 10.
Verschil zie ik niet omdat ik al jaren Nova Launcher gebruik. Die doet precies wat ik wil en overruled veel van nieuwe dingen in Android 10.

Dus je hebt gelijk, de nieuwste firmware is niet altijd nuttig. Ik zal er dan ook geen traan om laten als ik om wat voor reden dan ook Android 11 moet overslaan.
En dat is de kracht van Android. Het is een open samenleving waarin je zelf je leven mag inrichten.
offtopic maar die (coronaVOORBEREIDING) komt niet met een systeemupdate maar het Google Play Services framework wat op de achtergrond bij wordt gewerkt los van systeemupdates. Dus die is "niet te stoppen". Als je updaten van Play Services gaat blokkeren, zullen vrij snel apps stoppen met werken aangezien die de laatste versie (gaan) vereisen.
De daadwerkelijke coronaAPP blijft uiteraard een keuze zodra die uitkomt in NL
Ik ben Belg... eigenlijk geen idee waar het over gaat lol.

Ik bedoelde dat de april update op zich laat wachten en we al mei zijn. Maar ik zit op Android 10. Dus geen kwetsbaarheid voor mij. 😆
Mijn (offtopic) reactie was op die van rodgerz
@Nees
Sinds 21 mei zit ik op de mei update met ook een s9+.
Heb je een standaard ROM?
Dit is dan vrij advanced malware, maar een simpele PWA die installable is lijkt me al genoeg om een boel mensen voor de gek te houden. Ik denk dat je met een van die reclame spam site's die je dan 'forceert' het te installeren, en dan bij installatie een ING icoon en website nabootst genoeg is om veel mensen voor de gek te houden. Kan dit overigens ook zomaar? of zijn hier ook wel maatregelen voor genomen?

Overigens is wat er in dit artikel wordt beschreven wel een serieuze issue...
Oh. Ik zie dat voor m'n 1+5 inmiddels een Android 10 is uitgebracht. Wish me luck.
Edit: 10.0.0. en reboot af en toe...

[Reactie gewijzigd door darkfader op 22 juli 2024 14:09]

In het artikel staat dat er een patch is uitgebracht in de April Update, maar dat moet de May Update zijn. Zie https://source.android.com/security/bulletin/2020-05-01. Als je zoals ik nog op de April Update zit (Nokia 8 ), ben je dus nog niet veilig...

[Reactie gewijzigd door CTX op 22 juli 2024 14:09]

Dit lijkt me toch best belangrijk. Ik checkte ook meteen welke security patch ik heb. vindt het persoonlijk bestwel slecht dat het nu al naarbuiten wordt gebracht als het pas in de android sec update van mei zit. had dan op zn minst 3 maanden gewacht zodat de update ook door fabrikanten gepushed kan worden.
Zo kan je overal wel een probleem van maken.

De meeste Nokia toestellen zitten inmiddels al op Android 10 en zijn dus überhaupt niet kwetsbaar.
Sowieso staat de android 10 update voor jouw toestel in Q2 van dit jaar gepland, dus dat is ook al bijna.

Dan is de may security patch er ook nog is bijna (Nokia released elke maand keurig), dus die paar dagen extra lijkt mij nou ook geen ramp.

[Reactie gewijzigd door LocK_Out op 22 juli 2024 14:09]

Voor de Android-wereld is dat redelijk goed (ik zit zelf nog net op patch level april met mijn Mi9, en niet eens 5 april), maar dit is natuurlijk niet de enige bug.

Zo zie ik in het gelinkte overzicht onder andere remote code execution staan bij het openen van bepaalde media (à la Stagefright) en diverse elevation-of-privileges bugs die wellicht niet zo ingrijpend zijn als die uit dit artikel, maar wel tot hetzelfde effect kunnen leiden. Afhankelijk van hoe de codec gebruikt wordt en hoeveel moeite het kost om de rechten van de code te verhogen kan een filmpje dat op internet staat dus je ING-app vervangen. De broncode van de patches is natuurlijk al uit, dus iedere malwareontwikkelaar kan met een fluitje van een cent hiermee aan de slag.

Het enige voordeel dat Android hier heeft is dat er weinig daadwerkelijk interessante malware voor is. Zodra je een maand achterloopt ben je eigenlijk al kwetsbaar, maar omdat het makkelijker is om van een potentieel verwoestend virus adware te maken (en het waarschijnlijk meer geld oplevert) zie je niet zoveel uitbraken.

Daarnaast zit zoals iedere maand de gesloten Qualcom-software weer vol met lekken waarvan je niet eens kan weten wat ze kunnen doen. Dit zijn wel eigenlijk altijd drivers of kernel-subsystemen dus iedere exploit is een gevaarlijke.

Android zonder de security updates is altijd toch wel een beetje zoals tegenwoordig nog XP gebruiken om te browsen. Je weet dat het onveilig is, maar de kans dat je geïnfecteerd wordt is niet zo heel hoog dus het maakt niet uit, toch?

We zien hier doorgaans niet zoveel van in het nieuws omdat de meeste exploits geen naam, website en grappig plaatje hebben zoals Strandhogg/Heartbleed/Spectre/etc. Dit soort kwetsbaarheden zijn echter aan de orde van de dag op elk besturingssysteem en daarom is een maand achterlopen op updates wel degelijk een risico, ook al is er de laatste tijd niet zoveel in het nieuws geweest.
Tuurlijk zijn de Security patches belangrijk. Daarom gebruik ik ook een Android One toestel.
Tuurlijk is elke dag kwetsbaar een dag te lang, maar dit blijft een kat en muis spel.

Het was puur een reactie op zijn opmerking. Kwetsbaarheden zullen er altijd zijn en blijven. Zorg dat je bij een fabrikant zit die netjes elke maand patched.

[Reactie gewijzigd door LocK_Out op 22 juli 2024 14:09]

Ik schrijf nergens dat ik een probleem heb met het niet hebben van de patch, ik wees alleen maar op een onjuistheid in het artikel. Daarbij heb ik, zoals ik schreef, een Nokia 8 en die zit inmiddels in de 3-maandelijkse patch-cyclus. Het is dus geen kwestie van een paar dagen, maar van een paar maanden wachten voor mij. Maar voordat je weer een aanname doet; Nee, dat vind ik niet erg :) Ik maak me nooit zo druk om de veiligheidsproblemen, omdat ik er veel over lees maar er in de praktijk gelukkig nooit iets over hoor...
Ik doe geen aanname, ik reageer op de laatste zin uit jouw post. Die zin heeft een bepaalde intonatie. Vervolgens blijk je een telefoon te hebben die enkel 3 maandelijks security patches krijgt en boeit het je eigenlijk allemaal niks.

Hoezo hoor je er in de praktijk niks over, dit artikel is toch een praktijkvoorbeeld?
Zo zie je maar hoe belangrijk het is om je android waar mogelijk up to date te houden.
Je klaagt nu over Android alsof je het vergelijkt met iOS

Apple stopt ook met updates na X jaar.
Ja, die X is langer dan de e12 telefoon van Kijkshop, maar dat is niet vergelijkbaar omdat Apple geen goedkope telefoons heeft.
Pas als Apple iets onder de e100 op de markt zet, kunnen we echt gaan vergelijken.

Het updatebeleid van Google is niet slecht. Het is gewoon goed.
Zelf heb ik een wat oudere OnePlus en ontvang daarvoor nog steeds updates. Een fors percentage van die updates komt van Google.
Je hebt uiteraard wel gelijk dat sommige fabrikanten heel laks zijn met updates.
ook bij android telefoons van 400 euro is het update beleid triest. denk dat je echt te kort door de bocht bent in het idee dat het alleen bij erg goedkope telefoons is of bepaalde merken. dat is gewoon niet zo. het is VEEL eerder uitzondering dan de regel dat fabrikanten 2 jaar lang elke 2 maanden een security update pushen.

[Reactie gewijzigd door t link op 22 juli 2024 14:09]

Ik maak geen vergelijking met Apple, die relatie leg jij. Ik constateer alleen dat de meerderheid van de Android toestellen waarschijnlijk niet meer gepatcht wordt voor dit issue. Dit is een fundamenteel probleem binnen het Android systeem. Ik heb mijn S7 recent vervangen door een S20. De S7 is in principe nog goed bruikbaar maar krijgt geen updates meer. Toestellen van een 100-200 euro krijgen soms helemaal geen update na introductie.

Op dit item kan niet meer gereageerd worden.