Eerste beveiligingsgat in Googles Android gevonden

Slechts enkele dagen na de introductie van de eerste Android-telefoon heeft een groep onderzoekers het eerste serieuze beveiligingsgat gevonden. Door het bezoeken van een malafide website is het mogelijk om een keylogger te installeren.

Het beveiligingsgat bevindt zich in de browser die met het Android-besturingssysteem wordt meegeleverd. Het besturingssysteem maakt in totaal gebruik van meer dan tachtig stukken opensource software, waaronder de browser die gebaseerd is op de Webkit-engine. Android gebruikt echter niet de laatste Webkit-versie, waardoor het mogelijk is om bijvoorbeeld een keylogger te installeren als een gebruiker een speciaal geprepareerde site bezoekt. Volgens Google bevat de laatste versie van Android het probleem niet meer, en wordt er samengewerkt met T-Mobile en HTC om een patch aan te bieden aan de huidige Android-gebruikers.

Android logo Hoewel de exacte details van het beveiligingsgat niet gepubliceerd zijn zullen hackers waarschijnlijk niet veel tijd nodig hebben om het gat te vinden. Tegenover de New York Times liet Google weten niet blij te zijn met de publicatie van de resultaten van het beveiligingsonderzoek, zonder dat het bedrijf de kans kreeg de problemen van tevoren op te lossen. Charles A. Miller, één van de onderzoekers die het lek ontdekten, reageerde hierop door te stellen dat consumenten het recht hebben om te weten dat een product gebreken heeft.

Hoewel het gevonden beveiligingsgat een serieus probleem is, wordt de schade die een aanvaller kan veroorzaken met behulp van het lek beperkt door het beveiligingsmodel van Android. Doordat elke applicatie in zijn eigen virtuele machine draait kan alleen de browser aangetast worden, terwijl de overige applicaties schoon blijven. Voor deze opzet werd gekozen omdat volgens Rich Cannings, een security engineer bij Google “geen enkele applicatie te vertrouwen is”.

Reacties (35)

sir_huxley 28 oktober 2008 10:22

Je moet je bij soort gevallen afvragen waar een gebruiker op het moment van schrijven het meest mee gebaat is.

a) Dat zijn credit card gegevens nu gestolen kunnen worden omdat dit lek openbaar is gemaakt.
b) Dat zijn telefoon een beveiligingsgat heeft, en hij beter geen gevoelige informatie meer kan versturen middels zijn telefoon.

Ik ben van mening dat optie b, de juiste is. Het staat namelijk nergens vast dat andere hackers dit lek niet al eerder ontdekt hebben en er al gegevens van gebruikers gestolen zijn. Android is immers open source. Het hoeft dus niet al te moeilijk zijn voor hackers om na te gaan welke software versie op de android draait. Indien dit niet de laatste versie is staat er op de website van de betreffende software vast wel een lijst met security holes.

Voor een bedrijf als Google is dit soort informatie niet goed, maar zij zullen hun policy nu denk ik wel extra aanscherpen. Met dit soort fouten wil je als bedrijf natuurlijk niet te vaak geconfronteerd worden.

Dus op den duur verbeterd dat de kwaliteit van de software en daar zijn we allemaal bij gebaat.

geerttttt 27 oktober 2008 20:50

Tja, sowieso.. als je maar diep genoeg graaft vind je altijd wel wat slechts. Vooral bij iets als android wat veel open source spul aan boord heeft waarvan het e.e.a wat outdated kan zijn bij release.

Wel netjes toch van google. ten eerste is er al een fix onderweg, ten tweede is de schade van deze 'fout' maar minimaal vanwege hun securitymodel.

n4m3l355 @geerttttt • 27 oktober 2008 23:00

Daarintegen bij Android heb je tenminste zelf de kans om erin te graven om te zien wat er aan fouten in zitten en zijn de bugfixes ook openbaar. Andere systemen ben je overgelaten aan de producent wat die in een firmware update stopt. Deels zullen het bekende bugfixes en features zijn maar het is goed mogelijk dat hier ook verdere onbekende bugs in worden opgelost. Erger helaas is wanneer een patch ipv herstelt juist gaten slaat, iets wat je niet kunt controleren.
Ik denk dat wat dat betreft Android voor de gemiddelde tweaker/geek een leuk iets is, ik kan me echter goed voorstellen dat dit voor menig gewone gebruiker vrij beangstigend is. Ik hoop dan ook dat de bugfixes subtiel verlopen zoals met bv FF gebeurd waarbij op een gegeven moment rechtsboven in een rood bolletje verschijnt met 'update'. Voor een tweaker de optie om te kijken wat er geupdate wordt, en voor de gewone consument niets meer dan een update'je.
Dat terzijde is het wel een interessante setup dat iedere app in een eigen sandbox draait. Al vraag ik me wel af hoe veilig dit is ondanks dat Google hier anders over denkt. Dit zeiden ze ook bij Chrome waarbij uiteindelijk ook bugs opdoken die de gehele browser lieten crashen terwijl dit niet kon.

Niemand_Anders

Beveiliging

@n4m3l355 • 28 oktober 2008 09:16

Aan de andere kant is deze fout juist aan het licht gekomen omdat Android open-source is. De 'onderzoekers' hebben ondekt dat Android niet de laatste versie van webkit draait. Dus is het niet zo heel erg lastig omdat dan exploits te zoeken voor die betreffende versie.

Overigens hebben de onderzoekers ook de details niet vrijgegeven. Het Google marketing team heeft grotendeels gebruik gemaakt van de algemene consensus dat open source veiliger is dan closed source. Daarmee hebben ze een soort schijn veiligheid gecreeerd en daarom vind ik het juist wel goed dat de onderzoekers de resultaten naar buiten hebben gebracht.

Mensen weten nu dat ook Android fouten kan bevatten. Echter vanwege het open-source karakters kan Google nu wel gewoon de laatste versie van webkit gebruiken en daar hun android patches overheen gooien en vervolgens een release doen.

Ik moet wel zeggen dat ik het erg slordig vind dat Google niet uit zichzelf heeft gezorgt dat android de laatste (stabiele) versie draait. Je zou het bijna nalatigheid kunnen noemen.

Bij microsoft moeten hackers/crackers actief op zoek gaan naar gaten omdat Microsoft veel zelf gevonden issues niet naar buiten brengt. Ik weet het 'security by obscurity', maar ik sommige gevallen werkt het wel.

Omdat andoid feitelijk gewoon een (gespecialiseerde) linux distributie is, moet Google gewoon zorgen dat deze up-to-date is. Dat hebben zij nagelaten en is hun zeker kwalijk te nemen.

Verwijderd 27 oktober 2008 21:09

Google is dus niet blij met de publicatie, omdat ze zo de kans niet kregen om zelf het euvel uit de wereld te helpen?

Dit is wel een zéér eigenaardige redenering. Me dunkt, daar Google zélf de ontwikkelaar is, dat ze verdorie schoon de tijd hebben gekregen (of toch hadden moéten nemen) om er voor te zorgen dat zulke veiligheids-risico's er niet waren.

Het blijkt nog steeds zo te zijn dat de meeste bedrijven zo gefocust zijn op de te halen deadline, dat ze de tijd niet nemen om alles nog eens dubbel en dik te checken.

Het mag dan niet prettig zijn om je eigen gehaspel via de krant te vernemen, het is erger dat er weer eens een product wordt verkocht dat snel-snel moet worden gepatched...

Simon Verhoeven @Verwijderd • 27 oktober 2008 21:16

Umh het is eigenlijk wel de gewoonte om de fabrikant te informeren zodat deze al een patch kan ontwikkelen en dan pas dit bekend te maken.

Dit lijkt me ook eerder een publiciteitsstunt.

Er is geen enkel perfect product(bugvrij o.d.).

Verwijderd @Simon Verhoeven • 27 oktober 2008 21:44

Feit blijft dat Google een blunder heeft begaan door verouderde software te gebruiken.
Waarom mag de consument dat niet meteen weten? Dit zet Google enkel meer onder druk om snel met een fix te komen.

Snake 27 oktober 2008 20:33

Ik vind dat eerst het bedrijf gecontacteerd moet worden, en dan moet het bedrijf maar reactie geven 'wij fixen dit zeer snel', en dan, als dat niet gebeurt, kan men het bedrijf dwingen.

Het zo public releasen is veel onveiliger...

SKiLLa @Snake • 27 oktober 2008 20:44

Helemaal mee eens, het is overduidelijk een PR stunt van de "onderzoekers" ... quote: "Charles A. Miller, één van de onderzoekers die het lek ontdekten, reageerde hierop door te stellen dat consumenten het recht hebben om te weten dat een product gebreken heeft."

Tja, en de producent eerst informeren en pas 2 weken later het lek publiceren is niet "de consument informeren" ? Het is gewoon een doorzichtig en laf excuus, waarbij de eigen PR boven het "algemeen belang" gesteld wordt; een erg slechte eigenschap van/voor "beveiligings onderzoekers" ...

kidde @SKiLLa • 28 oktober 2008 00:59

Luister. Aan Google is verschillende malen gevraagd hun zogenaamd 'open' OS dat helemaal niet open is, te openbaren. Dat hebben ze pas een paar dagen geleden gedaan. Dit had voorkomen kunnen worden als Google geluisterd had en hun 'open' OS eerder opengesteld hadden, zoals je van een open OS mag verwachten.

Google heeft echter haar eigen belang boven het algemeen belang - en erger - het belang van haar klanten gesteld door eigenwijs het 'open' OS niet te openen; en daarbij is 'open' door Google als marketingterm gebruikt. Er werd zelfs bijna niet over het OS gecommuniceerd, en vragen van derden over het OS werden niet beantwoord.

Het is dus meer een gesloten ontwikkeld OS waarvan nu eindelijk de broncode openbaar wordt, maar dat geld net zo goed voor Windows. Weinig open dus.

Als je als Google zo'n misleidende PR stunt uithaalt kan je verwachten dat anderen dat ook doen.

Supremo @kidde • 28 oktober 2008 03:41

Android vergelijken met Windows is een zeer slechte vergelijking.

Windows is hoogstens shared-source en dat alleen voor bepaalde instellingen die dan ook nog eens een NDA moeten tekenen.

Open Source betekent nog niet automatisch dat al het ontwikkelwerk in elk stadium beschikbaar hoeft te zijn. Pas wanneer je het publiekelijk uit brengt, dan pas hoef je de source pas vrij te geven. Dat andere projecten dat eerder doen betekent nog niet dat Android geen Open Source is.

En ik weet niet hoe jij durft te stellen dat Android niet Open is en alleen marketing is wanneer de kernel van Android gewoon onder de GPL beschikbaar is.

http://arstechnica.com/ne...-so-start-developing.html

Dat heb ik M$ nog nooit zien doen.

En voor iemand die beweert dat hij zo veel met Open Source producten doet, vind ik dat je bar weinig van de definitie van Open Source weet.

mjtdevries @Supremo • 28 oktober 2008 10:33

Er is gewoon een groot verschil tussen de exacte definitie van Open Source, en hoe de community vervolgens vind dat je met open source moet omgaan.

Android mag dan wel open source zijn, maar Google gedraagt zich niet open.

Blokker_1999

Browsers
Google

@SKiLLa • 27 oktober 2008 21:12

Door de consument te informeren informeer je direct ook de producent, en dat is nog het beste uiteindelijk. Het is altijd mogelijk dat malware schrijvers reeds gebruik maken van en lek en door de informatie zo snel mogelijk bekend te maken kunnen mensen hun voorzorgen nemen.

TheCapK @Blokker_1999 • 27 oktober 2008 21:48

Maar ze kunnen ook de consument informeren zonder details vrij te geven!

vgroenewold

Mobiele besturingssystemen

@TheCapK • 27 oktober 2008 22:18

Hetzelfde kan je projecteren op het gebeuren met de OV-kaart, hadden de onderzoekers daar niet alles uit de doeken gedaan, hadden we nu ook niet opensource software en ready-to-go toolkits gehad. Het aan de grote klok hangen van dit soort zaken begrijp ik best, maar de onderzoekers die zich met dit soort zaken bezighouden zijn niet bepaald voorzichtig te noemen, dat op zichzelf zorgt direct voor een nog groter probleem... is mijn kleine mening.

PPie @vgroenewold • 28 oktober 2008 11:26

Je kunt niet zeggen dat alleen het beschikbaar stellen van de informatie voor een ready-to-go toolkit zorgt. Alleen al het statement 'er zit iets' zal al zorgen dat er iets kan komen. Of zelfs niet eens: Kijk naar bijvoorbeeld de spelcomputers of de iPhone jail breaks: Nintendo en Apple hebben hier geen info over gegeven en toch zijn er mensen direct begonnen met kijken of ze erin kunnen komen.
Security by obscurity werkt niet...

Sfynx @PPie • 29 oktober 2008 02:49

Je kunt niet zeggen dat alleen het beschikbaar stellen van de informatie voor een ready-to-go toolkit zorgt. Alleen al het statement 'er zit iets' zal al zorgen dat er iets kan komen. Of zelfs niet eens: Kijk naar bijvoorbeeld de spelcomputers of de iPhone jail breaks: Nintendo en Apple hebben hier geen info over gegeven en toch zijn er mensen direct begonnen met kijken of ze erin kunnen komen.
Security by obscurity werkt niet...

Tuurlijk zijn er vast wel mensen die ook het lek wel vinden zonder full disclosure. Maar is dat een reden om dan maar alles uit de doeken te doen voordat je een update kan binnenhengelen? Wat is daar voordeliger aan?

Je hebt hier de keuze tussen:

- iedereen weet dat er een lek zit, en sommigen weten misschien hoe het exact zit
- iedereen weet hoe het exact zit

Wat is potentieel veiliger denk je?

Het doel is schadebeperking tot er een patch is. Dat doe je door zo min mogelijk informatie over het lek vrij te geven, het enige wat je wil vrijgeven is dat er een lek is en dat je in de tussentijd dit of dat en of zus en zo kan doen als workaround. Zodat Jan de Boerenlul weet dat hij z'n gedrag moet aanpassen, maar niet direct iedere ICT hobbyist een hacktool heeft. De eindgebruiker is niet beter beveiligd door alle details maar vrij te geven.

Security by obscurity is beter dan helemaal geen security.

[Reactie gewijzigd door Sfynx op 5 augustus 2024 08:05]

tmensink

@vgroenewold • 28 oktober 2008 10:13

Wel met het verschil dat de onderzoekers van de OV-kaart eerst alle details aan NXP zelf hebben laten zien. En pas een halfjaar later de resultaten openbaar hebben gemaakt!

jqv @Snake • 27 oktober 2008 22:47

onzin...

Dat moet natuurlijk weer hiervoor gelden.

Je moet het zo zien:

Stel je koopt een nieuwe auto waarvan door onderzoek blijkt dat nu 4000 km gemiddeld de remmen het begeven.
Moeten we dan eerst naar de autofabrikant stappen?
Of moeten de mensen worden ingelicht over het probleem ?

Als het een MS-fout was, dan zou je anders praten.

Het is een fout en ik ben het ermee eens dat mensen moeten weten dat ze een product hebben dat "niet" goed werkt.
Aan de fabrikant om het alsnog op te lossen.

Dat laatste doet Google gelukkig

Robby517 @jqv • 28 oktober 2008 00:54

Mja, maar met een bug in je mobieltje kun je gelukkig niet verongelukken, je vergelijking raakt dus kant noch wal.

Net door ipv eerst de fabrikant te verwittigen, direct alle details voor het grote publiek vrij te geven, geef je ook de kans aan mensen met minder goede bedoelingen die de bug al kunnen exploiten voor er een patch is. Daarmee creeër je de minst veilige situatie.

Daarom ben ik dus ook van mening dat de fabrikant eerst inlichten, en als die zoals hoort, en hier ook gebeurt, een patch ontwikkeld, die de tijd geven en dan pas met je nieuws naar buiten komen, een veel ethischere en verantwoorde manier is. Dit lijkt mij gewoon om het prestige te gaan waarbij de veiligheid van de consument net ondergeschikt is.

Hyronymus @jqv • 27 oktober 2008 23:13

Dat is een scheve vergelijking met die remmen.

Deze exploit van Andriod draait om iets dat functioneert maar door manipulatie van kwaadwillenden kwaad kan doen. Bij ondeugdelijke remmen draait het niet om een functie die door manipulatie van anderen kwaad kan doen. Zónder manipulatie door anderen doet dat al kwaad.

Maar goed, los daarvan heb ik geen probleem met melding maken van het exploit zónder in details te gaan. Dat biedt de gelegenheid aan de ontwikkelaars om het probleem te verhelpen. Als de ontwikkelaars dat binnen een redelijke termijn nalaten dan kan je altijd nog details vrijgeven.

En kunnen we niet ophouden met dat "als het MS was dan..." gezever?! Dat is zo irritant.

Pathogen 27 oktober 2008 20:36

Op zich kan Google wel weten wat voor vulnerabilities er in een oudere versie van Webkit zitten, aangezien ze het ook gebruiken voor Chrome.
Aangezien het artikel impliceert dat een nieuwere versie van Webkit hier geen last van heeft en ook een nieuwe versie van Android niet zie ik het probleem niet met het naar buiten brengen van zulk nieuws.

user109731 27 oktober 2008 20:37

waardoor het mogelijk is om bijvoorbeeld een keylogger te installeren als een gebruiker een speciaal geprepareerde site bezoekt

Doordat elke applicatie in zijn eigen virtuele machine draait kan alleen de browser aangetast worden, terwijl de overige applicaties schoon blijven.

Hoe zit dat precies, het is mogelijk een keylogger te installeren, maar die kun je alleen gebruiken om toetsaanslagen in de browser af te vangen?

geerttttt @user109731 • 27 oktober 2008 20:43

Ja, deze zal alleen kunnen communiceren met de browser. Aangezien die in dezelfde Virtual Machine draaien.

Dit zorgt er tevens ook voor dat het lastig gaat worden om zelf een virtual keyboard te maken (want die intenties zijn er wel..)... maar goed, tijd zal het leren.

i-chat @geerttttt • 27 oktober 2008 21:14

probleem is idd om een en ander te doen, mogelijke optie is een kerneldriver schrijven die de 'virtuele' aanslagen opvangt en uitzend naar 'tty2' oid..

graey @i-chat • 27 oktober 2008 22:37

Alleen dan moet je er wel voor zorgen dat er geen exploits als deze zouden kunnen worden gebruikt om die virtuele aanslagen ook op te vangen, en (misschien nog wel belangrijker) je moet er ook voor zorgen dat er geen exploits kunnen worden gebruikt om virtuele aanslagen te versturen.

ApexAlpha 27 oktober 2008 20:38

Ik vind dat je indd eerst het desbetreffende bedrijf mag inlichten, en hen ook een kans geven dit lek te dichten. Daarna mag je natuurlijk een persbericht o.i.d. geven waarin je de 'eer' op je neemt.

lamme23 @ApexAlpha • 27 oktober 2008 21:08

Aan de andere kant kan er nu nog niet heel veel schade zijn. Het aantal telefoons dat op dit moment op Android draait is op een hand te tellen. Ook moet je maar net als je al een Android telefoon hebt op dat soort sites komen.

Maar ik ben het wel met je eens dat het niet netjes is van Meneer Miller.

Steef 28 oktober 2008 01:39

Toch wel mooi te zien dat android dusdanig is opgezet dat applicaties afgeschermd van elkaar draaien

Al zal dit toch zijn beperkingen hebben. Je wil vanuit je sms feat toch graag bij je adresboek kunnen etc... Misschien zelfs vanuit de browser?

[Reactie gewijzigd door Steef op 5 augustus 2024 08:05]

Op dit item kan niet meer gereageerd worden.

Eerste beveiligingsgat in Googles Android gevonden

Lees meer

Reacties (35)

Sorteer op:

Weergave: