Google repareert veiligheidslek in Android

Google is bezig met een update van het mobiele besturingssysteem Android. Door het misbruiken van een functie in het OS konden applicatiemakers privégegevens, waaronder creditcardnummers, van telefoonbezitters in handen krijgen.

De kwetsbaarheid van Android zat in de functie die het mogelijk maakt dat applicaties van dezelfde ontwikkelaar zonder toestemming van de telefooneigenaar gegevens kunnen uitwisselen. Het bleek echter ook mogelijk om gegevens te krijgen van applicaties van een andere ontwikkelaar, staat op de site van oCert, een organisatie die beveiligingsrisico's van opensource-producten onderzoekt. Op die manier is het in theorie mogelijk allerlei privédata te ontvreemden, zoals naam, woonplaats, sms'jes, e-mails en creditcardnummers.

Android-patch Google maakt in allerijl een fix voor het probleem. Deze nieuwe firmware, die als update voor Android Cupcake 1.5 wordt verspreid, draagt build-nummer CBR43. Alle voorgaande builds, waarvan CBR17 veel voorkomt in Nederland, zijn vatbaar voor het lek. Het is onbekend of een applicatie misbruik heeft gemaakt van het lek in Android.

Reacties (28)

Eskimo0O0o 27 mei 2009 16:01

konden applicatiemakers privégegevens, waaronder creditcardnummers, van telefoonbezitters in handen krijgen.

Weer zo'n fijn stukje journalistiek waarbij lezers onnodig de schrik aangejaagd wordt. Ja, dat alles uitgelezen kan worden is nooit fijn, maar om nou te stellen dat je hele hebben en houden op straat ligt? Wie slaat er in hemelsnaam zijn creditcardnummer in zijn telefoon op? Dat is stellen dat bij elke beveiligingslek op computers 'potentieel je creditcardgegevens kunnen worden gestolen' (moet je die wel eerst op je computer hebben opgeslagen natuurlijk). Ik kan me ook niet voorstellen dat er een applicatie is die je vraagt om je creditcardnummer op te slaan en die ook nog eens onversleuteld zonder meer aan elk ander programma afgeeft...

Om dit gevaar nou bij elk bericht opnieuw te vermelden om de aandacht van de lezer te krijgen... Kun je net zo goed gelijk de kop veranderen in 'terroristen financieren potentiële aanslagen met creditcardgegevens op je telefoon'

[Reactie gewijzigd door Eskimo0O0o op 27 juli 2024 12:48]

Keneo @Eskimo0O0o • 27 mei 2009 16:17

Dit is altijd zoiets bij bugs...

Je kan het minimaliseren of opblazen.

Zolang er niemand slachtoffer is zal men het minimaliseren, maar eens er een exploit in the wild is die langs alle kanten de bug misbruikt is het schandaling dat zoiets zomaar kan...

Het is en blijft een ernstig _potentieel_ lek, en moet opgelost worden...

Dat er nog geen slachtoffers bekend zijn is zeer fijn, maar het is/was mogelijk, dus moet dit niet geminimalisseerd worden.

Eskimo0O0o @Keneo • 27 mei 2009 16:43

Dat er nog geen slachtoffers bekend zijn is zeer fijn, maar het is/was mogelijk, dus moet dit niet geminimalisseerd worden.
Ik heb het hier dan ook over de -berichtgeving-. Op het moment van schrijven is dit lek dus kennelijk al gedicht. Dan is het zinloos om achteraf te gaan speculeren 'wat-er-wel-niet-allemaal-had-kunnen-gebeuren'. Ik ben dan ook geen voorstander van om dit soort berichten helemaal uit de media te weren. Ik wil gewoon dat het gebruik van aandachtstrekkende woorden (zoals terrorisme, creditcardfraude of exploderende computeronderdelen) teruggedrongen wordt, want het is onnodig en niet gepast. Voor je het weet zijn alle FP titels in de telegraafstijl: spectaculair en suggestief. Vandaar ook mijn afsluitende zin met die kop: Want in theorie kunnen terroristen hier nu misbruik van gaan maken. Dit is dan ook gelijk een worst-case scenario. Wil nog niet gelijk zeggen dat je dit in je bericht moet gaan verwerken zonder het te nuanceren.

Auteur

arnoudwokke Redacteur Tweakers @Eskimo0O0o • 27 mei 2009 20:29

Dan is het zinloos om achteraf te gaan speculeren 'wat-er-wel-niet-allemaal-had-kunnen-gebeuren'. Ik wil gewoon dat het gebruik van aandachtstrekkende woorden (zoals terrorisme, creditcardfraude of exploderende computeronderdelen) teruggedrongen wordt, want het is onnodig en niet gepast.

Ik kan het, als auteur van dit artikel, deels met je eens zijn: ik erger me ook groen en geel aan media die te pas en te onpas schreeuwen dat iets had kunnen gebeuren. Veel media vliegen hier uit de bocht.
Maar op T.net gebeurt dat zelden. Berichtgeving, zeker als het over 'bedreigingen' gaat, is altijd zo feitelijk en genuanceerd mogelijk (zie bijvoorbeeld berichten over de Conficker-worm, zo breed uitgemeten in andere media). Ook hier. De dreiging van creditcardfraude is redelijk reeel: wie in de Android Market applicaties wil kopen, iets dat sinds een paar weken in NL kan, moet zijn creditcardgegevens invullen. Los nog van alle andere privegegevens op een Android-telefoon - sms, mail, agendaitems enz. En daarom staat het er niet bij - en niet omdat we zo nodig van de daken moeten schreeuwen dat alle Android-gebruikers zijn ontsnapt aan een groot gevaar oid.

disweb 27 mei 2009 15:39

Ik heb de update al een paar dagen nu, vind het wel netjes dat er van te voren niks is verteld

Vrijwel niemand heeft nu misbruik kunnen maken en alles is alweer beveiligd. Top actie!

elmuerte @disweb • 27 mei 2009 15:46

Dat jij er niks van weet betekend niet dat niemand anders er van wist. De bug was publiekelijk 14 mei bekend (althans, dat is de datum van de patch). Hoeveel mensen er vanaf wisten voordat Panasonic het Android Dev Team ingelicht had zal je nooit weten.

Verwijderd @elmuerte • 27 mei 2009 19:09

ik vind dit eigenlijk geen oplossing. het probleem zit hem in de software: zodra je de software vertrouwt, kan die alles doorsturen naar een server ergens in rusland. en dan maakt het niet uit of een ander programma van toevallig dezelfde maker dat ook doet, of zelfs die van een andere maker. zodra je de software vertrouwt zijn je gegevens niet meer veilig. het is een probleem dat niet op te lossen is, behalve door voor elk netwerkverkeer een windows-achtige "dit programma probeert te communiceren" popup te tonen.

Data-base @Verwijderd • 27 mei 2009 22:49

Daar wordt op dit moment hard aan gewerkt in de wetenschap. Dat probleem wat jij omschrijft staat bekent als Information-flow security.

En er zijn al enkele tastbare resultaten, maar het is op dit moment nog verre van nuttig praktisch toepasbaar.
Ik geloof wel dat het er zal komen, zonder dat je pop-ups krijgt.

ShellGhost @disweb • 27 mei 2009 15:54

Wanneer Ms zoiets doet is lusten de honden er geen brood van.
Security thru obscurity.

Verwijderd @ShellGhost • 27 mei 2009 16:11

ms verdomt het zelfs om office lekken te fixen op mac os x terwijl e.e.a. gepatched en al met ms-bulletin en al voor windows beschikbaar is.

http://webwereld.nl/nieuw...ek-gat-in-powerpoint.html

insecurity door non-obscurity is kennelijk het adagio bij ms in deze! wat moet je daar nou weer van denken.

Verwijderd @disweb • 27 mei 2009 15:54

Security through obscurity dus? Ik dacht dat we dat altijd zo slecht vonden?

HAL 9000 @Verwijderd • 27 mei 2009 16:42

Dit is geen security through obscurity.

A system relying on security through obscurity may have theoretical or actual security vulnerabilities, but its owners or designers believe that the flaws are not known, and that attackers are unlikely to find them.

Dat is hier dus niet het geval. Er was een bug, die is even stilgehouden tot het opgelost werd, en nu wordt de patch gereleased, met uitleg.

Verwijderd @HAL 9000 • 27 mei 2009 17:25

Dat is precies wat disweb beweert dat er gebeurd is. De bug is stilgehouden zodat de exploits niet bekend worden. Of dat ook daadwerkelijk is wat Google heeft gedaan, is een tweede, maar dat is wel degelijk waar disweb zo over te spreken is.

Daarnaast is dat lang niet de enige definitie van StO. Wikipedia is geen wetboek.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 12:48]

disweb @Verwijderd • 27 mei 2009 17:54

Inderdaad, ik wist allang dat er een patch was, en wist dat nieuws ook al voordat ikzelf de patch had. Maar wat ik juist goed vind hier is dat Google alles binnen 4 dagen heeft opgelost, zonder dat ook maar iemand precies wist wat het beveiligingslek was. Rond vorige week is de patch uitgekomen, en pas een aantal dagen na dat de patch was verspreid is dit nieuws bekend geworden. En dat vind ik netjes

Zo kan dus bijna niemand het lek misbruiken.

Verwijderd @Verwijderd • 27 mei 2009 18:36

...Dat is precies wat disweb beweert dat er gebeurd is. De bug is stilgehouden zodat de exploits niet bekend worden. Of dat ook daadwerkelijk is wat Google heeft gedaan, is een tweede, maar dat is wel degelijk waar disweb zo over te spreken is.

of het een tweede of andere reden is, ik zie geen enkele reden om te tweifelen, anders was het allang groot in het nieuws gebracht dunkt me

Niosus @Verwijderd • 27 mei 2009 19:01

Heb liever dat ze het een paar dagen stilhouden terwijl ze het fixen dan da ze zeggen van zo kraak je het, maar wacht ff tot we gepatched hebben voor je het probeert

Balachmar

T-Mobile G1

@Verwijderd • 27 mei 2009 21:12

Hoe kan een open source product obscurity gebruiken?
Ik snap wel wat je bedoeld, maar bij Security through obscurity denk ik meer aan zo'n mifare chip. Die alleen veilig is, zolang het algoritme niet bekend is.
Maar zoals ik al aangeef, waarschijnlijk een andere opvatting van Security through obscurity.

elmuerte @himlims_ • 27 mei 2009 15:53

FYI is dat geen alt-tab, het laat gewoon de laatste 6 applicaties zien die jij gestart had. Het betekend ook niet dat die applicaties nog draaien.

Snake @himlims_ • 27 mei 2009 15:53

Neen dat geeft gewoon een lijst van de 6 laatst geopende applicaties

himlims_ @Snake • 27 mei 2009 19:55

wat qua functionaliteit exact hetzelfde biedt. of je nu de laatst geopende of lopende toepassingen toont voor het gebruik is dit hetzelfde

Snake 27 mei 2009 15:40

T-Mobile US heeft zelfs Cupcake (1.5) OTA uitgesteld hiervoor, als je die nu installeert op je US Phone heb je standaard CBR43.

Ze hadden waarschijnlijk schrik voor claims.

Als je de UK installeert krijg je onmiddelijk een OTA update aangeboden hiervoor.

YopY @Snake • 27 mei 2009 15:54

Ze hadden waarschijnlijk schrik voor claims.

De marketing / PR-technische vorm van deze zin is 'Ze willen hun klanten niet onnodig onveilige software geven', oid. Schrik voor claims is een manier om het uit te leggen, gevoel voor kwaliteit en medeleven met de klanten is een andere. 't is maar net hoe je zelf denkt,

Verwijderd 27 mei 2009 16:15

Gemiddeld weten (andere )hackers binnen 24 uur d.m.v. reverse enginering wat de fout was.

Je decompileert de software en vergelijkt dat met de vorige versie (of de decompilatie daarvan). Dan weet je welk gedeelte van de app gepatched is. Op dat moment ga je uitgebreid fuzzen op dat gedeelte (en de resultaten tussen oud en nieuw vergelijken) en weet je ongeveer wat de fout is.

Na enig speurwerk is de bug gevonden en kan er begonnen worden aan het schrijven van de exploit code. Volgens mij was het gemiddelde bij een Microsoft 48 uur voordat iemand een Metasploit pack ervoor had:).

Thomson @Verwijderd • 27 mei 2009 17:34

Of je gaat even door android's broncode en zoekt uit wat er gepatcht is?

Op dit item kan niet meer gereageerd worden.

Google repareert veiligheidslek in Android

Lees meer

Reacties (28)

Sorteer op:

Weergave: