Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Onderzoekers van de Amerikaanse Rutgers-universiteit demonstreren woensdag op een conferentie hoe rootkits op smartphones gebruikt kunnen worden om de eigenaar te bespioneren. Volgens de onderzoekers is bescherming noodzakelijk.

De onderzoekers demonstreren woensdag de werking van rootkits op onder meer de iPhone en de opensourcetelefoon OpenMoko Freerunner. Met een rootkit is het onder meer mogelijk de eigenaar van de smartphone via de microfoon af te luisteren en om de locatie van de smartphone met behulp van gps vast te stellen. In de demonstratie werd een iPhone gebruikt om een Freerunner aan te vallen, zo blijkt uit de presentatie van de onderzoekers.

Rootkits zijn in vergelijking met andere malware voor smartphones lastiger te detecteren. Bovendien zou het beveiligen tegen rootkits veel processorkracht kosten, wat ten koste gaat van snelheid en accuduur. De wetenschappers menen desondanks dat fabrikanten en providers hun besturingssystemen tegen rootkits moeten wapenen.

Malware op smartphones is in de praktijk nog geen groot probleem. Het bekendst zijn de virussen die zich via bluetooth verspreiden en vooral Symbian-toestellen treffen. In Nederland is voor zover bekend nog nooit een grote uitbraak van mobiele malware geweest, maar beveiligingsbedrijven proberen fabrikanten en consumenten al jaren te overtuigen dat malware voor telefoons een grote bedreiging is.

Demo werking rootkits op smartphones

Moderatie-faq Wijzig weergave

Reacties (56)

De grootste bedreiging binnen de informatie beveiliging is (en zal waarschijnlijk altijd blijven) social engineering. Mensen zijn te lui om zich een klein beetje te verdiepen in de technologie, vooral de gevaren, die ze in huis halen.
Er kan nog zoveel onderzoek gedaan worden naar de veiligheid van telefoons, zo lang elke zakenman een BlueTooth headset in de auto heeft, loop je zelfs in de file nog grote kans om gehackt te worden.
Smartphones zijn onveilig. Dat is momenteel een feit. Er moet erg veel rekening gehouden worden met CPU-gebruik en daarom kan er niet veel aan beveiliging gedaan worden. Dit is mede vanwege de beperkte batterijen die in een smartphone zitten. Dit is een echte bottleneck in de industrie en het ziet er niet uit alsof de batterij snel verbeterd gaat worden (hoogstens de zuinigheid van de processoren). Zodoende is het ook niet mogelijk om een telefoon met virusscanner of IDS of whatever aan de man te brengen.
Erg leuk dat de technologie het toe laat dat we steeds meer verschillende dingen op 1 toestel kunnen doen, maar erg jammer dat men iets cruciaals als informatiebeveiliging simpelweg niet belangrijk genoeg vind (kijk maar naar de verkoopcijfers van de iPhone, de meest onveilige telefoon in tijden naar mijn mening).
Op het moment dat je aan IDS en virusscanners gaat denken als oplossing ben je al verkeerd bezig. Ik blijf het een prestatie vinden dat anti-virus bedrijven nog steeds niet allemaal failliet zijn. Het geeft aan hoe ongelooflijk stom het publiek eigenlijk is.

Je hoeft maar een hele kleine kern van code te hebben die als zijnde veilig wordt aangenomen en daarboven kun je alles bouwen zonder kans op de normale exploits.

Zolang software op drijfzand wordt gebouwd, blijf je dit soort problemen houden. Wat mij betreft behoren dit soort problemen tot het verleden.
Zolang mensen software blijven gebruiken blijf je dit soort problemen houden. Je kan je software nog zo goed schrijven, als je opgebeld wordt door iemand die zich voordoet als de bank en je geeft hem zonder nadenken je pincode, dan ben je in weze ook gehackt.
Het probleem zit hem niet in de techniek, het probleem zit hem in het zinnig en verantwoord gebruiken ervan.
Ik heb het idee dat er niet zo veel mensen meer zijn die daar letterlijk intrappen, maar met meer complexere systemen zou dat misschien wel kunnen, maar root kits die remote geinstalleerd worden is andere koek.
Ik kreeg gister nog bericht van iemand die 'gehackt' was op dergelijke wijze. Iemand had het telefoonnummer van de ING gespoofed en naar de mobiel gebeld waar ING normaal de toegangscodes naar opstuurt voor internetbankieren.

Het slachtoffer kreeg dus telefoon van de 'ING' en krijgt een verhaal te horen over toenemende fraude bij de ING. Daarom hadden ze een nieuwe SIM-kaart ontwikkeld waarmee dit onmogelijk gemaakt zou worden. Het enige wat het slachtoffer moest doen is even de code voorlezen aan de 'ING' die ze in een paar seconde ge-smst zou krijgen. Het slachtoffer gehoorzaamt en verwacht een SIM-kaart bij de post.
Ongeveer een kwartier erna begint ze na te denken en realiseert zich dat ze bedrogen is. Even een telefoontje naar de fraudelijn en daar werd haar verteld dat haar rekening leeg was.

Zo complex is het systeem niet, vrijwel elke 40+er zonder technische achtergrond trapt erin...
40-ers denk ik ook wel. Alleen mensen van precies 40 trappen er niet in ;-)

[Reactie gewijzigd door awulms op 24 februari 2010 21:25]

Dit is totaal onzinnig,
als je iPhone niet gejailbraked is, dan zal er echt nooit een rootkit op komen.
Door een goede appstore kan je je wapenen tegen rootkits ja, alle software wordt gecontroleerd, dus je zal nooit halfgare troep installeren.

Ga je echter jailbraken enzo en SSH installeren met standaard wachtwoorden dan vraag je gewoon erom.

Maar IK weiger processorkracht van mijn telefoon op te offeren omdat een paar halve malloten met mislukte jailbreak pogingen rootkits installeren.

Ik heb zelf een android g1, die "the official" rom draait van enomther. Laatste versies.
Als ik tijdens het luisteren naar muziek door de headphones een notificatie ontvang, dan begint mijn telefoon te boot-loopen. Ik heb geen zin om dit op te lossen, maar ik accepteer dat de kans bestaat dat een of andere android-nerd via zijn rom meekijkt naar wat ik doe.
Ik vind niet dat alle android gebruikers daarvoor gestraft moeten worden: allemaal scanners moeten draaien van het OS, ook als er niet ge-root is.
Hoe denk je dat het mogelijk is een iPhone te jailbreaken?
En als jij dat kunt, waarom kan een stuk malware wat op Windows/OSX draait dat dan niet?

Juist ja; dat kan dus wel. Het feit dat het nog niet gebeurt is zegt niets over de mogelijkheden of over de veiligheid van het systeem. Als ik mijn iPhone opzettelijk kan jailbreaken dan kan een stuk malware dat net zo makkelijk.
En hoe denk je dat stuk mallware er op te krijgen? Via de app-store zal het niet verspreid worden in ieder geval.
Op exact dezelfde manier als normale malware. De manier waar het hier over gaat heeft niks met de app-store te maken. Een stuk pc-malware flashed jouw telefoon met zijn eigen ROM. Weg beveiliging van appstore.

Dit is het principe van twee gelinkte systemen, als er ÚÚn lek is, is de andere dat ook via een omweggetje.
Dan is het in principe geen iPhone virus, maar een PC virus dat als doel je iPhone verbouwen heeft.

Het principe blijft dat het OS veilig is, want volgens jouw uitleg moet het OS eerst vervangen worden door een onveilige versie van het OS om malware mogelijk te maken. In mijn geval heb ik weinig te vrezen, eerst moet de rootkit al voorbij Mac OSX komen en dan hopen dat ik mijn iPhone aansluit voor Apple het probleem met een patch wegwerkt.
Malware verspreid je zoals je dat doet voor de pc - via geinfecteerde websites.

Het is een illusie om te denken dat omdat software alleen via de app-store geinstalleerd kan worden je immuun bent voor malware!

Croga toont hierboven aan dat iPhone OS net zo kwestbaar is als alle andere mobiele OS-en door te wijzen op het jailbreaken van de iPhone. Door een flaw in iPhone OS is het mogelijk de beveiliging te omzeilen - root te worden - en het hele OS te vervangen. Deze flaw kan malware (wellicht) ook gebruiken voor zijn verspreiding...

Merk op dat de onderzoekers hier alleen het nut en gedrag van een rootkit-telefoon hebben willen bestuderen: ze hebben niet aangetoond dat de telefoons ook daadwerkelijk vulnerabilities hebben die de installatie van een rootkit remote mogelijk maken...
totdat er een bug zit in safari bv. en blijkt dat je dan onder water software kan installeren en je via je mobiele browser het spul binnen krijgt.

En wie zegt dat het niet in de app-store kan zitten? Apple controleert vast niet alle source-code van een applicatie.
Ik heb geen zin om dit op te lossen, maar ik accepteer dat de kans bestaat dat een of andere android-nerd via zijn rom meekijkt naar wat ik doe.
Haha misschien kan die je helpen met je muziek+sms=bootloop probleem :+
@Faust,

Wat ook nog aan de hand kan zijn is dat je zelf het prima voor mekaar denkt te hebben, maar dat iemand anders jou phone even pikt op een onbewaakt moment en er vervolgens een rootkit op plaatst.

Dan heb je het niet in de gaten. en kun je je zelf nog zo aan de regels houden, maar het helpt dan toch niet.

Mijn idee is dat 'awareness' hiervoor het belangrijkste is. Als je weet dat het kßn, hou er dan rekening mee als je gadget rare kuren gaat vertonen.
Waarom zijn er dan eigenlijk nog geen virusscanners op de markt, voor smartphones? Aangezien een moderne smartphone bijna een complete PC genoemd kan worden, lijkt het me wel handig om dan een virusscanner te kunnen installeren.

Dat er n˙ nog geen grootschalig misbruik gemaakt van word is mooi, maar smartphones zijn nog niet zo wijdverbreid als klassieke GSM's. Zodra d'r meer mensen gebruik van gaan maken zal het aantal virussen, rootkits en andere vormen van malware nog wel toe gaan nemen.
Die zijn er wel. Ook voor oa om je email te scannen op virussen. Kijk maar eens in de iPhone App Store of in de Android Market .
Is ook logisch. Er wordt altijd beweerd door de Apple fanboys dat er geen virussen op hun systemen voorkomen. Dus is er ook geen markt voor een scanner. :+
In de App-store zijn geen virusscanners te vinden hoor. Ik heb net even gezocht, want vond het al zo vreemd, en kon ze niet vinden.
Virusscanners zijn geen goede oplossing. Ook zijn rootkits vaak niet te detecteren door een virusscanner. Er zijn wel andere manieren om dit te voorkomen. Zo kan het verkeer in de gaten worden gehouden door de provider voor verdachte communicatie. Dit moeten ze dan wel doen met een sniffer met figerprints, zodat de privacy niet aangetast wordt. Zo kun je grootschalig uitbraak uitsluiten, of minstens detecteren. En zouden de meeste consumenten alleen spul uit gecontroleerde software stores moeten halen. Dat verkleint het risico ook enorm.
F-Secure maakt virusscanners voor o.a. Windows Mobile. Ik heb in de Android Market ook al een virusscanner voorbij zien komen.

Ik ben van mening dat je je niet echt zorgen hoeft te maken over virussen op je mobiel, zolang je maar weet waar je mee bezig bent. Helaas weet het gros van de gebruikers totaal niet wat ze doen, waardoor die mensen een groter risico lopen. Dat zijn m.i. ook dezelfde mensen die een pc OS vol spy- en andere malware hebben.
Virusscanners (en veelal virussen) zijn voor Windows en laat dat aub zou houden. Dat gezeur van virusscanners is echt rampzalig. Als er een virus is moet het OS gewoon gepatched worden. Bovendien is een rootkit is geen virus en volgens mij is beveiliging tegen rootkits meer een serie self-checks dan een 'virusscanner routine' uit een database van bekende virussen.
Virusscanners zijn er zeker niet alleen voor Windows, ook voor Linux, Unix-klonen en Mac zijn virusscanners, dus dat zou voor de OS-en op Smartphones ook prima kunnen gelden.

Daarnaast, wat wil je bij een virus patchen aan het OS? Niet alle virussen verspreiden zich door bugs hoor, denk aan gebruikers die op elke attachment klikken.

En een rootkit kan je vaak met heuristic scanning wel ontdekken, veel virusscanners herkennen die ook. Nee, niet alles natuurlijk, dat is nogal logisch. Maar het is wel een extra security-laag die je dan hebt.
De mac virusscanners die er zijn scannen enkel je mail op Windows virussen zodat je niet 'perongeluk' dat mailtje toch handmatig doorstuurt, zo geld dit ook voor de Linux virusscanners.

Enkel onder Windows (was) het altijd nodig om een virusscanner te draaien, geen idee hoe het met Win7 gaat als je browsed en doet zonder virusscanner.
ik heb win7 nu al sinds het officieel uitkwam zonder virusscanner gebruikt, en heb al vaak op malafide sites gezeten..
dat win7 niets van virussen detecteert kan liggen aan het feit dat er geen zijn of dat win7 ze simpelweg niet ziet
Ehm, efari, ik neem hier even aan dat we hier een miscommunicatie gaan hebben, maar je weet dat Win7 zelf geen ingebouwde virusscanner heeft hŔ? Dus die gaat amme-never-nooit-niet een virus zien/scannen/detecteren...

Ik hoop dat je Win7 op het moment in een VirtualBox draait oid die je aan het einde van de dag kunt resetten naar de staat van 's morgens, anders hebben we er een lekkere spambot bij...
virusscanners voor linux zoeken naar windows-virussen, zodat windows-clients niet geinfecteerd worden door virussen die op een file-server rondslingeren.
en wat denk je dat attachment doet?
exact, hij gebruikt een bug om kwaad te doen
Ach hij doet zijn naam eer aan met deze instelling...
Probeer of verdiep je eens in een ander OS dan Windows ;)
In OS-X en Linux zit virus bescherming in het het OS, de gelaagde kernel zorgt ervoor dat het buitengewoon lastig is om exploits uit te voeren. Zoals al gezegd scannen de virusscanners voor OS-X en Linux op Windows virussen.

Wat ik dus bedoel is dat ik niet graag een 1 of ander 3rd party software met een opdringerige virusscanner op mijn telefoon wil hebben, maar het volgens het principe zou moeten werken wat Linux en OS-X zo veilig maakt. Tegen exploits die voor Linux worden geschreven wordt er gewoon aan security updates gedaan zoals ook bij Windows gebeurd en dit is genoeg om het OS veilig te houden (ik weet niet hoe dat bij OS-X gebeurd, maar het zal vast volgens hetzelfde idee gaan).
Verder heb je gewoon admin rechten nodig om programma's en dergelijke te installeren, zoiets zie ik voor telefoons ook wel gebeuren

Ik kan me goed voorstellen dat er ook security updates gaan komen voor telefoons om tegen exploits beschermd te blijven, maar virusscanners zijn met een andere OS structuur (vooral als Win XP met een lompe grote kernel waar je vanuit alle lekken overal bij kan) echt niet nodig.
Door wildhagen, woensdag 24 februari 2010 16:52
Waarom zijn er dan eigenlijk nog geen virusscanners op de markt, voor smartphones?
Die zijn er wel :Y Bijvoorbeeld ESET heeft een virusscanner. NOD32 Mobile heet dat gok ik.
Kaspersky is ook een goede, maak ik zelf zeer tevreden gebruik van.
Antivirus, spam, phone tracer en phone wipe/blocker nog meer andere onderdelen aanwezig. :P
Waar haal ik zo'n rootkit? Dit is de perfecte beveiliginstechnologie om diefstal tegen te gaan. Als dat dan ook nog eens gecombineerd wordt met een 'call home' functionaliteit dat in de rom geflashed kan worden weet je je telefoon altijd terug te vinden.
Voor windows mobile zijn er al een groot aantal mooie anti-theft tools. Als je een wat recentere telefoon (of firmware) hebt, heb je ook Microsoft Myphone, en daar kan je weer features gebruiken als "Huidige locatie van telefoon" en het wissen van telefoon op afstand, dit alles is dan gekoppeld aan jouw live account
En voor de iPhone kan dat gewoon met Mobile Me, de ingebouwde "rootkit"! :)
Voor Android is er de (gratis) app WaveSecure waarmee je de telefoon remote kan locken, sim gegevens kan opvragen (telefoongesprekken, berichten enz.), gegevens kan wissen en de locatie van je telefoon kan zien mocht 'ie ooit gestolen worden.
Rombakker MoDaCo is bezig met een implementatie waardoor WaveSecure ook een firmware flash overleeft.
Er is ook betaalde een versie van deze app beschikbaar voor Blackberry, Symbian en WinMo.

[Reactie gewijzigd door Shinigami op 24 februari 2010 19:38]

Zelf maken denk ik he ;)
In principe zou de brede verspreiding van telefoon rootkits wel een gat in de markt kunnen zijn voor criminelen, zeker als ze geschakeld worden in een botnet of soortgelijk. Bij een PC botnet blijft de waarde van PC's beperkt tot het sturen van spam, en deze spam heeft steeds minder resultaat.

Maar als ik aan telefoons denk, zie ik meteen een groot aantal dure downloaddiensten met muziekjes, achtergronden en applicatie's voor me. Je kunt een rootkit net zo goed een betaal lijn laten bellen of download dienst laten SMS'en, en het geld stroomt letterlijk binnen.

Een paar 100 ge´nfecteerde telefoons op een betaal lijn lijkt mij zelf winstgevender dan een paar 10.000 PC's die spam rondsturen - vooral omdat mensen bij spam zelf actie moeten ondernemen, terwijl bij een betaallijn de teller vanzelf gaat lopen.
"Bij een PC botnet blijft de waarde van PC's beperkt tot het sturen van spam, en deze spam heeft steeds minder resultaat."

En DDOS aanvallen?

"Een paar 100 ge´nfecteerde telefoons op een betaal lijn lijkt mij zelf winstgevender dan een paar 10.000 PC's die spam rondsturen - vooral omdat mensen bij spam zelf actie moeten ondernemen, terwijl bij een betaallijn de teller vanzelf gaat lopen."

Bij spam gaat het erover dat een organisatie hun product verkoopt. Spam is een erg goedkope manier om een groot publiek te bereiken. De spammer is in opdracht van de organisatie.
Bij betaallijnen gaat het erom dat de hacker zelf geld krijgt.
Als hacker is het dus meer winstgevend om telefoons naar een betaallijn te laten bellen. Soms krijg je echter een opdracht om te spammen wat natuurlijk makkelijk verdiend is voor de hacker. Schrijf een worm en laat m los (OK, klinkt makkelijker dan het is :P )

[Reactie gewijzigd door Franske123 op 24 februari 2010 18:01]

DDOS aanvallen... Deze was ik inderdaad even helemaal vergeten. "Your money, or your network dies" is inderdaad steeds populairder.

Ik moet wel even de notitie maken dat de meeste spam wordt verstuurd door grote permanente botnets, die verhuurd worden aan third party klanten. In principe zijn het maar zelden hackers die een enkele opdracht krijgen en een worm schrijven. Meestal gaat het om kleine groepen mensen die permanent een botnet beheren en de capaciteit hiervan verhuren aan mensen die iets gespammed willen hebben.Als je eenmaal een botnet gemaakt hebt kun je dit net zo goed gebruiken voor toekomstige opdrachten.

Maar voor de enkele hacker zou dit inderdaad winstgevend(er) kunnen zijn omdat het geld direct binnen komt rollen. :)
Ik lees en zie nergens hoe de 'infectie' tot stand komt.
Alleen iets over een zichzelf verwijderend smsje ofzo?

De oplossing is dat een smsje geen toegang mag krijgen tot de besturing van de telefoon.
Als dat niet meer kan, dan zul je eerst naar een website moeten gaan en dan ook nog eens toegang (actief) moeten geven van de browser dat hij iets mag installeren.

Je houdt de kudde ja klikkers er niet mee tegen, maar daarmee voorkom je een hoop narigheid.
(je zal de hele dag smsje binnenkrijgen van een rootkit die een collega/vriend/vriendin ge´nstalleerd heeft lijkt me ook vrij dramatisch, ook al heb je een virus-/rootkitscanner.)

Voorkomen is beter dan genezen.
Dat smsje verwijdert zichzelf niet, dat smsje wordt verwijderd door de software die werd geinstalleerd. Dit is louter een voorbeeld van hoe je zou kunnen een ge´nfecteerde smartphone de opdracht geven om data te versturen.

Wat van je reactie klopt is de eerste en de laatste zin. Alles ertussen is vervolgens niet correct.

Just my 2 cents

[Reactie gewijzigd door sofilus op 24 februari 2010 18:31]

Inderdaad. Dit voorbeeld is gebaseerd op de bug die een tijdje in een aantal telefoons zat met het verwerken van SMSjes. Als je een te groot SMSje naar zo'n telefoon stuurde (een SMSje groter dan de officiele specificatie), dan overschreef dat SMSje het werkgeheugen van de telefoon. Daarmee konden de hackers dus kwaadaardige code uitvoeren op de telefoon.
Ach er wordt vast wel ergens een hackertje gesponsord door een van de beveiligingsbedrijven om zo'n rootkit te maken en los te laten.
een Rootkit nestelt zich diep in het besturing systeem, en verschuild zich zo goed mogelijk.
en is eigenlijk meer de Payload van een worm/virus dat wordt ge´nstalleerd nadat het programma root rechten heeft bemachtigt.

Wat de software makers moeten doen is indien een exploit gedicht is en er een update gemaakt is. Controleren of er gebruik gemaakt is van de exploit en de rootkit verwijderen tijdens de update.

Virus scanners op normale computers hebben ook de grootste moeten met rootkits.
veel Linux distros hebben het nog makkelijk omdat je hier alle software van de zelfde repository komt waardoor je met MD5 checksums de legitimiteit van elk bestand kunt na gaan. Maar dat kost veel tijd en veel rekenkracht.
Voor de geinteresseerden: de Hakin9 van 06-2009 had een erg interessant artikel over mobiele veiligheid, geschreven door Julian Evans. Zeker aan te raden!
De "onderzoekers" hebben een leuke verzameling plaatjes in een presentatie gestopt, maar concrete info kan ik er niet uithalen. Ze hebben wel een punt, maar meer dan een open deur is het niet. Dat je "leuke" dingen kunt doen als je eenmaal de controle over een smartphone hebt, had ik je ook nog wel kunnen vertellen.

Ik zie geen concrete info over attack-vector (hoe krijg je een rootkit op zo'n systeem) en ook info over verschillende os-sen ontbreekt (Openmoko Freerunner kan Debian op staan, of een Openmoko release, of Android) etc. In Android draaien applicaties onder de Dalvik JVM, en heb je nauwelijks rechten, tenzij je deze expliciet bij installatie van een app toestaat. Windows Mobile, Moblin, iPhone etc, werken allemaal weer anders. Is er een model wat minder gevoelig is voor aanvallen ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True