Hacker verkrijgt root-toegang op HTC Legend en Desire

De Engelsman Paul O'Brien is erin geslaagd root-toegang te krijgen op de nieuwe HTC-toestellen Legend en Desire. Het verkrijgen van root-toegang is de eerste stap op weg naar het draaien van custom roms op de Android-smartphones.

Op Twitter laat Paul O'Brien, oprichter van tweak-website Modaco, weten dat hij root-toegang tot de beide toestellen heeft verkregen. Volgens de hacker is het verkrijgen van root-toegang meestal een koud kunstje, maar heeft HTC het filesysteem van de beide smartphones goed beveiligd. O'Brien is er nog niet in geslaagd om schrijfpermissies op de systeempartitie te krijgen.

HTC zou de Legend en de Desire op dezelfde manier hebben beveiligd als de Tattoo, een budgettelefoon met Android. Hackers van het XDA-forum zijn er op de Tattoo al in geslaagd om de beveiliging te omzeilen, schrijfpermissies te krijgen en een custom recovery-image te installeren.

De Legend werd onlangs uitgebracht in Nederland. Het toestel valt op door het aluminium unibody-design. Tweakers.net publiceerde al een review van de telefoon. De Desire is met zijn 1GHz-Snapdragon-processor, 576MB ram en 3,7"-scherm bedoeld als high-end smartphone. De Desire is nog niet uit in Nederland, maar ligt waarschijnlijk ergens in de komende weken in de winkels. Wel is het toestel al in het Verenigd Koninkrijk te verkrijgen.

Legend en Desire root

Reacties (59)

zozamis 2 april 2010 13:45

Waarom word er nog veel geld gestopt in het maken van een hele goede beveiliging.
Ik kan geen OS opnoemen die nog niet gekraakt is

Boy @zozamis • 2 april 2010 13:48

ik vraag me af of ze wel erg hun best doen om het te beveiligen, volgens mij vinden Google en HTC het niet erg als mensen rooten, de mensen die het doen weten dat het op eigen verantwoording is...

citruspers @Boy • 2 april 2010 18:13

Waarom documenteren ze het dan niet? Gewoon een los downloadbaar tooltje, met een mooie EULA om rechtszaken te voorkomen en gaan met die banaan.

Ter vergelijking, mijn N900 kwam standaard met een terminal applicatie, en root access verkrijgen was een kwestie van "sudo gainroot". Er staat zelfs een programmaatje in de officiële repositories om root access nog eenvoudiger te maken (zodat je alleen maar "root" hoeft te typen).

dipje2 @Boy • 2 april 2010 19:12

Google niet op hun eigen toestellen (wordt praktisch aangeboden op de Nexus One, met een waarschuwingtje, that's it).

Maar ze willen het wel kunnen aanbieden aan partners die het niet willen. HTC heeft echt moeite gedaan om om de Tattoo extra beveiliging te geven. Duurde ook ff voordat het zover was. Ditzelfde met de Legend en de Desire. Root krijgen niet zo moeilijk. Root houden en wijzigingen in de systeem-partitie kunnen maken: Paul zegt zelf dat het nu nog erg tricky zal zijn.

Motorola Droid / Milestone is ook pas recentelijk zover, en moet zelfs met grote omwegen. Toestel is toch ook al maanden verkrijgbaar. Geeft toch aan dat ze het beter weten te beveiligen.

Gewoon afwachten of het lukt en zo ja, hoe lang het duurt

. Als ik _nu_ zou moeten kiezen tussen een Nexus One en een Desire... dan zou custom-ROM mogelijkheid voor mij wel doorslaggevend zijn eigenlijk.

ComBax @zozamis • 2 april 2010 13:47

Omdat iedere dag vertraging meer opbrengsten betekenen?

kane_sting @ComBax • 2 april 2010 14:34

De opbrengsten zitten al in de aanschaf van de telefoon, of de gebruiker er 3 jaar mee doet of 10 jaar dat boeit HTC niet die hebben de kosten van alles er al uit.

Anoniem: 243511 @kane_sting • 2 april 2010 14:45

Dus wat jij zegt is dat HTC jou een Hero verkoopt en het ze niet interesseert of jij een Legend koopt of niet.

arjankoole

Mobiele besturingssystemen
Software development

@kane_sting • 2 april 2010 15:29

of de gebruiker er 3 jaar mee doet of 10 jaar dat boeit HTC niet

Dat boeit HTC wel, aangezien ze de gebruiker z.s.m. een nieuw toestel willen verkopen.

P-Nut @ComBax • 2 april 2010 16:42

de desire is geloof ik niet eens officieel uit in nederland... dus niet echt een extra dag die opbrengste met zich meebrengt... (in nederland althans.)

Upquark @ComBax • 2 april 2010 13:59

Welke opbrengsten hebben we het hier over dan?

Anoniem: 243511 @Upquark • 2 april 2010 14:44

Om dat te kunnen bedenken, moet je wel even out of the box denken;

Opbrengsten die voortvloeien uit het vertrouwen van de consument/eindgebruiker in de veiligheid van het apparaat.

Dit resulteert uiteindelijk in herhaling/vervanging/additionele aankopen van een product, los van het gegeven of deze veiligheid rationeel of niet is.

Hrugnir @Anoniem: 243511 • 2 april 2010 14:48

aan de andere kant vind ik het fijn om te weten van te voren dat een potentieele android kanidaat in ieder geval voor mij de mogelijkheid geeft om root acces te kunnen krijgen zodat ik toegang kan krijgen tot custom roms wanneer ik daar de behoefte toe voel. over veiligheid heb ik om eerlijk te zijn nooit bij de aanschaf over nagedacht.

Anoniem: 119722 @Hrugnir • 2 april 2010 17:02

LlamaWereldOver schreef:

aan de andere kant vind ik het fijn om te weten van te voren dat een potentieele android kanidaat in ieder geval voor mij de mogelijkheid geeft om root acces te kunnen krijgen zodat ik toegang kan krijgen tot custom roms wanneer ik daar de behoefte toe voel.

Kandidaten zijn dus alle Android powered devices tot nu toe.

over veiligheid heb ik om eerlijk te zijn nooit bij de aanschaf over nagedacht.

Toch wel iets om over na te denken, over beveiliging lijkt mij.

nieuws: Hacker iPhone krijgt toegang tot logingegevens iTunes

[Reactie gewijzigd door Anoniem: 119722 op 23 juli 2024 00:02]

johnkeates @Anoniem: 243511 • 2 april 2010 15:18

Een consument zal het aan z'n reet roesten of een OS wel of niet gekraakt is.

a) om dat hij/zij denkt/hoort 'dat het toch wel kan'

b) om dat de interesse nou niet bepaald bij de software ligt

Mocht a) niet van toepassing zijn om dat de consument zichzelf inlicht, dan is het alsnog van toepassing; dit om dat een comsument die zichzelf inlicht er achter zal komen dat het toch wel kan.

Mocht b) niet van toepassing zijn om dat de consument zich wel interesseert voor de software, dan is de consument meestal op de hoogte van het feit dat het OS/de software toch wel gekraakt wordt/is.

Herhaaldelijke aankopen komen niet door een crappy uitspraak van iemand die een of andere reclame/markt studie/opleiding gedaan heeft, die komen door dat de consument tevreden is. En een tevreden consument heeft niets te maken met hoe lief of leuk je software beveiliging is.

MartijnGP @Anoniem: 243511 • 3 april 2010 01:26

Heeft er geen fluit mee te maken.

Iemand die een HTC Legend koopt in de winkel heeft geen idee wat heel dat rooten uberhaupt inhoud en zal een nieuwsberciht als dit ook niet onder ogen krijgen. Gebeurd dat we; is het waarschijnlijk iemand die juist zijn voordeel haalt uit de root acces op de telefoon.

De meeste mensen zijn hier echt niet mee bezig, interesseert het niet en komen net op websites waar erover gesproken wordt.

YaniSuN @zozamis • 2 april 2010 13:49

Je kunt tenminste iets beveiligen of helemaal niets. Net als je deur op slot doen of niet.

Zolang iets door mensen word gemaakt is er een manier om het te hacken zo simpel is het.

Anoniem: 28958 @YaniSuN • 2 april 2010 14:21

Dat is zo'n ongelooflijke dooddoener. Als het allemaal zo simpel is om alles dat door mensen gemaakt wordt te hacken, waarom worden de financiële systemen van deze wereld dan niet elke dag gehackt? Daar kun je in een second een miljard euro wegsluizen.

De mate van veiligheid hangt af van hoe veilig het moet zijn. Als je bepaalde aannames kunt doen, zoals geen EM aanvallen en geen fysieke toegang kun je op basis van heel weinig aannames bewijzen dat je systeem niet op een menselijke tijdschaal te kraken is.

watercoolertje

Google
Google Android
Mobiele besturingssystemen
HTC
HTC Desire
Smartphones
Software development
HTC Desire

@Anoniem: 28958 • 2 april 2010 14:33

Omdat de fouten wel moeilijk te vinden zijn

Dat er fouten in elke software op aarde zit is bijna een feit... Ik kan het niet hard maken natuurlijk en een simpel programma dat bijna niks kan zal minder fouten bevatten uiteraard.

Tot nu toe is elke software echt nog te hacken, maar zoals gezegd het kan van weinig tot gigantisch veel tijd kosten (banken/ps3) voordat er iets is gevonden om binnen te komen of iets anders te doen dan het programma voor gemaakt is

blorf @watercoolertje • 2 april 2010 17:27

Bij fysieke toegang tot het systeem heb je idd alleen een breekijzer nodig, maar als dat uitgesloten is kun je alleen nog binnendringen via een dataverbinding. Maar die kunnen beveiligd zijn met sleutelcombinaties waarvan het kraken meer tijd kost dan de leeftijd van het universum. Dan houdt het dus gewoon op.

Ilya @Anoniem: 28958 • 2 april 2010 15:06

Omdat je dan vrijwel zeker de spreekwoordelijke lul bent. Als jij een miljard euro op je rekening hebt vanuit het niets zal de bank waarschijnlijk vragen gaan stellen. Bovendien zal iemand die miljard euro ook missen en aangezien het een miljard euro is zal wel een of ander bureau als de CIA zich ermee gaan bemoeien.
Als jij je telefoon root dan mist er niemand iets, dat is al een gigantisch verschil. Je kan nooit gepakt worden tenzij je jezelf verlinkt. Ten tweede is dit in Nederland ook gewoon een legale bezigheid zover ik weet.
Je ziet ook steeds vaker opgepakte Hackers in het nieuws, en dan gaat het echt om het Pentagon en dergelijke. Het is niet dat het onmogelijk is, maar dat je er vrijwel zeker niet mee weg komt.

[Reactie gewijzigd door Ilya op 23 juli 2024 00:02]

graey @Anoniem: 28958 • 2 april 2010 15:28

Omdat niet elke gek aan zo'n banksysteem kan komen. Als die makkelijker te verkrijgen waren zou het hacken ervan ook veel sneller en vaker gebeuren.

johnbetonschaar @zozamis • 2 april 2010 13:59

De PS3 is nog niet gehackt. Nog niet op een zinvolle manier tenmiste, nog niet op een manier die Sony niet met een firmware patch heeft kunnen stoppen, en al helemaalnog niet op een manier die het draaien van gekopieerde spellen toestaat.

Maar verder ben ik het wel met je eens hoor, in veel gevallen is het zonde van het geld en zinloos, vooral als je het over software hebt. Dat Windows steeds lompere beveiliging krijgt snap ik bijvoorbeeld totaal niet, je weet gewoon van te voren dat de beveiliging gekraakt wordt. Effectief heb je er alleen de legale gebruikers maar mee.

curumir @zozamis • 2 april 2010 15:01

Misschien omdat de gemiddelde klant meer behoefte heeft aan een telefoon die niet makkelijk te hacken is, dan aan de mogelijkheid om een custom rom op je mobiel te zetten?

HoeZoWie @zozamis • 5 april 2010 19:47

Waarom word er nog veel geld gestopt in het maken van een hele goede beveiliging.
Ik kan geen OS opnoemen die nog niet gekraakt is

Dit is typisch GEEN Tweakers.net opmerking hoor:
Waarom doe jij jou voordeur nog op slot, een inbereker komt er toch wel in...
Ik kan geen huis opnoemen waar niet ingebroken kan worden.

[Reactie gewijzigd door HoeZoWie op 23 juli 2024 00:02]

Atomsk @zozamis • 2 april 2010 13:57

Zeg maar even "PlayStation 3 system software" dan. Zo, nu kun je het wel.

]Byte[ @zozamis • 2 april 2010 14:20

Ik kan geen OS opnoemen die nog niet gekraakt is

OpenVMS.... Prettige wedstrijd!

ijskonijn @zozamis • 2 april 2010 14:31

Ik kan geen OS opnoemen die nog niet gekraakt is

Ik wel: het OS van de PS3

[Reactie gewijzigd door ijskonijn op 23 juli 2024 00:02]

M-Opensource @ijskonijn • 2 april 2010 14:48

euhm....

http://www.engadget.com/2...-finally-properly-hacked/
http://tweakers.net/nieuw...3-te-hebben-gekraakt.html

Zoijar 2 april 2010 14:06

Waarom worden al die telefoons uberhaupt nog beveiligd? Waarom koop je niet gewoon een stuk hardware waar je mee mag doen wat je wilt? Uiteraard vervalt de standaard garantie als je er een custom rom op zet, maar dat is dan je eigen keuze. Gaat het echt alleen om het feit dat bijvoorbeeld vodaphone er een vodaphone startschermpje op kan zetten met reclame dat je dan niet kan verwijderen, of is er iets anders aan de hand?

bvdbijl @Zoijar • 2 april 2010 14:24

Bij de nexus one is dit al het geval, je kan de firmware "unlocken" zodat je erop kan zetten wat je wilt, maar deze telefoon is ook meer gericht op hackers/tweakers/whatever.
Maar een provider is er meestal ook niet zo blij mee dat een telefoon geroot word, want dan kan die gebruikt worden om te tetheren etc. en dan gebruikt weer veel data.

Zoijar @bvdbijl • 2 april 2010 15:01

Maar een provider is er meestal ook niet zo blij mee dat een telefoon geroot word, want dan kan die gebruikt worden om te tetheren etc. en dan gebruikt weer veel data.

Ah ja, het geval "onbeperkt internet, zolang je minder dan zoveel gebruikt"

Dan moeten ze maar duidelijk zijn. Of je krijgt onbeperkt dataverkeer, of niet, en zo niet dan maakt het niet uit op welke manier je het gebruikt natuurlijk.

arjankoole

Mobiele besturingssystemen
Software development

@Zoijar • 2 april 2010 15:32

Dan moeten ze maar duidelijk zijn.

Dat zijn ze. Daar zijn FUP's voor.

In realiteit komt dat neer op 3 tot 5 maal het gemiddelde verkeer van die maand. Het groeit dus organisch mee met de gemiddelde behoeft. (en houdt niet dom en lomp vast aan een antieke gemiddelde van 200MB per maand)

blorf @arjankoole • 2 april 2010 15:56

Verre van duidelijk. Onbeperkt is onbeperkt. Wie bepaalt de behoefte van andere klanten, en wat heb ik daar überhaupt mee te maken?
Van iemand die mij onbeperkt internet aanbiedt verwacht ik 24/7 de overeengekomen bandbreedte.
Als er dan toch een grens aan blijkt te zitten is onbeperkt niet meer van toepassing.

bvdbijl @Zoijar • 4 april 2010 11:37

Er word meestal doodleuk onbeperkt gezegd, maar als je even iets verder kijkt (bijvoorbeeld bij Vodafone) staat er in kleine lettertjes onbeperkt fair use, wat inhoud in dat geval inhoud dat je 10x het gemiddelde mag gebruiken.

Anoniem: 28958 @Zoijar • 2 april 2010 14:24

Ze worden beveiligd, omdat ze met verlies worden verkocht. Waarom de garantie zou moeten vervallen zie ik zelf eigenlijk niet als er een reset knop op zit, maar goed. Als bedrijven hardware maken waarvan de veiligheid afhangt van de driver dan zijn ze gewoon niet goed bezig. Een voorbeeld hiervan is dat bepaalde videokaarten van AMD brand kunnen veroorzaken als je zelf je eigen driver zou schrijven.

Zoijar @Anoniem: 28958 • 2 april 2010 14:58

Volgens mij worden die telefoons helemaal niet met verlies verkocht. Door de telco's misschien, maar die verplichten je abonnementsgeld te betalen voor een bepaalde duur. Al gooi je die telefoon meteen in de vuilnisbak, of zet je er een andere sim van een andere telco in, dat zal ze verder niks meer uitmaken zolang jij die 1-2 jaar maar netjes maandelijks betaalt. Als je een telefoon los koopt betaal je er gewoon de marktprijs voor waar de winst bij in zit. Zo'n telefoon kost ~400 euro, daar kan je ook een hele aardige netbook voor kopen...

Over de reset knop; ik was onder de indruk dat na een foute rom flash je je telefoon terug naar de fabriek kan sturen. Zoals ze bij HX zeggen: otherwise you will have yourself a nice shiny black brick.

Over die brand: daarom ben je dus alle garantie kwijt, waaronder ik ook verstond de mogelijkheid ze aansprakelijk te stellen voor zoiets.

graey @Anoniem: 28958 • 2 april 2010 15:34

Simlockvrij worden ze met dikke winst verkocht, en ook een telefoonaanbieder die ze 'weggeeft' maakt er dik winst op: je gaat een contract aan, en ongeacht of je de telefoon vervolgens op een ander netwerk gaat gebruiken, dat contract loopt en daar lopen zij mee binnen.

[Reactie gewijzigd door graey op 23 juli 2024 00:02]

blorf @Zoijar • 2 april 2010 15:15

De fabrikanten willen bepalen wat een telefoon te bieden heeft. In de meest ideale situatie is dat net iets meer dan de concurrent. Kan een toestel "te veel" dan ben je je eigen toekomstige markt aan het ondermijnen. Dan moet je noodgedwongen iets nieuws bedenken.
Daarnaast willen ze vrienden blijven met de telecom-providers die voor een grote afname zorgen. Die providers willen op hun beurt zo weinig mogelijk functionaliteit voor niks weggeven omdat ze bedrijven die betaalde telecomdiensten aanbieden als klant willen houden en die technologie uit handen van de consument zelf houden.

...weten dat hij root-toegang tot de beide toestellen heeft verkregen.... O'Brien is er nog niet in geslaagd om schrijfpermissies op de systeempartitie te krijgen....

Je bent root maar hebt geen schrijfpermissies op de systeempartitie?
Sinds wanneer heeft root geen root-permissies meer in Linux?

chaoscontrol 2 april 2010 13:58

root toegang zonder schrijfrechten?

Dix0r @chaoscontrol • 2 april 2010 14:12

Tja.. het krijgen van een shell heet tegenwoordig 'rooten' voor de telefoon guru's. Al is het aannemlelijk dat het op korte termijn ook mogelijk is om data weg te schrijven op de systeempartitie.

graey @Dix0r • 2 april 2010 15:31

Nou, het krijgen van een shell met permissie om systeemopdrachten uit te voeren, als root-gebruiker. Maar kennelijk heeft HTC de systeempartitie kennelijk ook voor de root-gebruiker onbeschrijfbaar gemaakt.

bvdbijl @graey • 4 april 2010 11:35

Dat zou wel erg raar zijn.. dan is de root user toch niet echt de root user? Want er moet toch een of andere user zijn die de schijf moet kunnen writen? Hoe zou de telefoon anders een update kunnen krijgen.

bzerk @chaoscontrol • 2 april 2010 18:44

Dat is echt vrij eenvoudig voor te stellen. Stel je maar even een thin client voor die via een read-only NFS zijn root fs mount. Thin client gehacked != schrijf rechten op de NFS mount. Je hebt immers nog lang niet de NFS server gehacked

Meeste embedded devices (bv telefoons) gaan via een aantal stages naar het uiteindelijke OS. Als de bootloader stevig is en ervoor zorgt dat het root fs ro gemount is kun je hacken in het uiteindelijk geladen OS wat je wilt, maar schrijfrechten ho maar.

WPN 2 april 2010 20:34

vandaag bij tfortelecom de dummy van de desire in mn handen gehad....
als die dummy de exact is als de echte dan is dat ding geweldig in gevoel...
de dame in de winkel hoopt donderdag of vrijdag de eerste levering te krijgen maar dat kon ze nog niet zeker zeggen, maar meestal kwamen de echte toestelen zeer kort na de dummies binnen.....(dus hopelijk binnen enkele dagen ipv weken)

ik kan bij de wm toestellen nog wel begrijpen dat er custom roms gewenst zijn
maar welke improvements zijn er tot nu toe bij de Androids gedaan??

bvdbijl @WPN • 4 april 2010 11:41

Voornamelijk totale aanpassingen aan het systeem zoals nieuwe skins, meer bijgeleverde apps of een verbeterde browser, nieuwere Webkit versie, met root toegang word het ook mogelijk de CPU over te klokken (http://www.pokedev.com/setcpu/), en om te WiFi tetheren (http://code.google.com/p/android-wifi-tether/).
Verder is het ook mogelijk om debian te installeren (http://www.saurik.com/id/10) dus eigenlijk is er gewoon alles mogelijk wat er op elke linux installatie mogelijk is!

Nickienick @WPN • 4 april 2010 15:36

De Desire wordt bij Belcompany komende week verwacht...(donderdag of vrijdag)

Kalua 2 april 2010 13:44

Ben benieuwd wanneer we een werkbare manier krijgen en dan is het wachten op de eerste custom roms.

Ik moet er wel bij zeggen dat de originele ROM ook perfect werkt tot nu toe.

[Reactie gewijzigd door Kalua op 23 juli 2024 00:02]

poepkop 2 april 2010 14:18

Pff, ik zit nu al 2 weekjes te wachten met mn Legend op de layar app. Als dat probleem alleen een checkbox was duurt dat wel erg lang.

Neus @poepkop • 2 april 2010 15:06

En wat heeft dat te maken met dit artikel? Zit ook op mijn pizza te wachten, en dus?

Ontopic: hoe kan de Tattoo al wel schrijfrechten hebben en op deze nog niet? Ander 'root' password? Of is dat tè banaal.

Anoniem: 343588 @poepkop • 2 april 2010 14:36

dat ligt aan layar niet aan google of htc

Ilya @Anoniem: 343588 • 2 april 2010 15:11

Volgens dit bericht ligt het wel degelijk aan Google: nieuws: Installatie applicaties HTC Legend geblokkeerd door vergeten 'vinkje'

Anoniem: 54506 2 april 2010 13:48

Paul O'Brien is een engelsman.

Robin4 2 april 2010 13:49

Nou word het wel verlijdelijk verlangen (desire) om zo`n desire aan te schaffen.
Alleen jammer dat de accu tijd nogal erg kort is. Want ik stoor me nogal erg aan als een telefoon binnen 1 dag al leeg is..