Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Beveiligingsbedrijf Tehtri heeft op Hack in the Box beveiligingslekken getoond in software op de iPhone, BlackBerry en HTC-telefoons met Windows Mobile. Ook verschillende desktopprogramma's hebben potentiŽle kwetsbaarheden.

Dat zei oprichter Laurent Oudot van het Franse beveiligingsbedrijf Tehtri Security. Meest ernstig was een lek in de Cfnetworks-softwarebibliotheek, die wordt gebruikt door veel iPhone-applicaties, zoals Twitterrific en Facebook. "We hadden 100.000, misschien wel 200.000 iPhones kunnen overnemen", zegt Oudot tegen Tweakers.net. Zijn bedrijf heeft de problemen gemeld bij Apple, dat het lek inmiddels heeft gepatcht.

Het lek zat in de manier waarop de Cfnetworks-bibliotheek met internetadressen omging. Een http-verzoek via een onversleutelde internetverbinding kon dankzij een stack overflow met een man in the middle-attack worden aangevallen. Zo zouden de onderzoekers de controle over een toestel kunnen overnemen. Volgens Oudot zijn iPhone-bezitters die hun toestel hebben gejailbreakt daarbij kwetsbaarder, omdat een jailbreak meer mogelijkheden voor code-injectie geeft. Oudot adviseert iPhone-bezitters om hun software te updaten.

Bij een man in the middle-aanval onderschept een aanvaller internetverkeer en stuurt hij zelf gegevens terug. Zo kunnen bijvoorbeeld sites van banken worden vervalst. Internetgebruikers zijn bijvoorbeeld vatbaar voor dergelijke aanvallen als ze zich op een open, onbeveiligd netwerk bevinden, zoals op een vliegveld. Man in the middle-aanvallen kunnen worden belemmerd door beveiligde verbindingen te gebruiken.

Oudot toonde ook een bug in de Safari-browser op de iPad, eveneens een man in the middle-aanval. Daarbij slaagde hij erin de browser te laten crashen. Uitvoeren van code zou ook mogelijk zijn, maar Oudot wilde naar aanleiding van afspraken van Apple niet meer informatie geven.

Ook kwetsbaar is de voorgeïnstalleerde Opera-browser op HTC's met Windows Mobile; deze zou eveneens vatbaar zijn voor man in the middle-aanvallen. Een proof of concept heeft het bedrijf echter niet, anders dan bij de iPhone en iPad. Verder zou ook de standaard-BlackBerry-browser korte tijd voor dergelijke aanvallen kwetsbaar zijn geweest.

Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X. Ook hierbij ging het om man in the middle-kwetsbaarheden. Het bedrijf heeft echter geen concrete voorbeelden van misbruik van de lekken laten zien.

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (32)

Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Wel als er een lek in de software zit.
Dan nog is het niet de schuld van de OS maar van de software. Zoals dreamvoid hierboven al zegt. De OS heeft pas een veiligheidprobleem als je code injectie ect. kunt doen vanuit die software.
De echte schuldige is natuurlijk de dader, de hacker.
Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Klopt maar als je de totale controle over een systeem kunt overnemen, is er ook wat mis met de software.
Dus een man in the middle attack is dan opeens de schuld van een OS? Ik dacht dat netwerkinfrastructuur daar de schuldige was..
Netwerk infra schuldig? Misschien als je dure IDS oplossingen hebt staan die dat behoren te detecteren.

De schuld is te zoeken bij het deel van de software die daar bescherming hoort te bieden. In het geval van de iPhone kan ik me voorstellen dat je leunt op de API van Apple, en ligt in principe daar de schuld. Same met Windows Mobile. Mocht Android lek zijn, dan kan het liggen in het OS, maar ook eventueel in de java library die er gebruikt wordt.
Niet helemaal natuurlijk. Als jou software een SSL verbinding gebruikt is man-in-the-middle (vrijwel) onmogelijk. Maar als jou software weigert SSL te gebruiken, kan je nog zo'n goede infrastructuur hebben....
Dus schuld van de software, niet van 't OS. Dat komt helemaal niet in de keten voor in dit geval. Applicatie praat met internet, en in die communicatie zit een lek waardoor er ongemerkt iemand tussenin zit. Pas als je vanuit de applicatie in het OS of ander apps kan komen (code injectie, buffer of stack overflows, etc) wordt het een veiligheidsprobleem van de smartphone zelf: trojans/rootkits/etc.

Dat is bij Safari op de iPhone al een aantal keer mogelijk geweest omdat het een relatief kwetsbare native code applicatie is en niet in een dichtgetimmerde VM draait zoals bij Android/Blackberry/WP7 en je dus relatief makkelijk code kan injecteren. NB: de flipside is natuurlijk dat de iPhone door die lekken ook al jarenlang makkelijk te jailbreaken is, en natuurlijk dat native code apps lekker snel zijn. Windows Mobile (tm 6.x) en Symbian hebben hetzelfde (fundamentele) probleem.

Je ziet nu dat moderne mobile OSsen proberen de apps meer af te schermen van het OS - of in het geval van Apple, "selectie aan de poort": apps beperken tot een aantal API's en handmatig screenen op potentieel gevaarlijke code voordat ze in de App Store komen.

edit: fanboy? (leest zijn comment nog eens door) Van wie dan? :?

[Reactie gewijzigd door Dreamvoid op 1 juli 2010 19:51]

Dreamvoid legt duidelijk en met argumenten gespeend hoe het in elkaar steekt.
Dit zijn gewoon feiten en dan kom jij met zo'n debiele opmerking.

Als je het oneens bent met zijn argumenten reageer daar dan op een proffesionele manier op.
Zo lijkt het op onvolwassen kotergedoe.
Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X. Ook hierbij ging het om man in the middle-kwetsbaarheden. Het bedrijf heeft echter geen concrete voorbeelden van misbruik van de lekken laten zien.

Gebruik zelf soms Itunes maar veel vaker Firefox.
Dan stap ik maar weer over op IE.
(Alleen telebanken en betalingen.Dat dan weer wel.) :)
wat een non- argument,

omdat er een of andere franse clown roept dat er fouten in firefox zitten, (ja duh) - moet je weer direct een andere browser zoeken (die zeer waarschijnlijk ook dergelijke fouten bevat).

laat deze loozert eerst maar eens enkele van die fouten markeren in plaats van enkel een hoop geblaat.

want zonder verder onderzoek weet ik ook wel dat er vast en zeker mitm fouten zitten in WSUS, Aptitude, en andere software update meganismen,

je zou daarmee feitelijk een geinfecteerde kernel kunnen installeren waardoor je zelfs op hardware niveau met systemen kunt gaan kloten (zodat je wel heel makkelijk bankgegevens kunt binnenhengelen.

- maar mijn leuk gekozen voorbeeld mag dan waar zijn, zolang er geen onderzoek gedaan is naar of die fouten er op dit moment werkelijk inzitten en waar en hoe ze te misbruiken zijn, blijft 't slechts een hoop gezwets zonder ook maar enig nut of betekenis. en is het dus niets meer of minder dan mindless bashing.

[Reactie gewijzigd door i-chat op 2 juli 2010 07:58]

Dit is op zich heel interessant nieuws, want gepubliceerde lekken op Blackberry zijn zeldzaam. De browser draait daar binnen de Java VM, dus in feite een Java lek?

(edit: ah man-in-the-middle, dus een kwetsbaarheid tussen internet <-> browser, en niet browser <-> OS. Ellende blijft binnen de browser dus.)

[Reactie gewijzigd door Dreamvoid op 1 juli 2010 18:01]

Beveiligingsbedrijven ruiken ook hun kans nu Mobiele operating systems geavanceerder worden en mogelijk zelfs desktop OS's kunnen gaan verdringen.
Voor mijn iig geen 3rd party software die op virussen checked. Ik heb er alleen maar slechte ervaringen mee.
Ik heb nu een iPhone en hoop dat Apple er voor gaat zorgen dat hun systeem veilig blijft om te gebruiken. Ik zal iig een mobiel OS volgen wat zo veilig mogelijk is.
Op m'n mobiel doe ik namelijk veel meer persoonlijke dingen. Het is meer een hub naar mijn digitale identiteit dan mijn laptop op dit moment. Ik zie dit binnen 5 jaar exponentieel groeien, dan moeten we kunnen blijven vertrouwen op onze software.
Android dus niet?
Hij had geen beschikking over een android dus heeft hij zelf niet kunnen testen, dit melde hij ook tijdens de presentatie.
En het waren niet alleen mobiele telefoons die dit soort grapjes hadden, ook dingen als Office Live of iLife werken met http connectie's bij lokaal opstarten die te mitmen zijn.
Het is eigenlijk niks nieuw :) echter is het wel leuk dat het weer onder de aandacht wordt gebracht.

Tevens is SSL niet de oplossing want met SSLstrip aanvalen (ja dat doet wat het woord zegt ) kan je dat omzeilen.
SSL"strip" een netwerk af sniffen en dan de redirects bewerken en naar een "proxy" sturen. Dat is inderdaad een leuke man in de middle. Gelukkig hebben de browser makers daar reeds op gereageerd en is het SSL certificaat (van de evil proxy) zichtbaar.

SSL niet de oplossing laat me niet lachen. Als je altijd SSL gebruik kan deze SSLstip aanval nooit plaat vinden. Kortom alles over naar https.
Uhm niet elke sslstrip aanval werkt zo ik kan hem ook als HTTP aanbieden!
waardoor je browser of client niet zeurt :) en dan moet je manueel op het "slotje" letten.
En aangezien dat op je mobiele telefoon daar minder snel op wordt gelet.
SSL niet de oplossing laat me niet lachen. Als je altijd SSL gebruik kan deze SSLstip aanval nooit plaat vinden. Kortom alles over naar https.
Dit was een beetje kort door de bocht van mij.
Enkel HTTPS implementeren met HTTP als backup is geen optie omdat ik het dan als mogelijke aanvaller nog als HTTP kan aanbieden, er moet compleet overgegaan worden op HTTPS (en de code moet het ook verifiŽren) imho natuurlijk. en daar heb jij dus gelijk in :)

Daar doelde ik meer op :) en tja selfsigned certs geven vaak een error :) maar zoals hij in zijn presentatie aanhaalt zijn er ook andere mogelijkheden.
De slides staan trouwens hier:

http://conference.hitb.or...b%20in%20the%20Middle.pdf

Hier is meer info over de SSLstrip te vinden:
http://www.thoughtcrime.org/software/sslstrip/

* LuckY aait zijn SSH tunnel

[Reactie gewijzigd door LuckY op 2 juli 2010 06:12]

Ook dat heeft lekken (of er al gevonden zijn is wat anders), lekvrij bestaat niet met zulke software, je kunt het beperken maar uitsluiten niet ;)
Beveiligingsbedrijf Tehtri heeft op Hack in the Box beveiligingslekken getoond in software op de iPhone, BlackBerry en HTC-telefoons met Windows Mobile.
Klopt
Tuurlijk wel google maar op "Android Vulnerability"
Hoe krijgen dit soort bedrijven hun inkomsten binnen vraag ik mij af? Zullen ze dan naar apple gaan en zeggen: "Hoi ik kan 200.000 iphones overnemen met een lek in jullie software, maar voor 1 mil vertel ik jullie het lek"?
Bij het bedrijf waar ik werk nodigen we regelmatig internet beveilingsspecialisten uit om onze website en erop draaiende applicaties enzo te testen en te reviewen op beveilingsproblemen. Uiteraard betalen we zo'n beveiligingsbedrijf daarvoor. We zijn vast en zeker niet het enige bedrijf dat op een dergelijke manier werkt. Dat is hoe dergelijke internet beveilingsbedrijven aan hun inkomsten komen.
1 zon onderzoek en ze worden voor 10 projecten gevraagd om daar ook de beveiliging van na te kijken.
Spijtig voor iPhone 2G gebruikers (zoals mezelf) die geen Firmware Updates meer krijgen. Ik verwacht iOS4 niet op mijn toestel en begrijp dat ze na 3 jaar de support opzeggen, maar dat ik dan tegelijk deze belangrijke patches niet meer kan ontvangen is minder. Zo blijf je toch met een beveiligingsrisico zitten waar helemaal niets aan gedaan wordt.
Spijtig voor iPhone 2G gebruikers (zoals mezelf) die geen Firmware Updates meer krijgen.
Jij kan toch gewoon nog iPhone OS 3 gebruiken? en die wordt qua security patches nog gewoon ondersteund. Alleen iPhone OS 2 is nu uit de ondersteunings cycle gevallen.

(note: pas sinds versie 4 heet het iOS)
De naam is gewoon volledig naar iOS omgevormd. Op dit moment staat er ook nog geen iOS4 op de iPad bijvoorbeeld, dus dan kan je het nog moeilijk iPhone OS 3 noemen.

Misschien dat er nog wel eens een security patch voor iOS3 zal uitkomen, maar er is nooit bevestigd dat ze dit effectief gaan doen Het zou me ook niet verbazen als er helemaal geen updates meer voor 3.0 komen en dat ze zich volledig gaan richten op 4.0 waarbij ze wel rekening houden met backwards compatible maar meer niet.

Ik begrijp trouwens niet wat er irrelevant is aan mijn vorige post. Het gaat over beveiligingsrisico's op de iPhone en ik stel de vraag of Apple dit risico nu enkel voor iOS4 gaat oplossen of ook voor iOS3. Hoe meer on-topic kan je gaan..

[Reactie gewijzigd door Zero Grav op 2 juli 2010 13:04]

Op gewone pc's ziet de beveiligingsonderzoeker bedreigingen in programma's als Firefox, OpenOffice, iTunes en besturingssysteem Mac OS X.
Oftewel: Ik blijf lekker met IE8 op mijn Windows 7 computer surfen, terwijl ik een brief tik in Word en muziek luister via Windows Media Player.

[applefanboyantwoord] Maar dat zijn geen beveiligingslekken in OSX en iTunes hoor, maar dat heeft Apple met opzet gedaan omdat ze openheid van software nastreven![/applefanboyantwoord]
http://tweakers.net/nieuws/63504/t-mobile-gaat-ssh-hack-iphones-onmogelijk-maken.html.

Daar dacht ik in eerste instantie aan, of toch aan het eerste artikel hierover (kijk bij de gerelateerde berichten).

OnTopic : Achja, man in the middle "lekken" zul je toch ALTIJD hebben hoor, zeker in het geval van onvoldoede geteste software en publieke netwerken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True