Onderzoekers demonstreren smartphone-aanval via usb-kabel

Onderzoekers van de George Mason University hebben een exploit ontwikkeld waarmee zij Android-smartphones kunnen aanvallen via usb. De malware kan zich vervolgens als een virus verder verspreiden.

De onderzoekers, die hun methode op de hackersconferentie Black Hat demonstreerden, claimen met de usb-exploit Android-smartphones over te kunnen nemen. Een mogelijkheid is om het apparaat dat via usb met de smartphone is verbonden zich te laten identificeren als human interface device, zoals een toetsenbord. Op die manier kan de smartphone via tekstinput worden overgenomen, vermoedelijk door het laden van specifieke scripts. De onderzoekers konden gebruikmaken van usb voor hun exploit omdat de verbinding geen beveiliging bevat die hackers kan tegenhouden.

Kwaadwillende personen die een Android-smartphone hebben geïnfecteerd kunnen zo relatief gemakkelijk andere apparaten overnemen. De onderzoekers hebben een methode ontwikkeld om de Android-smartphone als een usb-hostapparaat te laten werken. Met een speciaal ontwikkelde usb-kabel kunnen ze vervolgens andere smartphones die met het geïnfecteerde toestel zijn verbonden overnemen.

De exploit zou werken voor elk apparaat dat beschikt over usb, maar er is vooralsnog alleen een versie voor Android ontwikkeld, zo lieten de onderzoekers weten in een interview met Cnet. Volgens de ontwikkelaars kunnen gebruikers op deze manier nietsvermoedend de malware van een geïnfecteerde pc naar hun smartpone overbrengen, simpelweg door een usb-verbinding te maken met de pc, met als bedoeling om bijvoorbeeld de telefoon op te laden of files uit te wisselen. De malware kan ondertussen, zonder dat de gebruiker hier erg in heeft, de Android-telefoon infecteren. Het is daarnaast ook mogelijk om smartphones met Googles mobiele OS te infecteren door de kwaadaardige code in een app in te bouwen.

Reacties (65)

wiskid 20 januari 2011 16:07

uit het artikel van black hat:

"we explain how to boot a smart phone device into USB host mode and take over another phone using a specially crafted cable."

Denk dat dit ook wel een grote inpackt heeft op de hack niet waar?

Timo002 20 januari 2011 15:48

Correct me if I'm wrong!

Wel vreemd dat voor Linux nagenoeg geen virussen / malware worden geschreven. Terwijl voor Android (Linux) dit soort ongein wel weer uit komt...

De noodzaak naar een virusscanner wordt steeds groter op smartphones. Dat was natuurlijk te verwachten aangezien het steeds meer richten een compacte PC gaat. Maar voelt nog erg onwennig aan. Een virusscanner op je mobiel... daar hadden we bij de Nokia 3310 nog niet aan gedacht...

@redstorm:
ik begrijp wat je bedoelt, eigenlijk zou je het succes van een OS dus kunnen koppelen aan het aantal virussen / malware dat ervoor geschreven wordt.
Vraag me toch altijd af wat een maker ervan nu voor ogen heeft. Gewoon pesterij? Of serieus persoonlijke data van mensen stelen en daarmee geld verdienen?

[Reactie gewijzigd door Timo002 op 22 juli 2024 19:20]

Verwijderd @Timo002 • 20 januari 2011 15:51

Vanwege de simpele rede dat Android vele malen meer wordt gebruikt dan Linux (als desktop OS) en daarom voor virus makers dus ook een stuk aantrekkelijker is.

jiriw @Verwijderd • 20 januari 2011 16:05

Een beetje klok-klepel hier. Dit heeft niets met populariteit van een besturingssysteem te maken.
De USB exploit hier is een local exploit; de malware doet zich voor als een USB HID. Als de 'terminal' die daarachter zit voldoende rechten heeft dan ben je gewoon binnen. Dit kan ook op een linux systeem als je, je malware verspreidend apparaat aansluit op een USB poort terwijl '/dev/console' op het systeem als root is aangelogd. Sowieso als je toegang hebt tot de fysieke hardware kom je veel makkelijker binnen dan dat je dat over een netwerk connectie moet proberen.
Waar het interessant wordt is de claim dat de onderzoekers andere Android toestellen kan besmetten die 'verbonden' zijn met het geinfecteerde toestel. Maar alleen omdat ze het voor elkaar gekregen hebben de USB connectie op de besmette smartphone als host te laten werken. Vervolgens speelt hetzelfde verhaaltje wat ik zo-eerder schetste. Hacken met fysieke toegang tot de hardware is makkelijk omdat vrijwel geen enkele hardware fabrikant z'n apparatuur daartegen beschermt... En de software verwacht dat de data die van een toetsenbord afkomstig is, gegenereerd wordt door de gebruiker die zichzelf heeft aangelogd.

[Reactie gewijzigd door jiriw op 22 juli 2024 19:20]

mad_max234 @jiriw • 20 januari 2011 16:42

Net wat docks al zegt, linux is niet interessant genoeg voor hackers, is naïef om te denken dat linux geen gaten kent die je kan exploiteren. Er zijn onderzoeken gedaan en bleek dat linux gewoon kan infecteren met botnetwerk, en ze in de kernel konden komen door exploit. Zat mensen die hebben aangetoond dat linux niet ontkomt aan virussen als de pijlen eenmaal op linux gericht zouden worden. Maar met 3% aandeel is dat niet het OS waar je als hacker je op wilt richten, zult meer en deel niet raak schieten.. Maar windows heb je 90% kan dat je raak schiet.

mzziol @mad_max234 • 20 januari 2011 17:55

Linux machines zijn juist interessant, als je het mij vraagt, aangezien miljoenen servers erop draaien. Servers bezitten over het algemeen over een snelle internetverbinding en veel processor-capaciteit. Als je als hacker die kracht kan exploiteren, dan lijkt me dat enorm gunstig!

Het feit is gewoon dat Linux is ontworpen om een multi-user systeem te worden, terwijl Windows zich altijd heeft gericht op één enkele gebruiker. Bij de laatste is daarom ook een stuk minder nagedacht over beveiliging en alhoewel het de laatste jaren steeds beter wordt, is het moeilijk een verleden van je af te schudden wanneer je nog wel (min of meer) compatibel moet blijven met vorige versies.

Maar kijk nou eens objectief naar de server-wereld. Ondanks dat Apache een veel groter marktaandeel heeft, zijn de serieuze (heel schadelijke) aanvallen bijna altijd op IIS gericht.

Verwijderd @mad_max234 • 20 januari 2011 18:03

Linux kan je infecteren met een botnetwerk?

Please explain yourself...

Als je het maar vaak genoeg vraagt, geeft hij ineens zijn wachtwoorden ofzo?

Anyway; die 3% Linux is niet 3% houtje touwtje pc's. (relatief) Veel servers draaien Linux, en als ik mag kiezen tussen een 24/7/365 up in the air server met >100/>1000Mb/s verbinding, of een pc waarvan ik maar moet zien hoevaak hij aan gaat op een miezerig <5Mb/s lijntje, dan weet ik het wel!

Wat volgens mij méér een verschil is, is dat systeembeheerders geen p*rno gaan lopen downloaden via Limewire op een server. Of dat de gemiddelde Linux geek niet op "Klik hier, dan scan ik je pc even" aanbiedingen klikt.
DAT zijn de echte trucs. Windows wordt niet gigantisch gekraakt (althans, daar heb je meestal geen last van), maar mensen halen gewoon veel te veel sh*t binnen zonder eventjes goed te denken waar ze nou eigenlijk op klikken.
Vervolgens geeft Windows welliswaar zomaar groen licht, maar veel fouten liggen bij de eindgebruikers!

disclaimertje; ik zeg niet dat je pr0n loopt te downloaden iedere keer dat je pc crasht... En ja, ik weet natuurlijk ook wel dat consumenten ondertussen ook glasvezel krijgen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:20]

cornedor @Verwijderd • 20 januari 2011 22:04

En vergeet niet dat virussen voor windows ontwikkeld niet op linux werken, verdachte software voor windows draai ik vaak in wine, is er dan iets mis mee hoef ik allen wine opnieuw te instaleren, minder moeite dan windows virus vrij maken

johnkeates @mad_max234 • 20 januari 2011 17:41

Er zijn meer Linux servers 24x7x365 aangesloten op high speed glasvezel verbindingen dan alle windows bakken bij elkaar. Met windows weet je dat het crap is en dat de gebruikers niet weten waar ze mee bezig zijn zul je bedoelen.

Verwijderd @johnkeates • 20 januari 2011 21:30

bron?
ik bedoel, dit weer vooroordelen van de bovenste plank. aangezien windows 90% van het marktaandeel heeft, zullen onderzoekers/hackers sneller geneigt zich op windows te richten. servers zijn moeilijker aan te vallen en je hebt op zich niet enorm veel aan.

cornedor @Verwijderd • 20 januari 2011 22:01

Aangezien windows maar een klein deel van de server markt heeft, daardoor is linux een vrij groot target om te infecteren. Maar even een kleine vergelijking:

sinds 2006 800 stuks mallware op linux
sinds 2009 2 miljoen stuks mallware op windows

Linux is heel anders gebouwd dan windows en veel minder snel vatbaar dan windows

Verwijderd @cornedor • 21 januari 2011 08:48

als je weet wat je doet is alles te kraken, je hebt alleen wat meer hersens nodig om Linux te infecteren met een virus..

en mensen die dagelijks op Linux werken zijn ook meestal wat bewuster met de computer bezig.. dus die zullen niet zo snel in virus truukjes vallen.. terwijl de onnozele Windows gebruiker op iedere pop-up klikt die ze tegen komen.

bij windows is voor 80% de gebruiker die voor de pc zit de virus.. ik werk al sinds windows 95 op windows en heb misschien 2x een virus te pakken gehad...

dus als je gewoon alert bent word je bijna niet geïnfecteerd

Verwijderd @cornedor • 21 januari 2011 12:14

Linux is helemaal niets heel anders gebouwd dan Windows, en is gewoon net zo vatbaar.

Windows heeft op de desktop gewoon het nadeel dat:
1) het veel meer gebruikt wordt.
2) de gebruikers veel minder kundig zijn
3) het lange tijd gewoon was met admin rechten te werken.

Zou Linux in dezelfde situatie zitten, dan zouden er net zo veel malware voor zijn.

r0n1n112 @johnkeates • 21 januari 2011 08:24

Probleem is dat de meeste mensen die linux gebruiken, ervaren gebruikers zijn, en vaak de pc ook beter beveiligen/controleren.

Windows wat er vaak standaard op staat, met een 30 dagen trial beveiliging blijft daarna bij veen huis/tuin en keuken gebruikers onbeveiligd achter, en dus een veel makkelijker doelwit.

Grrrrrene

@johnkeates • 21 januari 2011 08:43

Nee, met Windows weet je dat het gros thuis PC's betreft die op geen enkele wijze beveiligd zijn. Als je een virus wil schrijven, waar kies je dan voor? Een aanval op de desktop pc's/laptops van mensen die niet vertrouwd zijn met computers of een aanval op een linux-server die onderhouden wordt door professionals?

Dlocks @jiriw • 20 januari 2011 16:14

Dit heeft niets met populariteit van een besturingssysteem te maken.

Als er maar drie mensen op deze aardbol een Android-smartphone zouden hebben dan hadden deze onderzoekers al sowieso geen onderzoek gedaan naar mogelijke exploits in Android.

Dankzij de populariteit van Android zijn ze dit gaan onderzoeken.

jiriw @Dlocks • 20 januari 2011 16:33

Sorry, hoor... maar waar haal je die wijsheid vandaan? Het enige wat ik uit de tweakers post opmaak is dit:

De exploit zou werken voor elk apparaat dat beschikt over usb, maar er is vooralsnog alleen een versie voor Android ontwikkeld

Naar mijn idee hebben ze dit op een Android smartphone ontwikkeld omdat die nu eenmaal voor handen was.
Het idee werkt met ieder apparaat:

1) wat een USB bus heeft die zich zowel als host en als device voor kan doen.
2) welke een besturingssysteem bevat die niet expliciet checkt dat een nieuw aangesloten USB device werkelijk een door de bedoelde gebruiker bestuurd device is.
3) waarbij het plausibel is dat het apparaat met andere intelligente (als zijnde: er steekt een OS achter wat vatbaar is voor besmetting met deze malware) apparaten wordt verbonden via een USB kabel om een taak te verrichten waarbij de malware code kan 'meeliften' over de gemaakte verbinding.

Alleen als strikt aan deze drie voorwaarden is voldaan kan de malware zich als een virus versprijden. Hierbij noem ik niet een maal het woordje 'Android'. Dit is een (bijna) software-onafhankelijk beveiligingsgat, mogelijk gemaakt door de manier waarop wij willen dat USB apparatuur werkt. Als je dit wil tegen gaan moet je voor ieder device eerst toestemming aan de gebruiker vragen of dit wel mag. Ik kan je vertellen dat, dat heel veel van de gebruiksvriendelijkheid van USB teniet doet (zeker als je 20 keer 'ja' moet klikken bij een USB composite device met zoveel sub-devices bijvoorbeeld.)

Verwijderd @jiriw • 20 januari 2011 21:25

Het zou wel goed zijn als telefoonmakers zich hiervan bewust worden. Mijn n900 draait in feite gewoon debian (maemo), maar het lijkt wel alsof de gebruiker standaard als root inlogd. In ieder geval heeft de gebruikeraccount standaard geen password maar wel admin-rechten, dat alleen al is vragen om moeilijkheden!

ChaoZero @Verwijderd • 21 januari 2011 08:48

Inderdaad, en dat is ook een deel van het probleem in android.

Bij veel linux distro's krijg je te zien na een su:
'with great power comes great responsibility' - of iets in die geest.
Bij ubuntu is er zelfs niet op het root-account in te loggen!
Hoe dan ook; er wordt altijd afgeraden aangemeld te zijn als root, tenzij dit absoluut nodig is.
Een usb device op mijn debian-bak zou dan ook 0% kans hebben dit truukje uit te voeren.
Deze zou hooguit de user environment van de aangemelde user kunnen vernaggelen.

In Android zijn zoveel rechten toegekend aan de standaard user, dat deze zichzelf (of d.m.v. malware) flink in de vingers kan snijden. Gelukkig is voor root-toegang op mijn telefoon wel een notificatiescherm+bevestiging vereist, maar dankzij de overpowered standaard user voelt dit niet veel veiliger.

De gulden middenweg tussen gebruiksvriendelijkheid en security is nog niet zo gulden...

Wel grappig, De enige die mij minder kwetsbaar lijkt (wellicht door niet genoeg geëxperimenteerd te hebben met WM en usb-randapparatuur), zijn de MTP-devices (WP7 weet ik niet) welke flink beperkt zijn in generiek gebruik van de usb poort.
Ironie

[Reactie gewijzigd door ChaoZero op 22 juli 2024 19:20]

ikt @Timo002 • 20 januari 2011 15:58

Dat komt omdat, wanneer je een smartphone wilt kopen, je niet echt veel keuze hebt. Blackberry OS is nogal dichtgetimmerd, iOS is al lekker gekraakt. Voor Nokia heb je volgens mij al lekker veel toegang. Android is ook nog eens een heel heel heel erg veel gebruikt Smartphone OS.

Dus logische keuze om dan voor Android te gaan, in plaats van een desktop OS. Linux is trouwens niet eens Linux, het is alleen de kernel, en die wordt gewoon voor een shitload aan distributies gebruikt. Je kunt het niet zomaar 'linux' hebben. Ubuntu is niet zomaar Gentoo of Slackware. Ook zijn de 'doorsnee' Linux gebruikers nogal begaafd. Niet dat ze zomaar op random links klikken en alles uitvoeren. (nadat ze het gecompileerd hebben).

Ontopic: Het automatisch alle verkeer toestaan via USB is inderdaad niet erg slim. Maar ik snap het artikel niet: USB is alleen hartstikke lokaal, dus je moet fysieke toegang hebben tot het apparaat. Maar als je dus al zo bij het apparaat kunt, dan is het toch niet een beveiligingslek? Wel dat Android automatisch alles accepteert wat via USB binnenkomt. Ook moet nog de computer worden geïnfecteerd. En dan moeten de drivers nog worden geïnstalleerd. Volgens mij kan dit niet zo ongemerkt. En een simpele Android-update, die voor bevestiging vraagt van de gebruiker kan dit probleem al dichten. (Tenzij de gebruiker weer alles toestaat, maar dat is PEBKAC)

johnkeates @ikt • 20 januari 2011 17:45

Wat is er zo lekker aan kraken en toegang? Als je een telefoon koopt wil je meestal bellen, smssen en voor smartphones ook je agenda, contacten en mail bijhouden. Internetten is ook wel leuk. En dat is het dan. Als je het ziet als een platform waar je de rest van je leven mee wil 'spelen' en 'dingetjes' mee wil 'doen' dan heb je inderdaad gelijk, maar dat is niet van toepassing bij de mensen die hun toestellen gewoon als middel gebruiken in hun leven om dingen te doen, zoals feestjes afspreken, en vieze smsjes naar elkaar sturen.

Capacitor @Timo002 • 20 januari 2011 15:53

Besturingssystemen die een linux-kernel draaien hebben hooguit 7 à 8% van de desktopmarkt in handen. Android heeft voor de mobiele markt een veel hoger percentage in handen, waardoor het voor hackers veel aantrekkelijker wordt om er virussen voor te schrijven. De doelgroep die getroffen wordt, is namelijk vele malen groter dan bij desktopsystemen met een linux-kernel.

johnkeates @Capacitor • 20 januari 2011 17:43

Er zijn meer servers en routers met een linux kernel.

cornedor @johnkeates • 20 januari 2011 22:13

media centra, tv ontvangers

ChaoZero @Capacitor • 21 januari 2011 08:59

Android is vatbaar doordat de standaard gebruiker veel, erg veel meer rechten heeft dan de gewone gebruikers in een echte unix-gebaseerde omgeving.

Natuurlijk heeft populariteit wel iets te maken met research naar kwetsbaarheden in het OS. Dit wil echter niet zeggen dat er geen gigantisch verschil zit tussen de beveiliging in de gemiddelde linux-bak en een android telefoon...

MaestroMaus

@Timo002 • 20 januari 2011 16:01

De opmerking Android = Linux klopt niet helemaal. Als u nu geschreven had: Android draait op een gemodificeerde versie van de Linux kernel dan had u gelijk gehad.

Ik weet niet of Android hier op dezelfde manier een USB-verbinding maakt als een normale Linux distributie. Dus tot we dat weten kunnen we er niets over schrijven. Verder zou het programma bij een normale Linux distributie administratie bevoegdheden nodig hebben om in de partities van het OS te komen (laat staan dingen te mogen installeren). En daarvoor moet de gebruiker eerst het administrator wachtwoord ingeven.

Natuurlijk ben ik hier maar de theorie aan het bepraten. Ik ben geen expert. Maar ik kan me haast niet voor stellen dat zo'n simpele exploit op een normale Linux distributie kan werken. Waarschijnlijk zijn het de jongens bij Google die met hun aanpassingen dit over het hoofd gezien hebben.

[Reactie gewijzigd door MaestroMaus op 22 juli 2024 19:20]

ChaoZero @MaestroMaus • 21 januari 2011 11:21

ik wel; ze maken verbinding op dezelfde manier.
Zelfs de code die de usb-verbindingen regelt is exact dezelfde.

Grootste verschil zit in het feit dat de standaard user (de exploit voert dmv de usb-hid zijn bewerkingen uit als de huidige aangemelde user) teveel rechten heeft gekregen binnen android. Dit moet ook wel; anders zou je bij iedere app die je van de market haalt weer rechten moeten geven (zoals je zelf ook al aangaf).

Dit kan niet met een simpele 'ja' knop, aangezien een usb-hid deze ook kan indrukken. Een patroon maken of een wachtwoord zou beter zijn, maar dit zou storend werken bij het gebruik van de telefoon.

Dit is dus een keuze die google gemaakt heeft. Meer rechten voor de user zodat deze niet de hele tijd om bevestiging wordt gevraagd voor zaken die op het gemiddelde unix-gebaseerde OS root-rechten vereisen.

[Reactie gewijzigd door ChaoZero op 22 juli 2024 19:20]

CAPSLOCK2000

Privacy
Google

@Timo002 • 20 januari 2011 16:17

Dat is nu het grote nadeel van een monocultuur.
Het is bekend verschijnsel uit de biologie.
Als alle beestjes ongeveer hetzelfde DNA hebben en er wordt er eentje ziek dan is de kans groot dat ze allemaal ziek worden.
Als er maar genoeg variatie is dan krijgen ziektes het steeds moeilijker, de kans dat je een 'compatible' slachtoffer tegenkomt daalt immers snel.

Persoonlijk denk ik dat geen enkele fabrikant meer dan 30% marktaandeel zou moeten hebben. Een markt met minder dan 3 grote spelers kan niet echt vrij zijn.

Verwijderd @Timo002 • 20 januari 2011 17:20

Ik weet wel zeker dat er wel virussen en malware voor worden geschreven, waarom denk je anders dat vrijwel elke linux server op aarde gewoon een virusscanner heeft draaien?
Het enige punt is dat als je op een linux computer zit je meestal niet automatisch volledige root toegang heb, wat je op windows wel heb, waardoor een virus dat ook niet zomaar automatisch heeft. Dit maakt het veel lastiger voor een virus om zich te verspreiden of om ernstige schade toe te richten aan het systeem.

cornedor @Verwijderd • 20 januari 2011 22:18

Huh? welke linux server ken jij dat een virrus scanner heeft? als je root account disabled en je ssh een beetje beveiligt hoef je zelden naar die linux server om te kijken.

borft @Timo002 • 20 januari 2011 15:52

volgens mij is het een windows computer die te grazen is genomen

tis meer een android telefoon die als middel gebruikt wordt. lezen is ook een kunst!

eynickey @borft • 20 januari 2011 15:58

Volgens mij niet:

"Volgens de ontwikkelaars kunnen gebruikers op deze manier nietsvermoedend de malware van een geïnfecteerde pc naar hun smartpone overbrengen"

[Reactie gewijzigd door eynickey op 22 juli 2024 19:20]

borft @eynickey • 20 januari 2011 16:02

uit originele posting:
" This includes attacks where a compromised smart phone poses as a Human Interface Device (HID) and sends keystrokes in order to control the victim host. Moreover, we explain how to boot a smart phone device into USB host mode and take over another phone using a specially crafted cable."

er wordt dus een smartphone gebruikt om aanvallen op te zetten.

Timo002 @borft • 20 januari 2011 15:56

Lezen is ook een kunst!

Inderdaad, lezen is niet iedereen z'n sterkste vak!

De malware kan ondertussen, zonder dat de gebruiker hier erg in heeft, de Android-telefoon infecteren. Het is daarnaast ook mogelijk om smartphones met Googles mobiele OS te infecteren door de kwaadaardige code in een app in te bouwen.

HaterFrame

@Timo002 • 20 januari 2011 15:52

Android word veel breder gebruikt door consumenten. Opzich is het logisch.

johnkeates @HaterFrame • 20 januari 2011 17:43

Android wordt niet 'gebruikt'. Hoewel het voor veel 'tweakers' gezien wordt als doel, is het voor de rest van de 95% van de gebruikers een middel, en geen doel. Die gaan niet lopen kutten met instellingen en hax, die willen bellen, sexten, en soms even internetten.

Het is gaar om aan te nemen dat alle Android gebruikers opeens inzicht in hard- en software verkrijgen door hun telefoon keuze.

leuk_he 20 januari 2011 15:51

1 Detail: hoe moet een gebruiker reageren als er gevraagd wordt een toetsenbord of muis aan te sluiten. Wie die gedachtengang bedenkt die ...

Brad Pitt

Google Android
Google

@leuk_he • 20 januari 2011 15:55

Wat is er lastig aan om op een "Ja" button te drukken op je scherm dan?

Dlocks @Brad Pitt • 20 januari 2011 16:18

Wat is er lastig aan om op een "Ja" button te drukken op je scherm dan?

Hoe weet een gebruiker dat hij eigenlijk op "Nee" moet drukken?

En als hij op "Nee" drukt, kan hij dan nog wel bestanden overzetten, opladen etc.?

--edit--
Dan moet de vraag misschien ongeveer als volgt zijn:

"Er wordt toetsenbord of muis aangesloten Mag dit?

Kies NEE als je een computer of laptop wil aansluiten"

[Reactie gewijzigd door Dlocks op 22 juli 2024 19:20]

doeternietoe @Brad Pitt • 20 januari 2011 17:42

De exploit zou werken voor elk apparaat dat beschikt over usb

Niet al deze apparaten hebben ingebouwde invoerapparaten om de keuze ja/nee te kunnen maken. Als een normale pc ook kwetsbaar is, dan heb je natuurlijk het probleem dat één invoerapparaat het eerste moet zijn.

Afgezien daarvan, als je al fysiek de mogelijkheid hebt om een kabel in de usb-poort te steken, waarom zou je dan niet de mogelijkheid hebben om op het 'ja' knopje te klikken?

Imho een vrij nutteloos advies.

!null @Brad Pitt • 20 januari 2011 16:20

Als je nog geen toetsenbord of muis hebt.....
Als je het dus breder ziet dan een smartphone.

V_J @leuk_he • 20 januari 2011 15:56

Veel audio jacks op PC stellen een vraag aan de gebruiker als die iets inplugt: "What device did you plug in?" Met dan keuzemogelijkheden voor micro, koptelefoon, luidsprekers, ...
Dus iets gelijkaardig is perfect mogelijk.

Maar hier zou het volgens mij zelf geen oplossing bieden: het kan nuttig zijn dat je PC zich als een HID presenteert (vb. voor bediening van de gsm via de pc - ik heb nog niet gezoch voor Android, maar ik heb software voor Windows Mobile die net dat doet).

johnkeates @V_J • 20 januari 2011 17:46

Het is verstandiger om gebruikers gewoon op te leiden i.p.v. ze dom te laten worden. Straks krijgen we een wereld a la Idiocracy.

Dlocks @johnkeates • 20 januari 2011 18:41

Als er een exploit is waar anti virus software nog niet van weet en iemand zijn computer raakt tijdens internetten geïnfecteerd zonder dat de gebruiker of anti virus software het in de gaten heeft dan kun je gebruikers opleiden wat je wil, maar dat heeft dan geen zin.

Dus op welke manier zou jij gebruikers opleiden zodat ze niet in een dergelijke situatie komen? Les 1: gebruik nooit computers en mobiele telefoons.

Ik begrijp je punt wel hoor, maar dit gaat nou eenmaal niet altijd op. Je hebt kinderen, bejaarden, digibeten en ook nog eens situaties waar de gebruiker ongeacht opleiding niets aan kan doen.

Verwijderd 20 januari 2011 15:51

Leuke proof of concept. Wat je volgens hun dus nodig hebt om een wave aan besmettingen te starten is fysieke toegang tot 1 phone. Dat is nog wel te regelen.

hellfire_ultd @Verwijderd • 20 januari 2011 15:59

En hoe verspreidt het virus zich naar de volgende telefoon? Via een speciaal daarvoor gemaakte USB-kabel. Dat doet toch niemand behalve de aanvaller?

Besmetting via een PC omdat de telefoon met een USB-kabel eraan hangt lijkt me een veel groter gevaar. Zeker als je je telefoons aan meerdere PC's hangt en ze een proof-of-concept ontwikkelen dat de volgende PC weer kan besmetten.

Elmo_nl @hellfire_ultd • 20 januari 2011 16:09

Ik begrijp uit het artikel dat ze een speciale USB kabel gebruiken om hun eigen smartphone op een dusdanige manier te benaderen dat deze zich vervolgnes "draadloos" als HID device bij andere Android smartphones aanmeld.

moozzuzz @Verwijderd • 21 januari 2011 14:16

Vooral goed om de mindset te veranderen naar smartphone = "antivirus nodig". De huidige AV zijn er al een tijdje aan op het hameren dus het zal er wel van komen, zker met deze fuzz-artikelen.

Elmo_nl 20 januari 2011 16:06

Volgens de onderzoekers zou er bij een usb-verbinding gevraagd moeten worden of de gebruiker daadwerkelijk het aangesloten apparaat wil verbinden, in plaats van direct verbinding te maken. Ook zou de gebruiker moeten aangeven welk type apparaat er is verbonden.

Het gebruiksgemak van USB is nou juist dat het plug & pray is. Als je de gebruiker nu gaat verwarren met de vraag of het apparaat wel/niet moet worden gekoppeld en wat voor apparaat het is zie ik daar veel problemen uit voortkomen. Laten we zeggen: als je niet wilt dat het apparaat verbonden wordt met de pc doe de USB stekker er dan niet in.

Voor wat betreft het type device hebben veel USB devices een Hardware ID (op te vragen door in device manager bij USB devices met rechts erop te klikken) die juist automagisch via de op de pc geïnstalleerde software herkend worden.

Dlocks @Elmo_nl • 20 januari 2011 16:27

Laten we zeggen: als je niet wilt dat het apparaat verbonden wordt met de pc doe de USB stekker er dan niet in.

Simpelweg de stekker er niet in doen is uiteraard geen oplossing.

Mensen willen via USB verbinding kunnen maken met hun PC om bestanden uit te wisselen, back-up te maken, op te laden etc.

Kortom, je wil wel verbinding maken maar niet vatbaar zijn voor een aanval. En dat los je niet op door geen USB verbinding te gebruiken.

Elmo_nl @Dlocks • 20 januari 2011 16:57

Dat begrijp ik beste Dlocks. Ik zeg ook niet dat je hem nooit moet verbinden. Maar de vraag of het apparaat gekoppeld dient te worden wanneer je de stekker erin doet lijkt me overbodig. Als ik het apparaat niet gekoppeld wil hebben doe ik de stekker er niet in op dat moment. Dat bedoel ik...

wiskid 20 januari 2011 15:55

Mijn Desire HD vraag altijd welke actie ik wil uitvoeren als ik mijn DHD aan de pc hang.

Als ik er dus voor kies om alleen te laden zou er niet zoveel aan de hand mogen zijn?

FunFair @wiskid • 20 januari 2011 15:59

Dan nog laad windows de adb drivers voor het toestel. Op mijn werk krijg ik ook altijd de melding dat de installatie is mislukt, omdat ik geen rechten heb om drivers toe te voegen aan het systeem.

Overigens zie ik wel iets positiefs in het hele verhaal. Mogelijk kunnen de XDA devs hier ook leuke dingetjes mee

Ik zie het gevaar van deze aanval nog niet helemaal in. Het werkt als ik het goed begrijp alleen als het gekoppeld is aan een geinfecteerde pc of een ander geinfecteerd device, via USB. Ik neem aan dat je, je telefoon niet zomaar door iemand anders laat aankoppelen om dit erop te zetten.

[Reactie gewijzigd door FunFair op 22 juli 2024 19:20]

almar 20 januari 2011 16:04

Dit is meer een functie vind ik. Ik vind deze vulnerability eigenlijk niet meer dan logisch. Gewoon een afweging tussen gebruiksgemak en beveiliging. Ik kan me echter wel voorstellen dat het opgelost zou kunnen worden door een optie toe te voegen aan het android opties menu om toestemming te geven. Dit doet me een beetje denken aan de mac toetsenbord firmware vulnerability, ik denk dat als je goed gaat zoeken je tientallen van dit soort "vulnerabilities" vind.

mrlammers 20 januari 2011 16:11

Je hebt het niet verkeerd, maar er moet nog iets bij.
Tot redelijk recent was het -nix platform maar een procentje van het geheel en was het niet interessant om daar malware voor te schrijven. Virussen die zich nestelden in Windows waren waardeloos in een Linux systeem. Tot nu blijkbaar. Een tijd waarin OSX, Chrome OS en Android een serieuze speler gaan worden. Dan wordt het allemaal opeens een stuk interessanter...

Je kunt dus blijkbaar vanaf elke PC malware aanslingeren die de smartphone via deze wegen kan 'infecteren'. Technisch is het vaak nog steeds de PC die (als eerste) geïnfecteerd is, en de smartphone die daar dan via een fake HMI het 'slachtoffer' van is (=exploit).
Daarnaast hebben we nu smartphones met verschillende OSsen die op verschillende manieren applicaties kunnen draaien. Deze applicatie hebben 'handvaten' nodig om met het OS te kunnen communiceren: Qt, Java, etc. Ik noem maar wat. Het lijkt me een kwestie van tijd voordat deze vorm van malware gemeengoed gaat worden...

!null @mrlammers • 20 januari 2011 16:21

Zeker niet maar "een procentje". Maar goed, je zult het over consumenten pc's en telefoon's hebben.

!null 20 januari 2011 16:35

Mag ik wat inhoudelijke opmerkingen maken op dit artikel?

De malware kan zich vervolgens als een virus verder verspreiden.

De ene smartphone aan de andere smartphone koppelen met een speciaal USB kabeltje noem ik niet 'zich verspreiden als een virus'. Er is nogal wat actie vereist van de geïnfecteerde telefoon/gebruiker en ook de te infecteren telefoon.

Verder is totaal niet duidelijk hoe het apparaat nou daadwerkelijk gehackt wordt. Ik zou niet weten hoe een apparaat (zo generiek staat het er ongeveer) gehackt zou moeten worden door keyboard input? Natuurlijk kun je er leuke dingen mee doen, maar als ik geen root terminal open heb laten staan zou ik niet weten hoe ik de boel kapot krijg, of controle over het apparaat krijg.

Ze claimen dat deze hack werkt voor elk apparaat met USB... Dus het maakt niet uit of het een Windows pc is, Linux, of m'n Playstation? Alles wordt gehackt..

Bedoelen ze met hacken soms dat ze er keyboard input naar toe kunnen sturen als ze iets in de USB port stoppen.... wow rocket science!

Laten we alsjeblieft geen moeilijke software constructies bedenken voor mensen die graag dingen in hun USB port stoppen welke ze niet vertrouwen of waarvan ze geen idee hebben wat het is.

Silent7 20 januari 2011 17:09

Tja, als iemand fysieke toegang heeft en tijd is alles en alles open te maken en over te nemen, eender welk os.
Maar goed ik weet nu zeker dat als een vreemd iemand mijn telefoon aan een computer wil hangen en/of via een kabel aan een andere telefoon, ik dat dan maar beter niet kan doen :-D
Pfoei, wat een goede les, want ik geef normaal dagelijks mijn telefoon aan vreemden die hem dan met een kabel aan een computer of telefoon hangen, en met mij zullen vele telefoongebruikers deze situatie goed kennen:
"meneer u heeft een smartphone?"
"jawel"
"oh fijn, ik wil hem graag even aan deze telefoon of notebook hangen"
"oh ja, waarom?"
"nou dat vind ik erg leuk"
"oh in dat geval, hier heb je m veel plezier ermee, ik ga even winkelen, geef je een gil als iemand belt, smst of emjailtje stuurt?"
"ja doen we hartelijk dank"

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (65)

Sorteer op:

Weergave: