Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties
Submitter: himlims_

Onderzoekers van de George Mason University hebben een exploit ontwikkeld waarmee zij Android-smartphones kunnen aanvallen via usb. De malware kan zich vervolgens als een virus verder verspreiden.

De onderzoekers, die hun methode op de hackersconferentie Black Hat demonstreerden, claimen met de usb-exploit Android-smartphones over te kunnen nemen. Een mogelijkheid is om het apparaat dat via usb met de smartphone is verbonden zich te laten identificeren als human interface device, zoals een toetsenbord. Op die manier kan de smartphone via tekstinput worden overgenomen, vermoedelijk door het laden van specifieke scripts. De onderzoekers konden gebruikmaken van usb voor hun exploit omdat de verbinding geen beveiliging bevat die hackers kan tegenhouden.

Kwaadwillende personen die een Android-smartphone hebben geïnfecteerd kunnen zo relatief gemakkelijk andere apparaten overnemen. De onderzoekers hebben een methode ontwikkeld om de Android-smartphone als een usb-hostapparaat te laten werken. Met een speciaal ontwikkelde usb-kabel kunnen ze vervolgens andere smartphones die met het geïnfecteerde toestel zijn verbonden overnemen.

De exploit zou werken voor elk apparaat dat beschikt over usb, maar er is vooralsnog alleen een versie voor Android ontwikkeld, zo lieten de onderzoekers weten in een interview met Cnet. Volgens de ontwikkelaars kunnen gebruikers op deze manier nietsvermoedend de malware van een geïnfecteerde pc naar hun smartpone overbrengen, simpelweg door een usb-verbinding te maken met de pc, met als bedoeling om bijvoorbeeld de telefoon op te laden of files uit te wisselen. De malware kan ondertussen, zonder dat de gebruiker hier erg in heeft, de Android-telefoon infecteren. Het is daarnaast ook mogelijk om smartphones met Googles mobiele OS te infecteren door de kwaadaardige code in een app in te bouwen.

Volgens de onderzoekers zou er bij een usb-verbinding gevraagd moeten worden of de gebruiker daadwerkelijk het aangesloten apparaat wil verbinden, in plaats van direct verbinding te maken. Ook zou de gebruiker moeten aangeven welk type apparaat er is verbonden.

Android-hack via usb
Moderatie-faq Wijzig weergave

Reacties (65)

uit het artikel van black hat:

"we explain how to boot a smart phone device into USB host mode and take over another phone using a specially crafted cable."

Denk dat dit ook wel een grote inpackt heeft op de hack niet waar?
Correct me if I'm wrong!

Wel vreemd dat voor Linux nagenoeg geen virussen / malware worden geschreven. Terwijl voor Android (Linux) dit soort ongein wel weer uit komt...

De noodzaak naar een virusscanner wordt steeds groter op smartphones. Dat was natuurlijk te verwachten aangezien het steeds meer richten een compacte PC gaat. Maar voelt nog erg onwennig aan. Een virusscanner op je mobiel... daar hadden we bij de Nokia 3310 nog niet aan gedacht...

@redstorm:
ik begrijp wat je bedoelt, eigenlijk zou je het succes van een OS dus kunnen koppelen aan het aantal virussen / malware dat ervoor geschreven wordt.
Vraag me toch altijd af wat een maker ervan nu voor ogen heeft. Gewoon pesterij? Of serieus persoonlijke data van mensen stelen en daarmee geld verdienen?

[Reactie gewijzigd door Timo002 op 20 januari 2011 15:53]

Vanwege de simpele rede dat Android vele malen meer wordt gebruikt dan Linux (als desktop OS) en daarom voor virus makers dus ook een stuk aantrekkelijker is.
Een beetje klok-klepel hier. Dit heeft niets met populariteit van een besturingssysteem te maken.
De USB exploit hier is een local exploit; de malware doet zich voor als een USB HID. Als de 'terminal' die daarachter zit voldoende rechten heeft dan ben je gewoon binnen. Dit kan ook op een linux systeem als je, je malware verspreidend apparaat aansluit op een USB poort terwijl '/dev/console' op het systeem als root is aangelogd. Sowieso als je toegang hebt tot de fysieke hardware kom je veel makkelijker binnen dan dat je dat over een netwerk connectie moet proberen.
Waar het interessant wordt is de claim dat de onderzoekers andere Android toestellen kan besmetten die 'verbonden' zijn met het geinfecteerde toestel. Maar alleen omdat ze het voor elkaar gekregen hebben de USB connectie op de besmette smartphone als host te laten werken. Vervolgens speelt hetzelfde verhaaltje wat ik zo-eerder schetste. Hacken met fysieke toegang tot de hardware is makkelijk omdat vrijwel geen enkele hardware fabrikant z'n apparatuur daartegen beschermt... En de software verwacht dat de data die van een toetsenbord afkomstig is, gegenereerd wordt door de gebruiker die zichzelf heeft aangelogd.

[Reactie gewijzigd door jiriw op 20 januari 2011 16:07]

Net wat docks al zegt, linux is niet interessant genoeg voor hackers, is na´ef om te denken dat linux geen gaten kent die je kan exploiteren. Er zijn onderzoeken gedaan en bleek dat linux gewoon kan infecteren met botnetwerk, en ze in de kernel konden komen door exploit. Zat mensen die hebben aangetoond dat linux niet ontkomt aan virussen als de pijlen eenmaal op linux gericht zouden worden. Maar met 3% aandeel is dat niet het OS waar je als hacker je op wilt richten, zult meer en deel niet raak schieten.. Maar windows heb je 90% kan dat je raak schiet. :)
Linux machines zijn juist interessant, als je het mij vraagt, aangezien miljoenen servers erop draaien. Servers bezitten over het algemeen over een snelle internetverbinding en veel processor-capaciteit. Als je als hacker die kracht kan exploiteren, dan lijkt me dat enorm gunstig!

Het feit is gewoon dat Linux is ontworpen om een multi-user systeem te worden, terwijl Windows zich altijd heeft gericht op ÚÚn enkele gebruiker. Bij de laatste is daarom ook een stuk minder nagedacht over beveiliging en alhoewel het de laatste jaren steeds beter wordt, is het moeilijk een verleden van je af te schudden wanneer je nog wel (min of meer) compatibel moet blijven met vorige versies.

Maar kijk nou eens objectief naar de server-wereld. Ondanks dat Apache een veel groter marktaandeel heeft, zijn de serieuze (heel schadelijke) aanvallen bijna altijd op IIS gericht.
Linux kan je infecteren met een botnetwerk?

Please explain yourself...

Als je het maar vaak genoeg vraagt, geeft hij ineens zijn wachtwoorden ofzo?

Anyway; die 3% Linux is niet 3% houtje touwtje pc's. (relatief) Veel servers draaien Linux, en als ik mag kiezen tussen een 24/7/365 up in the air server met >100/>1000Mb/s verbinding, of een pc waarvan ik maar moet zien hoevaak hij aan gaat op een miezerig <5Mb/s lijntje, dan weet ik het wel!

Wat volgens mij mÚÚr een verschil is, is dat systeembeheerders geen p*rno gaan lopen downloaden via Limewire op een server. Of dat de gemiddelde Linux geek niet op "Klik hier, dan scan ik je pc even" aanbiedingen klikt.
DAT zijn de echte trucs. Windows wordt niet gigantisch gekraakt (althans, daar heb je meestal geen last van), maar mensen halen gewoon veel te veel sh*t binnen zonder eventjes goed te denken waar ze nou eigenlijk op klikken.
Vervolgens geeft Windows welliswaar zomaar groen licht, maar veel fouten liggen bij de eindgebruikers!


disclaimertje; ik zeg niet dat je pr0n loopt te downloaden iedere keer dat je pc crasht... En ja, ik weet natuurlijk ook wel dat consumenten ondertussen ook glasvezel krijgen.

[Reactie gewijzigd door damnyankee op 20 januari 2011 18:04]

En vergeet niet dat virussen voor windows ontwikkeld niet op linux werken, verdachte software voor windows draai ik vaak in wine, is er dan iets mis mee hoef ik allen wine opnieuw te instaleren, minder moeite dan windows virus vrij maken
Er zijn meer Linux servers 24x7x365 aangesloten op high speed glasvezel verbindingen dan alle windows bakken bij elkaar. Met windows weet je dat het crap is en dat de gebruikers niet weten waar ze mee bezig zijn zul je bedoelen.
bron?
ik bedoel, dit weer vooroordelen van de bovenste plank. aangezien windows 90% van het marktaandeel heeft, zullen onderzoekers/hackers sneller geneigt zich op windows te richten. servers zijn moeilijker aan te vallen en je hebt op zich niet enorm veel aan.
Aangezien windows maar een klein deel van de server markt heeft, daardoor is linux een vrij groot target om te infecteren. Maar even een kleine vergelijking:

sinds 2006 800 stuks mallware op linux
sinds 2009 2 miljoen stuks mallware op windows

Linux is heel anders gebouwd dan windows en veel minder snel vatbaar dan windows
als je weet wat je doet is alles te kraken, je hebt alleen wat meer hersens nodig om Linux te infecteren met een virus..

en mensen die dagelijks op Linux werken zijn ook meestal wat bewuster met de computer bezig.. dus die zullen niet zo snel in virus truukjes vallen.. terwijl de onnozele Windows gebruiker op iedere pop-up klikt die ze tegen komen.

bij windows is voor 80% de gebruiker die voor de pc zit de virus.. ik werk al sinds windows 95 op windows en heb misschien 2x een virus te pakken gehad...

dus als je gewoon alert bent word je bijna niet ge´nfecteerd
Linux is helemaal niets heel anders gebouwd dan Windows, en is gewoon net zo vatbaar.

Windows heeft op de desktop gewoon het nadeel dat:
1) het veel meer gebruikt wordt.
2) de gebruikers veel minder kundig zijn
3) het lange tijd gewoon was met admin rechten te werken.

Zou Linux in dezelfde situatie zitten, dan zouden er net zo veel malware voor zijn.
Probleem is dat de meeste mensen die linux gebruiken, ervaren gebruikers zijn, en vaak de pc ook beter beveiligen/controleren.

Windows wat er vaak standaard op staat, met een 30 dagen trial beveiliging blijft daarna bij veen huis/tuin en keuken gebruikers onbeveiligd achter, en dus een veel makkelijker doelwit.
Nee, met Windows weet je dat het gros thuis PC's betreft die op geen enkele wijze beveiligd zijn. Als je een virus wil schrijven, waar kies je dan voor? Een aanval op de desktop pc's/laptops van mensen die niet vertrouwd zijn met computers of een aanval op een linux-server die onderhouden wordt door professionals?
Dit heeft niets met populariteit van een besturingssysteem te maken.
Als er maar drie mensen op deze aardbol een Android-smartphone zouden hebben dan hadden deze onderzoekers al sowieso geen onderzoek gedaan naar mogelijke exploits in Android.

Dankzij de populariteit van Android zijn ze dit gaan onderzoeken.
Sorry, hoor... maar waar haal je die wijsheid vandaan? Het enige wat ik uit de tweakers post opmaak is dit:
De exploit zou werken voor elk apparaat dat beschikt over usb, maar er is vooralsnog alleen een versie voor Android ontwikkeld
Naar mijn idee hebben ze dit op een Android smartphone ontwikkeld omdat die nu eenmaal voor handen was.
Het idee werkt met ieder apparaat:

1) wat een USB bus heeft die zich zowel als host en als device voor kan doen.
2) welke een besturingssysteem bevat die niet expliciet checkt dat een nieuw aangesloten USB device werkelijk een door de bedoelde gebruiker bestuurd device is.
3) waarbij het plausibel is dat het apparaat met andere intelligente (als zijnde: er steekt een OS achter wat vatbaar is voor besmetting met deze malware) apparaten wordt verbonden via een USB kabel om een taak te verrichten waarbij de malware code kan 'meeliften' over de gemaakte verbinding.

Alleen als strikt aan deze drie voorwaarden is voldaan kan de malware zich als een virus versprijden. Hierbij noem ik niet een maal het woordje 'Android'. Dit is een (bijna) software-onafhankelijk beveiligingsgat, mogelijk gemaakt door de manier waarop wij willen dat USB apparatuur werkt. Als je dit wil tegen gaan moet je voor ieder device eerst toestemming aan de gebruiker vragen of dit wel mag. Ik kan je vertellen dat, dat heel veel van de gebruiksvriendelijkheid van USB teniet doet (zeker als je 20 keer 'ja' moet klikken bij een USB composite device met zoveel sub-devices bijvoorbeeld.)
Het zou wel goed zijn als telefoonmakers zich hiervan bewust worden. Mijn n900 draait in feite gewoon debian (maemo), maar het lijkt wel alsof de gebruiker standaard als root inlogd. In ieder geval heeft de gebruikeraccount standaard geen password maar wel admin-rechten, dat alleen al is vragen om moeilijkheden!
Inderdaad, en dat is ook een deel van het probleem in android.

Bij veel linux distro's krijg je te zien na een su:
'with great power comes great responsibility' - of iets in die geest.
Bij ubuntu is er zelfs niet op het root-account in te loggen!
Hoe dan ook; er wordt altijd afgeraden aangemeld te zijn als root, tenzij dit absoluut nodig is.
Een usb device op mijn debian-bak zou dan ook 0% kans hebben dit truukje uit te voeren.
Deze zou hooguit de user environment van de aangemelde user kunnen vernaggelen.

In Android zijn zoveel rechten toegekend aan de standaard user, dat deze zichzelf (of d.m.v. malware) flink in de vingers kan snijden. Gelukkig is voor root-toegang op mijn telefoon wel een notificatiescherm+bevestiging vereist, maar dankzij de overpowered standaard user voelt dit niet veel veiliger.

De gulden middenweg tussen gebruiksvriendelijkheid en security is nog niet zo gulden...

Wel grappig, De enige die mij minder kwetsbaar lijkt (wellicht door niet genoeg geŰxperimenteerd te hebben met WM en usb-randapparatuur), zijn de MTP-devices (WP7 weet ik niet) welke flink beperkt zijn in generiek gebruik van de usb poort.
Ironie :/

[Reactie gewijzigd door ChaoZero op 21 januari 2011 08:55]

Dat komt omdat, wanneer je een smartphone wilt kopen, je niet echt veel keuze hebt. Blackberry OS is nogal dichtgetimmerd, iOS is al lekker gekraakt. Voor Nokia heb je volgens mij al lekker veel toegang. Android is ook nog eens een heel heel heel erg veel gebruikt Smartphone OS.

Dus logische keuze om dan voor Android te gaan, in plaats van een desktop OS. Linux is trouwens niet eens Linux, het is alleen de kernel, en die wordt gewoon voor een shitload aan distributies gebruikt. Je kunt het niet zomaar 'linux' hebben. Ubuntu is niet zomaar Gentoo of Slackware. Ook zijn de 'doorsnee' Linux gebruikers nogal begaafd. Niet dat ze zomaar op random links klikken en alles uitvoeren. (nadat ze het gecompileerd hebben).

Ontopic: Het automatisch alle verkeer toestaan via USB is inderdaad niet erg slim. Maar ik snap het artikel niet: USB is alleen hartstikke lokaal, dus je moet fysieke toegang hebben tot het apparaat. Maar als je dus al zo bij het apparaat kunt, dan is het toch niet een beveiligingslek? Wel dat Android automatisch alles accepteert wat via USB binnenkomt. Ook moet nog de computer worden ge´nfecteerd. En dan moeten de drivers nog worden ge´nstalleerd. Volgens mij kan dit niet zo ongemerkt. En een simpele Android-update, die voor bevestiging vraagt van de gebruiker kan dit probleem al dichten. (Tenzij de gebruiker weer alles toestaat, maar dat is PEBKAC)
Wat is er zo lekker aan kraken en toegang? Als je een telefoon koopt wil je meestal bellen, smssen en voor smartphones ook je agenda, contacten en mail bijhouden. Internetten is ook wel leuk. En dat is het dan. Als je het ziet als een platform waar je de rest van je leven mee wil 'spelen' en 'dingetjes' mee wil 'doen' dan heb je inderdaad gelijk, maar dat is niet van toepassing bij de mensen die hun toestellen gewoon als middel gebruiken in hun leven om dingen te doen, zoals feestjes afspreken, en vieze smsjes naar elkaar sturen.
Besturingssystemen die een linux-kernel draaien hebben hooguit 7 Ó 8% van de desktopmarkt in handen. Android heeft voor de mobiele markt een veel hoger percentage in handen, waardoor het voor hackers veel aantrekkelijker wordt om er virussen voor te schrijven. De doelgroep die getroffen wordt, is namelijk vele malen groter dan bij desktopsystemen met een linux-kernel.
Er zijn meer servers en routers met een linux kernel.
media centra, tv ontvangers
Android is vatbaar doordat de standaard gebruiker veel, erg veel meer rechten heeft dan de gewone gebruikers in een echte unix-gebaseerde omgeving.

Natuurlijk heeft populariteit wel iets te maken met research naar kwetsbaarheden in het OS. Dit wil echter niet zeggen dat er geen gigantisch verschil zit tussen de beveiliging in de gemiddelde linux-bak en een android telefoon...
De opmerking Android = Linux klopt niet helemaal. Als u nu geschreven had: Android draait op een gemodificeerde versie van de Linux kernel dan had u gelijk gehad.

Ik weet niet of Android hier op dezelfde manier een USB-verbinding maakt als een normale Linux distributie. Dus tot we dat weten kunnen we er niets over schrijven. Verder zou het programma bij een normale Linux distributie administratie bevoegdheden nodig hebben om in de partities van het OS te komen (laat staan dingen te mogen installeren). En daarvoor moet de gebruiker eerst het administrator wachtwoord ingeven.

Natuurlijk ben ik hier maar de theorie aan het bepraten. Ik ben geen expert. Maar ik kan me haast niet voor stellen dat zo'n simpele exploit op een normale Linux distributie kan werken. Waarschijnlijk zijn het de jongens bij Google die met hun aanpassingen dit over het hoofd gezien hebben.

[Reactie gewijzigd door MaestroMaus op 20 januari 2011 16:05]

ik wel; ze maken verbinding op dezelfde manier.
Zelfs de code die de usb-verbindingen regelt is exact dezelfde.

Grootste verschil zit in het feit dat de standaard user (de exploit voert dmv de usb-hid zijn bewerkingen uit als de huidige aangemelde user) teveel rechten heeft gekregen binnen android. Dit moet ook wel; anders zou je bij iedere app die je van de market haalt weer rechten moeten geven (zoals je zelf ook al aangaf).

Dit kan niet met een simpele 'ja' knop, aangezien een usb-hid deze ook kan indrukken. Een patroon maken of een wachtwoord zou beter zijn, maar dit zou storend werken bij het gebruik van de telefoon.

Dit is dus een keuze die google gemaakt heeft. Meer rechten voor de user zodat deze niet de hele tijd om bevestiging wordt gevraagd voor zaken die op het gemiddelde unix-gebaseerde OS root-rechten vereisen.

[Reactie gewijzigd door ChaoZero op 21 januari 2011 11:24]

Dat is nu het grote nadeel van een monocultuur.
Het is bekend verschijnsel uit de biologie.
Als alle beestjes ongeveer hetzelfde DNA hebben en er wordt er eentje ziek dan is de kans groot dat ze allemaal ziek worden.
Als er maar genoeg variatie is dan krijgen ziektes het steeds moeilijker, de kans dat je een 'compatible' slachtoffer tegenkomt daalt immers snel.

Persoonlijk denk ik dat geen enkele fabrikant meer dan 30% marktaandeel zou moeten hebben. Een markt met minder dan 3 grote spelers kan niet echt vrij zijn.
Ik weet wel zeker dat er wel virussen en malware voor worden geschreven, waarom denk je anders dat vrijwel elke linux server op aarde gewoon een virusscanner heeft draaien?
Het enige punt is dat als je op een linux computer zit je meestal niet automatisch volledige root toegang heb, wat je op windows wel heb, waardoor een virus dat ook niet zomaar automatisch heeft. Dit maakt het veel lastiger voor een virus om zich te verspreiden of om ernstige schade toe te richten aan het systeem.
Huh? welke linux server ken jij dat een virrus scanner heeft? als je root account disabled en je ssh een beetje beveiligt hoef je zelden naar die linux server om te kijken.
volgens mij is het een windows computer die te grazen is genomen ;) tis meer een android telefoon die als middel gebruikt wordt. lezen is ook een kunst!
Volgens mij niet:
"Volgens de ontwikkelaars kunnen gebruikers op deze manier nietsvermoedend de malware van een ge´nfecteerde pc naar hun smartpone overbrengen"

[Reactie gewijzigd door eynickey op 20 januari 2011 16:00]

uit originele posting:
" This includes attacks where a compromised smart phone poses as a Human Interface Device (HID) and sends keystrokes in order to control the victim host. Moreover, we explain how to boot a smart phone device into USB host mode and take over another phone using a specially crafted cable."

er wordt dus een smartphone gebruikt om aanvallen op te zetten.
Lezen is ook een kunst!
Inderdaad, lezen is niet iedereen z'n sterkste vak!
De malware kan ondertussen, zonder dat de gebruiker hier erg in heeft, de Android-telefoon infecteren. Het is daarnaast ook mogelijk om smartphones met Googles mobiele OS te infecteren door de kwaadaardige code in een app in te bouwen.
Android word veel breder gebruikt door consumenten. Opzich is het logisch.
Android wordt niet 'gebruikt'. Hoewel het voor veel 'tweakers' gezien wordt als doel, is het voor de rest van de 95% van de gebruikers een middel, en geen doel. Die gaan niet lopen kutten met instellingen en hax, die willen bellen, sexten, en soms even internetten.

Het is gaar om aan te nemen dat alle Android gebruikers opeens inzicht in hard- en software verkrijgen door hun telefoon keuze.
1 Detail: hoe moet een gebruiker reageren als er gevraagd wordt een toetsenbord of muis aan te sluiten. Wie die gedachtengang bedenkt die ...
Wat is er lastig aan om op een "Ja" button te drukken op je scherm dan?
Wat is er lastig aan om op een "Ja" button te drukken op je scherm dan?
Hoe weet een gebruiker dat hij eigenlijk op "Nee" moet drukken?

En als hij op "Nee" drukt, kan hij dan nog wel bestanden overzetten, opladen etc.?

--edit--
Dan moet de vraag misschien ongeveer als volgt zijn:

"Er wordt toetsenbord of muis aangesloten Mag dit?

Kies NEE als je een computer of laptop wil aansluiten
"

[Reactie gewijzigd door Dlocks op 20 januari 2011 16:21]

De exploit zou werken voor elk apparaat dat beschikt over usb
Niet al deze apparaten hebben ingebouwde invoerapparaten om de keuze ja/nee te kunnen maken. Als een normale pc ook kwetsbaar is, dan heb je natuurlijk het probleem dat ÚÚn invoerapparaat het eerste moet zijn. :)

Afgezien daarvan, als je al fysiek de mogelijkheid hebt om een kabel in de usb-poort te steken, waarom zou je dan niet de mogelijkheid hebben om op het 'ja' knopje te klikken?

Imho een vrij nutteloos advies.
Als je nog geen toetsenbord of muis hebt.....
Als je het dus breder ziet dan een smartphone.
Veel audio jacks op PC stellen een vraag aan de gebruiker als die iets inplugt: "What device did you plug in?" Met dan keuzemogelijkheden voor micro, koptelefoon, luidsprekers, ...
Dus iets gelijkaardig is perfect mogelijk.

Maar hier zou het volgens mij zelf geen oplossing bieden: het kan nuttig zijn dat je PC zich als een HID presenteert (vb. voor bediening van de gsm via de pc - ik heb nog niet gezoch voor Android, maar ik heb software voor Windows Mobile die net dat doet).
Het is verstandiger om gebruikers gewoon op te leiden i.p.v. ze dom te laten worden. Straks krijgen we een wereld a la Idiocracy.
Als er een exploit is waar anti virus software nog niet van weet en iemand zijn computer raakt tijdens internetten ge´nfecteerd zonder dat de gebruiker of anti virus software het in de gaten heeft dan kun je gebruikers opleiden wat je wil, maar dat heeft dan geen zin.

Dus op welke manier zou jij gebruikers opleiden zodat ze niet in een dergelijke situatie komen? Les 1: gebruik nooit computers en mobiele telefoons.

Ik begrijp je punt wel hoor, maar dit gaat nou eenmaal niet altijd op. Je hebt kinderen, bejaarden, digibeten en ook nog eens situaties waar de gebruiker ongeacht opleiding niets aan kan doen.
Leuke proof of concept. Wat je volgens hun dus nodig hebt om een wave aan besmettingen te starten is fysieke toegang tot 1 phone. Dat is nog wel te regelen.
En hoe verspreidt het virus zich naar de volgende telefoon? Via een speciaal daarvoor gemaakte USB-kabel. Dat doet toch niemand behalve de aanvaller?

Besmetting via een PC omdat de telefoon met een USB-kabel eraan hangt lijkt me een veel groter gevaar. Zeker als je je telefoons aan meerdere PC's hangt en ze een proof-of-concept ontwikkelen dat de volgende PC weer kan besmetten.
Ik begrijp uit het artikel dat ze een speciale USB kabel gebruiken om hun eigen smartphone op een dusdanige manier te benaderen dat deze zich vervolgnes "draadloos" als HID device bij andere Android smartphones aanmeld.
Vooral goed om de mindset te veranderen naar smartphone = "antivirus nodig". De huidige AV zijn er al een tijdje aan op het hameren dus het zal er wel van komen, zker met deze fuzz-artikelen.
Volgens de onderzoekers zou er bij een usb-verbinding gevraagd moeten worden of de gebruiker daadwerkelijk het aangesloten apparaat wil verbinden, in plaats van direct verbinding te maken. Ook zou de gebruiker moeten aangeven welk type apparaat er is verbonden.

Het gebruiksgemak van USB is nou juist dat het plug & pray is. Als je de gebruiker nu gaat verwarren met de vraag of het apparaat wel/niet moet worden gekoppeld en wat voor apparaat het is zie ik daar veel problemen uit voortkomen. Laten we zeggen: als je niet wilt dat het apparaat verbonden wordt met de pc doe de USB stekker er dan niet in.

Voor wat betreft het type device hebben veel USB devices een Hardware ID (op te vragen door in device manager bij USB devices met rechts erop te klikken) die juist automagisch via de op de pc ge´nstalleerde software herkend worden.
Laten we zeggen: als je niet wilt dat het apparaat verbonden wordt met de pc doe de USB stekker er dan niet in.
Simpelweg de stekker er niet in doen is uiteraard geen oplossing.

Mensen willen via USB verbinding kunnen maken met hun PC om bestanden uit te wisselen, back-up te maken, op te laden etc.

Kortom, je wil wel verbinding maken maar niet vatbaar zijn voor een aanval. En dat los je niet op door geen USB verbinding te gebruiken.
Dat begrijp ik beste Dlocks. Ik zeg ook niet dat je hem nooit moet verbinden. Maar de vraag of het apparaat gekoppeld dient te worden wanneer je de stekker erin doet lijkt me overbodig. Als ik het apparaat niet gekoppeld wil hebben doe ik de stekker er niet in op dat moment. Dat bedoel ik...
Mijn Desire HD vraag altijd welke actie ik wil uitvoeren als ik mijn DHD aan de pc hang.

Als ik er dus voor kies om alleen te laden zou er niet zoveel aan de hand mogen zijn?
Dan nog laad windows de adb drivers voor het toestel. Op mijn werk krijg ik ook altijd de melding dat de installatie is mislukt, omdat ik geen rechten heb om drivers toe te voegen aan het systeem.

Overigens zie ik wel iets positiefs in het hele verhaal. Mogelijk kunnen de XDA devs hier ook leuke dingetjes mee :)

Ik zie het gevaar van deze aanval nog niet helemaal in. Het werkt als ik het goed begrijp alleen als het gekoppeld is aan een geinfecteerde pc of een ander geinfecteerd device, via USB. Ik neem aan dat je, je telefoon niet zomaar door iemand anders laat aankoppelen om dit erop te zetten.

[Reactie gewijzigd door FunFair op 20 januari 2011 17:46]

Dit is meer een functie vind ik. Ik vind deze vulnerability eigenlijk niet meer dan logisch. Gewoon een afweging tussen gebruiksgemak en beveiliging. Ik kan me echter wel voorstellen dat het opgelost zou kunnen worden door een optie toe te voegen aan het android opties menu om toestemming te geven. Dit doet me een beetje denken aan de mac toetsenbord firmware vulnerability, ik denk dat als je goed gaat zoeken je tientallen van dit soort "vulnerabilities" vind.
Je hebt het niet verkeerd, maar er moet nog iets bij.
Tot redelijk recent was het -nix platform maar een procentje van het geheel en was het niet interessant om daar malware voor te schrijven. Virussen die zich nestelden in Windows waren waardeloos in een Linux systeem. Tot nu blijkbaar. Een tijd waarin OSX, Chrome OS en Android een serieuze speler gaan worden. Dan wordt het allemaal opeens een stuk interessanter...

Je kunt dus blijkbaar vanaf elke PC malware aanslingeren die de smartphone via deze wegen kan 'infecteren'. Technisch is het vaak nog steeds de PC die (als eerste) ge´nfecteerd is, en de smartphone die daar dan via een fake HMI het 'slachtoffer' van is (=exploit).
Daarnaast hebben we nu smartphones met verschillende OSsen die op verschillende manieren applicaties kunnen draaien. Deze applicatie hebben 'handvaten' nodig om met het OS te kunnen communiceren: Qt, Java, etc. Ik noem maar wat. Het lijkt me een kwestie van tijd voordat deze vorm van malware gemeengoed gaat worden...
Zeker niet maar "een procentje". Maar goed, je zult het over consumenten pc's en telefoon's hebben.
Mag ik wat inhoudelijke opmerkingen maken op dit artikel?
De malware kan zich vervolgens als een virus verder verspreiden.
De ene smartphone aan de andere smartphone koppelen met een speciaal USB kabeltje noem ik niet 'zich verspreiden als een virus'. Er is nogal wat actie vereist van de ge´nfecteerde telefoon/gebruiker en ook de te infecteren telefoon.

Verder is totaal niet duidelijk hoe het apparaat nou daadwerkelijk gehackt wordt. Ik zou niet weten hoe een apparaat (zo generiek staat het er ongeveer) gehackt zou moeten worden door keyboard input? Natuurlijk kun je er leuke dingen mee doen, maar als ik geen root terminal open heb laten staan zou ik niet weten hoe ik de boel kapot krijg, of controle over het apparaat krijg.

Ze claimen dat deze hack werkt voor elk apparaat met USB... Dus het maakt niet uit of het een Windows pc is, Linux, of m'n Playstation? Alles wordt gehackt.. :+
Bedoelen ze met hacken soms dat ze er keyboard input naar toe kunnen sturen als ze iets in de USB port stoppen.... wow rocket science!

Laten we alsjeblieft geen moeilijke software constructies bedenken voor mensen die graag dingen in hun USB port stoppen welke ze niet vertrouwen of waarvan ze geen idee hebben wat het is.
Tja, als iemand fysieke toegang heeft en tijd is alles en alles open te maken en over te nemen, eender welk os.
Maar goed ik weet nu zeker dat als een vreemd iemand mijn telefoon aan een computer wil hangen en/of via een kabel aan een andere telefoon, ik dat dan maar beter niet kan doen :-D
Pfoei, wat een goede les, want ik geef normaal dagelijks mijn telefoon aan vreemden die hem dan met een kabel aan een computer of telefoon hangen, en met mij zullen vele telefoongebruikers deze situatie goed kennen:
"meneer u heeft een smartphone?"
"jawel"
"oh fijn, ik wil hem graag even aan deze telefoon of notebook hangen"
"oh ja, waarom?"
"nou dat vind ik erg leuk"
"oh in dat geval, hier heb je m veel plezier ermee, ik ga even winkelen, geef je een gil als iemand belt, smst of emjailtje stuurt?"
"ja doen we hartelijk dank"

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True