Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Submitter: Plasma_Wolf

Een tienjarige hacker, die deelneemt aan het jeugdprogramma op de Defcon-hackersbijeenkomst, heeft een beveiligingsgat geopenbaard in Android- en iOS-games. De exploit is beschikbaar als de interne klok wordt gemanipuleerd.

De jeugdige hacker, die opereert onder de alias CyFi, ergerde zich aan de lange wachttijden bij op FarmVille gelijkende games, zo meldt de BBC. De tiener begon daarop met de interne klok van een mobieltje te spelen. Onder andere door wifi uit te schakelen konden de beveiligingsmechanismes van dergelijke simulatiegames omzeild worden. Ook het in kleine stapjes ophogen van de tijd zou niet gedetecteerd worden.

Door deze manipulaties met de interne klok zou een aantal games voor Android en iOS kwetsbaar zijn gebleken. Welke games precies zijn aan te vallen, laat CyFi nog in het midden. De hacker wil de ontwikkelaars de kans geven om het gat tijdig te dichten.

CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst. De ontdekking van de kwetsbaarheid door de tienjarige is inmiddels bevestigd door onafhankelijke veiligheidsonderzoekers en doet denken aan 'hacks' die in de jaren 80 en 90 werden uitgevoerd op pc-software om bijvoorbeeld trialperiodes te verlengen. Mobiele besturingssystemen blijken nu echter nog steeds vatbaar voor deze techniek.

Moderatie-faq Wijzig weergave

Reacties (98)

An sich is het 'tijdschuiven' al vrij standaard geweest in het verleden om bv trials te reactiveren of bepaalde games anders te laten gedragen. Maar als ik dit zo lees:
While many games detect and block clock-based cheating, CyFi found ways round these security measures. Disconnecting a phone from wi-fi and only advancing a clock by a small amounts helped to open up the loophole as it forced the game into a state not tested by its original creators.
Disconnect van wifi is dus geen internet, tijd aanpassen zou dus een lokale aanpassing van de lopende game zijn, maar wat gebeurd er als dat ding weer zich aanmeld? Kan je dit zien als een exploit op iOS/Android, of gewoon een exploit in de game ansich door slechte serverside timechecks*?

Het lijkt eerder op een 'foutmarge' exploit van de serverside anti-klok-aanpassing, die zulke minimale afwijkingen negeert omdat je tijd mogelijk niet 100% sync loopt met de server.

*In oudere MMO's kon je namelijk de cooldown van skills aanpassen door client-side aan te laten geven dat cooldown klaar was, de server accepteerde dit zonder problemen. Zo kon je ook 'time cooldowns' (die gebaseerd waren op echte tijd-gebaseerde cooldown) omzeilen door dus willekeurig je bios-tijd aan te passen (wat later moeilijker werd omdat Windows dit overruled).
Je zou dit ook kunnen oplossen met DroidWall. Dan zorg je gewoon dat je alleen deze applicatie geen toegang geeft tot internet.
Mobiele communicatie vereist een kloksynchronisatie.
Zolang je dus een verbinding hebt heeft het kloten met de systeemklok weinig zin.
Het gaat er dus niet om dat een app toegang heeft tot internet, maar dat je telefoon een mobiele verbinding heeft.
CyFi is a ten-year-old hacker, artist and athlete living in California. She has spoken publicly numerous times, usually at art galleries as a member of “The American Show,” an underground art collective based in San Francisco. CyFi’s first gallery showing was when she was four. Last year she performed at the SF MOMA Museum in San Francisco. DEFCON Kids will be her first public vulnerability disclosure. CyFi’s has had her identity stolen twice. She really likes coffee, but her mom doesn’t let her drink it.
Niet echt een gemiddelde 10 jarige dus :P

(bron: http://www.defconkids.org/?page_id=10#sat17)

[Reactie gewijzigd door -GSF-JohnDoe op 8 augustus 2011 14:47]

CyFi , cofounder of DEFCON Kids.

Zeker niet een gemiddelde 10 jarige!
Ik zie een hoop reacties van mensen die roepen 'het is geen exploit want alleen maar vals spelen'.
Zolang er niet bekend is gemaakt wat de hack/exploit precies inhoudt kan niemand er iets van zeggen.
Er wordt gezegd dat ze een veiligheidslek heeft gevonden door de tijd in kleine stappen te manipuleren, dus niet dat ze alleen de tijd vooruit heeft gezet.
Er is stil gehouden wat er precies mogelijk is, om te voorkomen dat het misbruikt wordt.
Lijkt me niet dat het dan alleen maar gaat om vals spelen, ook gezien diverse experts het beveiligingslek hebben geverifieerd.

Niet te snel roepen mensen.

Ook dat het geen prestatie is ben ik het niet mee eens. 'Ik doe dit al jaren' gaat niet op zolang je niet weet waar het om gaat.
Overigens vind ik cheaten in spelletjes sowieso lichtelijk triest, waarom een spelletje doen als je alleen vooruit kunt komen met cheaten?
Sorry hoor, maar dat doe ik al een jaar op mijn android telefoon
Voor degenen die zeggen dat dit niks nieuws is en dat ze het al al jaren doen.

Uit het BBC bericht blijkt dat het niet simpel een hack is om je crops bij Smurfs village snel te laten oogsten.
While many games detect and block clock-based cheating, CyFi found ways round these security measures. Disconnecting a phone from wi-fi and only advancing a clock by a small amounts helped to open up the loophole as it forced the game into a state not tested by its original creators.

Details about what this bug opens up have not been revealed but such flaws are often used to let an attacker run their own code and get access to useful or saleable data.

CyFi's discovery has since been verified by independent security researchers.
Dit is dus wel iets serieuzer. Door de klok vooruit te zetten werd een loophole geopend die hackers met een exploit zouden kunnen misbruiken om eigen code te draaien. Afhankelijk van de game zou dit waardevolle data voor hackers met kwade bedoelingen kunnen opleveren.
Door de klok vooruit te zetten werd een loophole geopend die hackers met een exploit zouden kunnen misbruiken om eigen code te draaien.
Misschien moet je je eigen quote wat beter lezen.
[the hack] helped to open up the loophole as it forced the game into a state not tested by its original creators
En
such flaws are often used to let an attacker run their own code and get access to useful or saleable data
De app werd dus in een state gebracht waar de ontwikkelaars geen rekening mee hebben gehouden. Dat impliceert niet meteen dat er een loophole bestaat om eigen code te runnen, er wordt alleen gesteld dat dat in het verleden weleens heeft gebleken.

Imho, de ťnige reden waarom dit nieuws is is omdat het een 10-jarige betreft. En respect voor haar, ze is op de goede weg, maar om dit nou af te doen als serieuze security flaw... nee, niet echt. Voorlopig is het alleen een manier om te cheaten in games.

[Reactie gewijzigd door .oisyn op 8 augustus 2011 16:55]

Manipuleren van de tijd om het spel te beinvloeden is iets anders als het manipuleren van de tijd om vervolgens eigen code te kunnen draaien.
EN dat is iets dat ze zelf niet heeft bedacht maar zou in theorie hierdoor mogelijk zijn. Dit is dus nog niet bewezen en zeker niet door haar ;)
Nergens staat dat ze eigen code kan runnen. Er wordt alleen gesteld dat dat eventueel het geval zou kunnen zijn. Wat mij betreft vooralsnog een storm in een glas water, maar daarom niet minder leuk voor de tienjarige.
En zo is het wiel ook meer dan eens uitgevonden evenals buskruit, het kompas en nog meer van dat soort zaken.
Bij dit soort dingen gaat het ook niet om de ontdekking zelf, want die zijn vaak erg triviaal, maar het inzien van de waarde ervan.

In dit geval heeft deze hacker de verder strekkende gevolgen ingezien en is daarop door gaan zoeken. En daarom staat hij op Defcon Kids en reageer jij op het artikel ....
Inderdaad, dit is een bekend fenomeen, en heeft niets met hacken te maken in mijn ogen. Manipulatie van systeemtijd wordt al jaren gebruikt.
Precies. Kom op zeg dit is geen hacken...
Jij publiceert er niet over.
Wel zolang het niet eerder gemeld is

Achteraf oordelen kan iedereen, het is de kunst om het te publiceren voor een ander dat doet !
Ik doe bepaalde dingen ook al jaren op "mijn" manier, en soms kom je er per toeval achter dat die 'manier' uniek was ten tijde dat je ermee begon.
had ik maar ....
Op Android kan een applicatie de klok niet aanpassen dus de hack zou alleen gedaan kunnen worden als je root toegang hebt.
Het gaat er niet om dat een applicatie de klok aanpast maar dat de applicatie naar de klok kijkt om bijvoorbeeld na te gaan of je crops al klaar zijn om geharvest te worden. neem iets dat 24uur moet groeien, zet je handmatig je klok/datum 1 dag vooruit en je kan meteen je spul harvesten. dit is oa. te gebruiken op IOS met de smurfen, maar het spel wordt er niet leuker op. Niet dat dit soort games aan mij besteed zijn.
Nee, daar gaat het dus niet om.
Door deze manipulaties met de interne klok zou een aantal games voor Android en iOS kwetsbaar zijn gebleken voor het uitvoeren van exploits. Hierdoor kan een aanvaller in theorie eigen code draaien.
Eigen code in de game inserten gaat wel iets verder dan je crops sneller laten groeien (al lijkt het er op dat ze zelf dus niet zo'n exploit geschreven heeft, alleen laat zien dat het mogelijk is).
Nee, dŠŠr gaat het niet om. Waar het om gaat is dat de applicatie in een state wordt gebracht die de makers van de app niet voor ogen hielden, en dat in het verleden weleens is gebleken dat dat soort dingen naar security issues kunnen leiden. Daar is hier nog helemaal geen sprake van, het enige dat bekend is gemaakt dat de games vatbaar zijn voor de flaw van het wijzigen van de tijd.
Root toegang moeten hebben voor een exploit, dat is natuurlijk geen issue.
Tenzij het heel makkelijk is om root toegang te verkrijgen (phishing, etc).
Zo zie je maar dat ook jeugdige computerwizzes veel kunnen uitmaken tegenwoordig..
in de toekomst gaat leeftijd steeds minder uitmaken denk ik, maar alleen je niveau en kennis van zaken.
Dit heeft niet zo zeer met slimheid te maken.

Het is gewoon logisch nadenken, als je bepaalde moeilijke dingen voorschotelt bij dit kind begrijpt dit er dan weer waarschijnlijk niks van.

Toen ik mijn eerste PC had loste ik ook problemen op die mijn vriend die "computerexpert" was niet kon oplossen, gewoon door logisch nadenken.
Knap dat jij dat zo kan zien vanachter je PC. Je hebt misschien gelijk, misschien ook niet. Wat betreft dat logisch nadenken, daarmee alleen kom je er echt niet. Dan moet je gewoon verstand van dingen hebben die een gemiddelde 10-jarige niet heeft.
Kennis is geen slimheid, slimheid is snel complexe zaken kunnen uitvoeren zonder dat je ze eerder heb gedaan. Het heeft veel te maken met het aantal neutronen die je heb aangelegd en hoe die verbinden met elkaar verhouden. Dat maakt je een snelle denken die potentie heeft om slim te worden.

Meeste mensen denken dat ergens kennis over hebben dat dat je slim maakt, maar je kan ook kennis vergaren op laag pintje en met langzaam denken, je kan zelfs een redelijk laag denkvermogen hebben om toch ergens heel erg in uit te blinken en heel veel kennis over te hebben. Zie je wel eens bij licht geestenlijkgehandicapte dat ze over een bepaald onderwerp heel veel kennis hebben en alles zo kunnen opnoemen, dat is kennis en geen slimheid.
Kennis is het verschil weten tussen neuronen en neutronen...
En het verschil tussen een glas bier onder je stoel (laag pintje) en een laag pitje :+
kennis vergaren op laag pintje
Iemand met alleen kennis snapt mad_max234 niet. Iemand die slim is wel.
Logisch kunnen nadenken is inderdaad een onderdeel van slimheid. Heeft er dus best veel mee te maken.
10 jaar en nu al dit soort dingen ontdekken! _/-\o_
Dat beloofd wat voor de toekomst van deze knaap!
Waar staat dat het een knaap is?
Ik las namelijk: CyFi deed haar onthulling op Defcon Kids,

Waar ik uit opmaak dat het juist GEEN knaap is.

Blijf het wel knap vinden van zo'n kind.
BTW: Leuk dat er iets is voor kinderen met dit soort interesses, dan krijgen ze een beetje sturing ook nog.

[Reactie gewijzigd door Philos31 op 8 augustus 2011 14:54]

Hangt er vanaf hoe je het bekijkt, een aap maakt een bananen open vanaf de andere kant dan dat de mens dit doet omdat dit veel gemakkelijker gaat, maar dat maakt die aap nog niet slimmer.

het zou wel erg leuk zijn geweest als tweakers een interview met deze dame had gehouden, dan hadden we zijn beweeg redenen eens kunnen horen.
Ik maak mijn bananen ook aan de 'onderkant' open. Maakt mij dat nu zo slim als een aap of een buitengewoon intelligent mens?

Wel leuk om te zien dat ook aan dit soort dingen aandacht wordt besteed op het grote defcon, 'social games' manipuleren d.m.v. de klok.

[Reactie gewijzigd door Xthemes.us op 9 augustus 2011 01:05]

Ik maak mijn bananen ook de 'onderkant' open. Maakt mij dat nu zo slim als een aap of een buitengewoon intelligent mens?
Precies, daarom is het wel eens leuk als tweakers ipv een bericht vertaald ook eens een keer een interview neerzet zodat we eens wat kunnen leren hierzo ipv berichten lezen waar we eigenlijk niets van kunnen leren
Is het echt nodig dat 9 mensen hetzelfde herhalen, met hier en daar een quote of link??

On-topic:
Ik vind het positief dat dit soort kinderen al op jonge leeftijd gestimuleerd worden bij Defcon, want ik denk dat er best wel een heleboel kinderen zijn die potentieel hebben. Helaas werd daar nooit naar gekeken aangezien kinderen op die leeftijd verondersteld worden om met barbiepoppen te spelen.
Bekijk de timestamp, ze hebben allemaal tegelijkertijd gereageerd. Zal hem leren het artikel niet grondig te lezen :p.

OT: ik vermoed wel dat dat meisje iemand in de buurt heeft die hier ook mee bezig is. Zomaar aan de interne klok gaan rammelen zie ik een 9-jarige echt niet doen, kan toch ook niet zomaar. Volgens mij had al iemand er een custom-rom op gezet.. Nuja het idee om dit gebruiken voor dat soort spellen is volledig van haar natuurlijk.
Alsof volwassen hackers alles wat ze weten wel zelf uitgevonden hebben.

Met een beetje op internet rondsurfen en omgaan met mensen die met hetzelfde soort dingen bezig zijn kun je een hoop leren. Maakt verder niet uit of je dan 10 jaar oud of volwassen bent.
Misschien even naar de tijdstippen van de reacties kijken? Ik betwijfel dat er iemand bij zit die de reacties boven zich al gezien had.
Vraag me trouwens wel af hoe je van de klok wijzigen naar code insertion komt... jammer dat er niet iets meer van bij staat, maar dat zal misschien zijn om de ontwikkelaars de kans te geven het te patchen.

edit: en ik demonstreer gelijk hoe je vrijwel tegelijk ongeveer hetzelfde kan posten, had MacPoedel hierboven uiteraard ook nog niet gezien 8)7

[Reactie gewijzigd door Finraziel op 8 augustus 2011 16:15]

Het is een meid en geen knaap ;)
CyFi deed haar onthulling
Knaap?
CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst.
Haar onthulling impliceert dat het een meisje is en dus geen knaap.
Het is een meisje ;)
CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst.
Ik noem dit geen arrogantie, aangezien zij haar woorden werkelijk maakte!

(ik refereer naar "knaap", aangezien jij totaal niet weet wat de definitie van dat woord is)

[Reactie gewijzigd door Hurm op 8 augustus 2011 14:50]

...voor de toekomst van deze knaap!
Hate to burst your bubble... maar volgens mij is hij een zij ;)
Laatste zin;
CyFi deed haar onthulling...
edit: opmaak :)

[Reactie gewijzigd door pickatchoo op 8 augustus 2011 14:52]

Idd knap. Maar ff in perspectief. Toen ik lang geleden nog computerkampjes begeleidde, kwam ik talloze jonge gastjes en ook enkele meiskes tegen die op allerlei manieren wisten te hacken - ergste hack was een manneke van 10 die ff snel een netwerk sniffer bakte en nog voordat het kamp echt was begonnen al mijn novell administrator wachtwoord te pakken had. Zucht. Jochie meteen als netwerkbeheerder aangesteld voor die week. Veel van deze toenmalige koters zitten tegenwoordig ook op tweakers.
"Welke games precies kwetsbaar zijn, laat CyFi nog in het midden. De hacker wil de ontwikkelaars de kans geven om het gat tijdig te dichten"

lol, denk niet dat ze dat zelf heeft verzonnen maar dat iemand haar dit heeft "geadviseerd". Lijkt mij niet dat 10-jarige zulke overwogen beslissingen kunnen nemen.

Grappig... ik krijg een "off-topic" maar iemand boven mij die alleen "uber _/-\o_ " neerzet krijgt een "on-topic"... 8)7

[Reactie gewijzigd door ChojinZ op 8 augustus 2011 15:29]

Community/forum waarschijnlijk. Toezicht van de medemens. Iets wat helaas ontbreekt bij die rare hackers die je niet bij naam moet noemen (om hen geen enkele credit te geven).
Respect voor dit meisje, op 10 jarige leeftijd :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True