Tienjarige hacker ontdekt exploits in Android- en iOS-games

Een tienjarige hacker, die deelneemt aan het jeugdprogramma op de Defcon-hackersbijeenkomst, heeft een beveiligingsgat geopenbaard in Android- en iOS-games. De exploit is beschikbaar als de interne klok wordt gemanipuleerd.

De jeugdige hacker, die opereert onder de alias CyFi, ergerde zich aan de lange wachttijden bij op FarmVille gelijkende games, zo meldt de BBC. De tiener begon daarop met de interne klok van een mobieltje te spelen. Onder andere door wifi uit te schakelen konden de beveiligingsmechanismes van dergelijke simulatiegames omzeild worden. Ook het in kleine stapjes ophogen van de tijd zou niet gedetecteerd worden.

Door deze manipulaties met de interne klok zou een aantal games voor Android en iOS kwetsbaar zijn gebleken. Welke games precies zijn aan te vallen, laat CyFi nog in het midden. De hacker wil de ontwikkelaars de kans geven om het gat tijdig te dichten.

CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst. De ontdekking van de kwetsbaarheid door de tienjarige is inmiddels bevestigd door onafhankelijke veiligheidsonderzoekers en doet denken aan 'hacks' die in de jaren 80 en 90 werden uitgevoerd op pc-software om bijvoorbeeld trialperiodes te verlengen. Mobiele besturingssystemen blijken nu echter nog steeds vatbaar voor deze techniek.

Reacties (98)

SinergyX

Games

8 augustus 2011 14:57

An sich is het 'tijdschuiven' al vrij standaard geweest in het verleden om bv trials te reactiveren of bepaalde games anders te laten gedragen. Maar als ik dit zo lees:

While many games detect and block clock-based cheating, CyFi found ways round these security measures. Disconnecting a phone from wi-fi and only advancing a clock by a small amounts helped to open up the loophole as it forced the game into a state not tested by its original creators.

Disconnect van wifi is dus geen internet, tijd aanpassen zou dus een lokale aanpassing van de lopende game zijn, maar wat gebeurd er als dat ding weer zich aanmeld? Kan je dit zien als een exploit op iOS/Android, of gewoon een exploit in de game ansich door slechte serverside timechecks*?

Het lijkt eerder op een 'foutmarge' exploit van de serverside anti-klok-aanpassing, die zulke minimale afwijkingen negeert omdat je tijd mogelijk niet 100% sync loopt met de server.

*In oudere MMO's kon je namelijk de cooldown van skills aanpassen door client-side aan te laten geven dat cooldown klaar was, de server accepteerde dit zonder problemen. Zo kon je ook 'time cooldowns' (die gebaseerd waren op echte tijd-gebaseerde cooldown) omzeilen door dus willekeurig je bios-tijd aan te passen (wat later moeilijker werd omdat Windows dit overruled).

cyberstalker @SinergyX • 8 augustus 2011 15:02

Je zou dit ook kunnen oplossen met DroidWall. Dan zorg je gewoon dat je alleen deze applicatie geen toegang geeft tot internet.

RocketKoen @cyberstalker • 8 augustus 2011 15:13

Mobiele communicatie vereist een kloksynchronisatie.
Zolang je dus een verbinding hebt heeft het kloten met de systeemklok weinig zin.
Het gaat er dus niet om dat een app toegang heeft tot internet, maar dat je telefoon een mobiele verbinding heeft.

-GSF-JohnDoe 8 augustus 2011 14:47

CyFi is a ten-year-old hacker, artist and athlete living in California. She has spoken publicly numerous times, usually at art galleries as a member of “The American Show,” an underground art collective based in San Francisco. CyFi’s first gallery showing was when she was four. Last year she performed at the SF MOMA Museum in San Francisco. DEFCON Kids will be her first public vulnerability disclosure. CyFi’s has had her identity stolen twice. She really likes coffee, but her mom doesn’t let her drink it.

Niet echt een gemiddelde 10 jarige dus

(bron: http://www.defconkids.org/?page_id=10#sat17)

[Reactie gewijzigd door -GSF-JohnDoe op 23 juli 2024 16:53]

Mar10us @-GSF-JohnDoe • 8 augustus 2011 21:43

CyFi , cofounder of DEFCON Kids.

Zeker niet een gemiddelde 10 jarige!

benji83 8 augustus 2011 19:16

Ik zie een hoop reacties van mensen die roepen 'het is geen exploit want alleen maar vals spelen'.
Zolang er niet bekend is gemaakt wat de hack/exploit precies inhoudt kan niemand er iets van zeggen.
Er wordt gezegd dat ze een veiligheidslek heeft gevonden door de tijd in kleine stappen te manipuleren, dus niet dat ze alleen de tijd vooruit heeft gezet.
Er is stil gehouden wat er precies mogelijk is, om te voorkomen dat het misbruikt wordt.
Lijkt me niet dat het dan alleen maar gaat om vals spelen, ook gezien diverse experts het beveiligingslek hebben geverifieerd.

Niet te snel roepen mensen.

Ook dat het geen prestatie is ben ik het niet mee eens. 'Ik doe dit al jaren' gaat niet op zolang je niet weet waar het om gaat.
Overigens vind ik cheaten in spelletjes sowieso lichtelijk triest, waarom een spelletje doen als je alleen vooruit kunt komen met cheaten?

broodjekaas92 8 augustus 2011 14:43

Sorry hoor, maar dat doe ik al een jaar op mijn android telefoon

jona @broodjekaas92 • 8 augustus 2011 15:43

Voor degenen die zeggen dat dit niks nieuws is en dat ze het al al jaren doen.

Uit het BBC bericht blijkt dat het niet simpel een hack is om je crops bij Smurfs village snel te laten oogsten.

While many games detect and block clock-based cheating, CyFi found ways round these security measures. Disconnecting a phone from wi-fi and only advancing a clock by a small amounts helped to open up the loophole as it forced the game into a state not tested by its original creators.

Details about what this bug opens up have not been revealed but such flaws are often used to let an attacker run their own code and get access to useful or saleable data.

CyFi's discovery has since been verified by independent security researchers.

Dit is dus wel iets serieuzer. Door de klok vooruit te zetten werd een loophole geopend die hackers met een exploit zouden kunnen misbruiken om eigen code te draaien. Afhankelijk van de game zou dit waardevolle data voor hackers met kwade bedoelingen kunnen opleveren.

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@jona • 8 augustus 2011 16:54

Door de klok vooruit te zetten werd een loophole geopend die hackers met een exploit zouden kunnen misbruiken om eigen code te draaien.

Misschien moet je je eigen quote wat beter lezen.

[the hack] helped to open up the loophole as it forced the game into a state not tested by its original creators

such flaws are often used to let an attacker run their own code and get access to useful or saleable data

De app werd dus in een state gebracht waar de ontwikkelaars geen rekening mee hebben gehouden. Dat impliceert niet meteen dat er een loophole bestaat om eigen code te runnen, er wordt alleen gesteld dat dat in het verleden weleens heeft gebleken.

Imho, de énige reden waarom dit nieuws is is omdat het een 10-jarige betreft. En respect voor haar, ze is op de goede weg, maar om dit nou af te doen als serieuze security flaw... nee, niet echt. Voorlopig is het alleen een manier om te cheaten in games.

[Reactie gewijzigd door .oisyn op 23 juli 2024 16:53]

ronaldmathies @broodjekaas92 • 8 augustus 2011 14:48

Manipuleren van de tijd om het spel te beinvloeden is iets anders als het manipuleren van de tijd om vervolgens eigen code te kunnen draaien.

Fealine @ronaldmathies • 8 augustus 2011 15:57

EN dat is iets dat ze zelf niet heeft bedacht maar zou in theorie hierdoor mogelijk zijn. Dit is dus nog niet bewezen en zeker niet door haar

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@ronaldmathies • 8 augustus 2011 17:02

Nergens staat dat ze eigen code kan runnen. Er wordt alleen gesteld dat dat eventueel het geval zou kunnen zijn. Wat mij betreft vooralsnog een storm in een glas water, maar daarom niet minder leuk voor de tienjarige.

flabber @broodjekaas92 • 8 augustus 2011 14:51

En zo is het wiel ook meer dan eens uitgevonden evenals buskruit, het kompas en nog meer van dat soort zaken.
Bij dit soort dingen gaat het ook niet om de ontdekking zelf, want die zijn vaak erg triviaal, maar het inzien van de waarde ervan.

In dit geval heeft deze hacker de verder strekkende gevolgen ingezien en is daarop door gaan zoeken. En daarom staat hij op Defcon Kids en reageer jij op het artikel ....

FragNeck @broodjekaas92 • 8 augustus 2011 14:46

Inderdaad, dit is een bekend fenomeen, en heeft niets met hacken te maken in mijn ogen. Manipulatie van systeemtijd wordt al jaren gebruikt.

Berthenk @FragNeck • 8 augustus 2011 14:48

Fable 2 op de 360, anyone?

JerX @Berthenk • 8 augustus 2011 14:59

En 3

Tylen

@broodjekaas92 • 8 augustus 2011 15:13

Precies. Kom op zeg dit is geen hacken...

cedal

@broodjekaas92 • 8 augustus 2011 14:48

Jij publiceert er niet over.

FreshMaker @broodjekaas92 • 9 augustus 2011 10:41

Wel zolang het niet eerder gemeld is

Achteraf oordelen kan iedereen, het is de kunst om het te publiceren voor een ander dat doet !
Ik doe bepaalde dingen ook al jaren op "mijn" manier, en soms kom je er per toeval achter dat die 'manier' uniek was ten tijde dat je ermee begon.
had ik maar ....

JoetjeF 8 augustus 2011 15:06

Op Android kan een applicatie de klok niet aanpassen dus de hack zou alleen gedaan kunnen worden als je root toegang hebt.

skoozie @JoetjeF • 8 augustus 2011 15:29

Het gaat er niet om dat een applicatie de klok aanpast maar dat de applicatie naar de klok kijkt om bijvoorbeeld na te gaan of je crops al klaar zijn om geharvest te worden. neem iets dat 24uur moet groeien, zet je handmatig je klok/datum 1 dag vooruit en je kan meteen je spul harvesten. dit is oa. te gebruiken op IOS met de smurfen, maar het spel wordt er niet leuker op. Niet dat dit soort games aan mij besteed zijn.

Finraziel

Games
Consoles

@skoozie • 8 augustus 2011 15:56

Nee, daar gaat het dus niet om.

Door deze manipulaties met de interne klok zou een aantal games voor Android en iOS kwetsbaar zijn gebleken voor het uitvoeren van exploits. Hierdoor kan een aanvaller in theorie eigen code draaien.

Eigen code in de game inserten gaat wel iets verder dan je crops sneller laten groeien (al lijkt het er op dat ze zelf dus niet zo'n exploit geschreven heeft, alleen laat zien dat het mogelijk is).

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@Finraziel • 8 augustus 2011 17:00

Nee, dáár gaat het niet om. Waar het om gaat is dat de applicatie in een state wordt gebracht die de makers van de app niet voor ogen hielden, en dat in het verleden weleens is gebleken dat dat soort dingen naar security issues kunnen leiden. Daar is hier nog helemaal geen sprake van, het enige dat bekend is gemaakt dat de games vatbaar zijn voor de flaw van het wijzigen van de tijd.

_gibeon_ @JoetjeF • 8 augustus 2011 15:47

Root toegang moeten hebben voor een exploit, dat is natuurlijk geen issue.

Dreamvoid

Mobiele besturingssystemen

@_gibeon_ • 8 augustus 2011 17:48

Tenzij het heel makkelijk is om root toegang te verkrijgen (phishing, etc).

Dominique De B. 8 augustus 2011 14:43

Zo zie je maar dat ook jeugdige computerwizzes veel kunnen uitmaken tegenwoordig..
in de toekomst gaat leeftijd steeds minder uitmaken denk ik, maar alleen je niveau en kennis van zaken.

Dark_man @Dominique De B. • 8 augustus 2011 15:18

Dit heeft niet zo zeer met slimheid te maken.

Het is gewoon logisch nadenken, als je bepaalde moeilijke dingen voorschotelt bij dit kind begrijpt dit er dan weer waarschijnlijk niks van.

Toen ik mijn eerste PC had loste ik ook problemen op die mijn vriend die "computerexpert" was niet kon oplossen, gewoon door logisch nadenken.

The Realone @Dark_man • 8 augustus 2011 15:27

Knap dat jij dat zo kan zien vanachter je PC. Je hebt misschien gelijk, misschien ook niet. Wat betreft dat logisch nadenken, daarmee alleen kom je er echt niet. Dan moet je gewoon verstand van dingen hebben die een gemiddelde 10-jarige niet heeft.

mad_max234 @The Realone • 8 augustus 2011 19:45

Kennis is geen slimheid, slimheid is snel complexe zaken kunnen uitvoeren zonder dat je ze eerder heb gedaan. Het heeft veel te maken met het aantal neutronen die je heb aangelegd en hoe die verbinden met elkaar verhouden. Dat maakt je een snelle denken die potentie heeft om slim te worden.

Meeste mensen denken dat ergens kennis over hebben dat dat je slim maakt, maar je kan ook kennis vergaren op laag pintje en met langzaam denken, je kan zelfs een redelijk laag denkvermogen hebben om toch ergens heel erg in uit te blinken en heel veel kennis over te hebben. Zie je wel eens bij licht geestenlijkgehandicapte dat ze over een bepaald onderwerp heel veel kennis hebben en alles zo kunnen opnoemen, dat is kennis en geen slimheid.

Anoniem: 125738 @mad_max234 • 8 augustus 2011 21:00

Kennis is het verschil weten tussen neuronen en neutronen...

dbm_ @Anoniem: 125738 • 9 augustus 2011 01:03

En het verschil tussen een glas bier onder je stoel (laag pintje) en een laag pitje

henk-jan @dbm_ • 9 augustus 2011 16:57

kennis vergaren op laag pintje
Iemand met alleen kennis snapt mad_max234 niet. Iemand die slim is wel.

mae-t.net @Dark_man • 8 augustus 2011 17:40

Logisch kunnen nadenken is inderdaad een onderdeel van slimheid. Heeft er dus best veel mee te maken.

LCP 8 augustus 2011 14:43

10 jaar en nu al dit soort dingen ontdekken! $_/-\o_$
Dat beloofd wat voor de toekomst van deze knaap!

DJrDJ666 @LCP • 8 augustus 2011 14:45

tis een meid

Philos31 @LCP • 8 augustus 2011 14:45

Waar staat dat het een knaap is?
Ik las namelijk: CyFi deed haar onthulling op Defcon Kids,

Waar ik uit opmaak dat het juist GEEN knaap is.

Blijf het wel knap vinden van zo'n kind.
BTW: Leuk dat er iets is voor kinderen met dit soort interesses, dan krijgen ze een beetje sturing ook nog.

[Reactie gewijzigd door Philos31 op 23 juli 2024 16:53]

Lethalis @LCP • 8 augustus 2011 14:48

Het is een meisje..

http://www.thehackernews....cker-cyfi-reveal-her.html

Anoniem: 282252 @LCP • 8 augustus 2011 15:34

Hangt er vanaf hoe je het bekijkt, een aap maakt een bananen open vanaf de andere kant dan dat de mens dit doet omdat dit veel gemakkelijker gaat, maar dat maakt die aap nog niet slimmer.

het zou wel erg leuk zijn geweest als tweakers een interview met deze dame had gehouden, dan hadden we zijn beweeg redenen eens kunnen horen.

Xthemes.us @Anoniem: 282252 • 8 augustus 2011 16:11

Ik maak mijn bananen ook aan de 'onderkant' open. Maakt mij dat nu zo slim als een aap of een buitengewoon intelligent mens?

Wel leuk om te zien dat ook aan dit soort dingen aandacht wordt besteed op het grote defcon, 'social games' manipuleren d.m.v. de klok.

[Reactie gewijzigd door Xthemes.us op 23 juli 2024 16:53]

Anoniem: 282252 @Xthemes.us • 8 augustus 2011 18:37

Ik maak mijn bananen ook de 'onderkant' open. Maakt mij dat nu zo slim als een aap of een buitengewoon intelligent mens?

Precies, daarom is het wel eens leuk als tweakers ipv een bericht vertaald ook eens een keer een interview neerzet zodat we eens wat kunnen leren hierzo ipv berichten lezen waar we eigenlijk niets van kunnen leren

Wild Fox333 @LCP • 8 augustus 2011 15:39

Is het echt nodig dat 9 mensen hetzelfde herhalen, met hier en daar een quote of link??

On-topic:
Ik vind het positief dat dit soort kinderen al op jonge leeftijd gestimuleerd worden bij Defcon, want ik denk dat er best wel een heleboel kinderen zijn die potentieel hebben. Helaas werd daar nooit naar gekeken aangezien kinderen op die leeftijd verondersteld worden om met barbiepoppen te spelen.

MacPoedel @Wild Fox333 • 8 augustus 2011 15:49

Bekijk de timestamp, ze hebben allemaal tegelijkertijd gereageerd. Zal hem leren het artikel niet grondig te lezen

.

OT: ik vermoed wel dat dat meisje iemand in de buurt heeft die hier ook mee bezig is. Zomaar aan de interne klok gaan rammelen zie ik een 9-jarige echt niet doen, kan toch ook niet zomaar. Volgens mij had al iemand er een custom-rom op gezet.. Nuja het idee om dit gebruiken voor dat soort spellen is volledig van haar natuurlijk.

aap @MacPoedel • 8 augustus 2011 16:11

Alsof volwassen hackers alles wat ze weten wel zelf uitgevonden hebben.

Met een beetje op internet rondsurfen en omgaan met mensen die met hetzelfde soort dingen bezig zijn kun je een hoop leren. Maakt verder niet uit of je dan 10 jaar oud of volwassen bent.

Finraziel

Games
Consoles

@Wild Fox333 • 8 augustus 2011 15:51

Misschien even naar de tijdstippen van de reacties kijken? Ik betwijfel dat er iemand bij zit die de reacties boven zich al gezien had.
Vraag me trouwens wel af hoe je van de klok wijzigen naar code insertion komt... jammer dat er niet iets meer van bij staat, maar dat zal misschien zijn om de ontwikkelaars de kans te geven het te patchen.

edit: en ik demonstreer gelijk hoe je vrijwel tegelijk ongeveer hetzelfde kan posten, had MacPoedel hierboven uiteraard ook nog niet gezien

[Reactie gewijzigd door Finraziel op 23 juli 2024 16:53]

DarkKnight @LCP • 8 augustus 2011 14:46

Het is een meid en geen knaap

Anoniem: 63975 @LCP • 8 augustus 2011 14:46

CyFi deed haar onthulling

Knaap?

webkiller71 @LCP • 8 augustus 2011 14:46

CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst.

Haar onthulling impliceert dat het een meisje is en dus geen knaap.

DeKaerften @LCP • 8 augustus 2011 14:46

Het is een meisje

CyFi deed haar onthulling op Defcon Kids, een nieuw jeugdprogramma dat deel uitmaakt van de normale Defcon-hackersbijeenkomst.

Hurm @LCP • 8 augustus 2011 14:49

Ik noem dit geen arrogantie, aangezien zij haar woorden werkelijk maakte!

(ik refereer naar "knaap", aangezien jij totaal niet weet wat de definitie van dat woord is)

[Reactie gewijzigd door Hurm op 23 juli 2024 16:53]

pickatchoo @LCP • 8 augustus 2011 14:51

...voor de toekomst van deze knaap!

Hate to burst your bubble... maar volgens mij is hij een zij

Laatste zin;

CyFi deed haar onthulling...

edit: opmaak

[Reactie gewijzigd door pickatchoo op 23 juli 2024 16:53]

Rembert @LCP • 9 augustus 2011 14:18

Idd knap. Maar ff in perspectief. Toen ik lang geleden nog computerkampjes begeleidde, kwam ik talloze jonge gastjes en ook enkele meiskes tegen die op allerlei manieren wisten te hacken - ergste hack was een manneke van 10 die ff snel een netwerk sniffer bakte en nog voordat het kamp echt was begonnen al mijn novell administrator wachtwoord te pakken had. Zucht. Jochie meteen als netwerkbeheerder aangesteld voor die week. Veel van deze toenmalige koters zitten tegenwoordig ook op tweakers.

ChojinZ 8 augustus 2011 15:07

"Welke games precies kwetsbaar zijn, laat CyFi nog in het midden. De hacker wil de ontwikkelaars de kans geven om het gat tijdig te dichten"

lol, denk niet dat ze dat zelf heeft verzonnen maar dat iemand haar dit heeft "geadviseerd". Lijkt mij niet dat 10-jarige zulke overwogen beslissingen kunnen nemen.

_{Grappig... ik krijg een "off-topic" maar iemand boven mij die alleen "uber " neerzet krijgt een "on-topic"...}

[Reactie gewijzigd door ChojinZ op 23 juli 2024 16:53]

Anoniem: 201824 @ChojinZ • 8 augustus 2011 21:25

Community/forum waarschijnlijk. Toezicht van de medemens. Iets wat helaas ontbreekt bij die rare hackers die je niet bij naam moet noemen (om hen geen enkele credit te geven).

Anoniem: 149678 8 augustus 2011 14:49

Het is een meisje
http://www.thehackernews....cker-cyfi-reveal-her.html

sjoerdadlp 8 augustus 2011 14:50

Respect voor dit meisje, op 10 jarige leeftijd

Op dit item kan niet meer gereageerd worden.

Tienjarige hacker ontdekt exploits in Android- en iOS-games

Lees meer

Reacties (98)

Sorteer op:

Weergave: