Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

Op de Defcon-hackersconferentie zijn Android-mobieltjes van deelnemers mogelijk op een geraffineerde manier aangevallen. Daarbij zouden dataverbindingen zijn afgeluisterd die via cdma- en 4g-netwerken lopen. De aanvaller is nog niet bekend.

In een bericht op de Full-Disclosure mailinglijst meldt een persoon onder het alias Coderman dat afgelopen weekend in het hotel in Las Vegas man-in-the-middle-aanvallen zijn uitgevoerd. Daarvoor zou een rootkit tot op kernelniveau - ook bekend als ring0 - op Androidmobieltjes hebben weten binnen te dringen. Daarbij zou het dataverkeer dat via cdma- en wimax-netwerken verliep zijn afgeluisterd. Daarvoor werd vermoedelijk een kwetsbaarheid gebruikt in Sprints wimax-netwerk, dat wordt beheerd door Clearwire.

Coderman stelt dat de rootkit waarschijnlijk verstopt is in een upgrade voor Android-mobieltjes of een Java-toepassing. Gebruikers die besmet zijn geraakt, zouden volgens Coderman problemen kunnen hebben met de datadoorvoer via 4g- en cdma-verbindingen. Ook zouden Android-applicaties regelmatig crashen en reboots veel langer duren. Op Hackernews wordt de hack door een andere Defcon-deelnemer bevestigd.

Moderatie-faq Wijzig weergave

Reacties (77)

Als ik het goed begrijp is dus het netwerk van Sprint gehackt en ingesteld om de servers die updates die android gebruikt om updates door te geven naar een andere server te laten gaan. Dit lijkt me de enige manier om een valse update door te geven.

Als dit zo is sta ik er versteld van dat deze servers geen SSL gebruiken, waarmee dit probleem makkelijk had kunnen worden voorkomen.
Het Sprint netwerk is niet gehacked, als ik het goed begrijp heeft iemand zich voorgedaan als het Sprint netwerk (met eigen zendapparatuur) en heeft op die manier updates gedeployed. Er wordt in de bronnen ook gezegd dat mensen niet konden bellen op de conference (omdat ze dus geconnect waren met een "fake" GSM mast die alleen internetverkeer doorgaf).

Vreemd dat die Android/app updates niet digitaal ondertekend zijn, dan was dit zonder de private key niet mogelijk geweest..

[Reactie gewijzigd door Radiant op 11 augustus 2011 10:34]

The hack via een update lijkt daar wel op:
http://news.ycombinator.com/item?id=2867471
"My only guess is that my phone auto-downloaded a patch that was poisoned and the security failure here is that the phone assumes any patch fed to it over the mobile network must be trustworthy. :/
"
Ik heb het gevoel dat android de windows op de mobieltjes wordt. En dit is negatief bedoeld. Aangezien het de grootste userbase zal hebben, is het interassanter om hack voor android te ontwikkelen. Denk ook dat android op den duur traag wordt, zoals windows omdat verschillende hardware moet worden ondersteunt. Dit zal android groter qua installatie en trager maken. Zie windows
Die grote userbase met daarbij het feit dat Android gewoon gatenkaas is qua beveiliging maakt dat iedere gebruiker in feite kwetsbaar is. Maar helaas wil nog steeds niemad dat horen en steekt men liever de kop in het zand want je zou toch eens over je eigen beveiliging moeten nadenken. Veel te ingewikkeld en vooral lastig.
Gatenkaas? Je moet permissies die apps vragen expliciet accepteren!! Zonder deze permissies kunnen apps namelijk niets doen. Als je als gebruiker echter blindelings alle permissies accepteert zonder hierover na te denken, dan ligt het toch wel aan jou als gebruiker!!

Dit permissies nakijken (tenminste als je slim bent) is de prijs die je betaalt voor een ongecensureerde appstore waarin je alle vrijheid hebt, en geen apple hebt die apps weigert om verscheidene redenen (zoals zelfs dat er al genoeg van dat soort apps bestaan (en daardoor dus concurrentie belemmeren))

De linuxkernel is bovendien relatief veilig... (onder andere door het meerdere ogen op de code principe) Hetgene wat hier waarschijnlijk gebeurd is, is requests onderscheppen van telefoons voor updates, en dan een nep-update terugsturen. (man in the middle) Dit is geen onveiligheid van Android zelf, eerder van de Market en/of de schil van de fabrikant. Een oplossing voor dit probleem is waarschijnlijk om apk's te encrypteren met een publieke sleutel van een ontwikkelaar en dan bij iedere update kijken of de update-apk geopend kan worden met dezelfde publieke sleutel. Natuurlijk los je hiermee nog niet het probleem van nieuwe apps op, maar ik denk dat dit op te lossen valt door ssl te gebruiken voor communicatie met de Android Market in combinatie met een certificaat van een instantie zoals VeriSign.

[Reactie gewijzigd door Moonsurfer_1 op 11 augustus 2011 13:53]

Die vergelijking gaat niet helemaal op. Verschillende hardware ondersteunen betekent gewoon dat de onderliggende linux kernel + drivers toegesneden worden op het specifieke hardware platform. Daarboven ligt de VM laag (Dalvik, een alternatief voor JVM), waarbovenop de Android laag ligt die dus in java geschreven is en in principe hardware onafhankelijk.
Windows 7 werkt prima, behalve als jij allerlei onzin gaat downloaden uit china en rusland , net zoals dat je ook zooi kunt halen uit de app market. Zou het persoonlijk erg fijn vinden als android de windows wordt, ten minst genoeg apps voor de telefoon.
tsjaa Android is op dit moment wel het interessantst voor hackers.

De grootste userbase(ff naar Androïd scrollen), er is al voor gewaarschuwd.

En op deze conferentie is dan natuurlijk ook wel genoeg kennis hiervoor aanwezig. Alleen had ik dan wel gedacht dat de mensen daar wat scherper zouden zijn hierop.

[Reactie gewijzigd door Bongoarnhem op 11 augustus 2011 10:31]

Na symbian heeft iOs heeft op het moment nog de grootste userbase hoor dus vergis je niet! Ookal is dat natuurlijk aan het verschuiven in het voordeel (elk voordeel heeft een nadeel) van Android :)

Verkopen van toestellen van afgelopen kwartaal zeggen niks over de userbase!

@NoUseWhatsoever:
|:( Lezen is ook een vak he!

[Reactie gewijzigd door watercoolertje op 11 augustus 2011 10:51]

In dit artikel staat anders dat Android draait op 48% van de smartphones en daarmee dus het meest gebruikte OS is.

Uit het artikel:
Daardoor is Android momenteel verreweg het grootste mobiele besturingssysteem op de smartphonemarkt.
edit: bedankt voor de uitleg SidewalkSuper. Dan komt het door de (in ieder geval voor mij) misleidende quote hierboven.

[Reactie gewijzigd door NoUseWhatsoever op 11 augustus 2011 11:10]

Dat klopt niet, je moet even goed het artikel lezen.

In het artikel staat dat het afgelopen kwartaal van 2011, van alle verkochte smartphones, 48% een Androidtelefoon was.
Er staat dus geenszins dat Android de grootste userbase heeft, dat klopt ook niet.

iOS had een halve maand geleden ongeveer 220 miljoen devices. (http://9to5mac.com/2011/0...-will-affect-the-quarter/)
Android had toen 135 miljoen devices. (http://www.tomsguide.com/...downloads,news-11861.html)
Symbian had een half jaar geleden zo'n 385 miljoen devices. (http://en.wikipedia.org/wiki/Symbian_OS)

Wat wel klopt is dat Android inderdaad waarschijnlijk gaat worden voor de mobiele telefoniemarkt wat Windows is voor de desktopmarkt. Uiteindelijk zal het de grootste userbase hebben en daar springen de hackers nu al op in. Slim. Ben benieuwd of je binnenkort ook sowieso een virusscanner op je telefoon moet draaien.

@NicoJuicy dat is precies hetzelfde artikel als wat hier boven aangehaald wordt, allebei het Canalys-onderzoek. Enige verschil is dat die op Touchreviews staat en die hierboven op Tweakers.

[Reactie gewijzigd door SidewalkSuper op 11 augustus 2011 11:45]

Verkoopscijfers zeggen niets over de uiteindelijke userbase.
40% van de Android telefoons "wordt immers teruggebracht": http://www.mobiledia.com/news/99941.html
Van de verkochte iPhones wordt slechts 1.7% teruggebracht: http://www.engadget.com/2...s-3-million-and-counting/

edit: quotes toegevoegd nav terechte opmerking van Roet hieronder

[Reactie gewijzigd door MtC op 11 augustus 2011 12:40]

Het artikel waar mobiledia naar verwijst heeft geen bron voor die 40% het is dan ook te betwijfelen of dat echt zo is.
Lezen is ook een kunst he:

"According to TechCrunch, customers return Android phones 30 to 40 percent of the time, compared to the barely two percent of people who returned iPhone 4 handsets last year."

En in dat artikel staat dan weer:

"For the “average” phone user, however, Android is a maze. Anecdotally, I’ve heard of multiple examples of folks who bought an Android phone in order to “Think Different” and came away disappointed when faced with the glaring differences between Android and a friend’s iPhone or Blackberry."

Meeste gebruikers die een Android toestel terugbrengen, kiezen dus voor een iPhone of Blackberry, en niet voor een ander Android toestel.
"...Anecdotally, I’ve heard of multiple examples..."

Oh nee, ja, idd, je hebt helemaal gelijk, dit is zo ontzettend goed onderbouwt en bewezen... |:(
Ook voor jou is lezen moeilijk blijkbaar:

"Anecdotally, I’ve heard of multiple examples of folks who bought an Android phone in order to “Think Different” and came away disappointed when faced with the glaring differences between Android and a friend’s iPhone or Blackberry."

Dat gaat dat dus niet over die 40% return rate, maar over het feit dat meeste (of toch op zijn minst een aantal) gebruikers iPhone/BB kiest ipv Android.
Nadenken over wat je gelezen hebt is dan ook een kunst...

Als 40% van de Android toestellen retour gebracht wordt en die volgens jou dus kiezen voor iOS of BB; zouden de verkoop-cijfers van iOS en BB dan niet op vergelijkbare wijze moeten stijgen met Android mee?

Dat Android niet intuitief aan zou voelen kan ik als tweakers niet over oordelen. Voor mij is Android het beste mobile OS wat ik gebruikt heb. Mijn digibeet-vriendin kan er anders ook prima mee bellen, werken en gamen.
Misschien moeten wij tweakers de normale consument er dan een handje bij helpen.
Ik ben het met je eens dat de exacte cijfers niet 100% betrouwbaar zijn gezien de bron, maar daar gaat het toch ook niet over. Het punt was dat verkoopscijfers niets zeggen over de userbase. Als ik morgen 100 stuks verkoop, en die worden alle 100 teruggebracht, heb ik een userbase van 0.

En misschien moeten "wij tweakers" eerst en vooral eens leren iedereen in zijn waarde te laten. Ik ben ook een "tweaker" en ik wil van zijn lang zal zijn leven geen Android toestel, ook al gebruik ik zowel privé als professioneel 95% van de tijd Ubuntu.

Vind ik Android slecht? Ja.
Heb ik er ooit mee gewerkt? Neen.
Waarom vind ik het dan slecht? Let me explain:

Als je een iPhone koopt, weet je wat je kan, niet kan en eventueel kan. Je hebt ook de keuze uit een iPhone en een ... iPhone.
Als je een Android toestel koopt, welk merk kies je dan? Welke interface hebben ze er overheen gegooid? Welke versie van Android heb je nodig? Welke app store gebruik je? Allemaal vragen waar een aantal mensen (waaronder ikzelf in het geval van een telefoon) zich niet mee wil bezighoouden.

Ik vergelijk het altijd met VHS vs Betamax. VHS (iPhone) was gewoon beter dan Betamax (Android): http://www.guardian.co.uk...03/jan/25/comment.comment
Paar puntjes:

- ja, android maakt meer keus mogelijk. *moet* je kiezen? -> welk merk/toestel: ja. Vervolgens krijg je een default interface (al dan niet custom), één bepaalde versie android en één default appstore. Daarna kán je die allemaal veranderen, als je wil. Als je default ok vind en terugschrikt van keus, laat je t lekker default.

Daarentegen kan je op een iOS device even goed een andere app store installeren, en vast ook wel de interface grotendeels customizen.

Als laatste: Betamax was technisch gezien beter dan VHS. Over waarom VHS gewonnen heeft zijn verschillende hypotheses, check wikipedia. Je kunt nu lastig stellen dat iOS beter is dan Android. Anders, zeker. Minder keus, zeker (behalve in de app store, hoewel het daar weinig scheelt).

Over of meer keus nou beter is: http://www.ted.com/talks/...he_paradox_of_choice.html
dan moet je wel juist vergeijken ..

het is de iphone die de dure betamax is
en android die de goedkopere (helaas ook minder kwalitatieve) vhs is ....


met betamax werd je beperkt in je keuzevrijheid; je zou nooit porno kunnen zien... zo kan je met je idevice niet kiezen waar je je aankopen doet; je bent verplicht ze bij apple te kopen en zij beslissen dus dat je geen of wel toestemming hebt om bepaalde dingen te installeren.

met vhs had je wél keuzevrijheid; je kon ook porno kijken, het werd een massaal succes! zo kan je met je android toestel ook buiten de STANDAARD google market dingen installeren; je kan bv via mail een app doorsturen of ze gewoon via http afhalen op een website, of via een andere store; bv die van amazon...

vergelijk dus CORRECT als je wil vergelijken ... en naar die analogie zal het dus android zijn die het succesvolst is ... en kijk, wat lezen we overal??? android is de succesvolste!
Je snapt het niet he. In de vergelijking is Android wel degelijk Betamax, want (volgens Apple-bashers/Android-fanboys) kwalitatief superieur aan iOS (VHS).
Zoals je in de link kan lezen, gaat het echter niet om het core-product alleen, maar om de totale ervaring.
Hoe je het ook draait of keert, integratie van Android-devices zal (voorlopig) niet het niveau halen van iOS devices. Denk daarbij aan bvb muziek van je server kiezen met je iPhone en afspelen op je Denon receiver. Let op! Ik zeg niet dat het niet kan met Android, je zal er alleen wat meer moeite voor moeten doen.
De gebruikservaring (en dan heb ik het over gebruik, niet over tweaken), van een iPhone wordt op dit moment mi door geen enkele Android-telefoon geëvenaard. En ja, ik durf die uitspraak doen zonder ooit een Android-telefoon in mijn handen gehad te hebben, vermits ik, zoals eerder gezegd, 95% van de tijd linux gebruik, en nuchter en intelligent genoeg ben om te weten dat ik aan mijn vrouw geen linux (Android) moet geven, maar dat ze wel perfect zou kunnen werken met een Mac (iPhone).
Wil je een ander voorbeeld? Ik zie pakweg BMW nog niet meteen Android-telefoons integreren op de manier dat ze nu doen met een iPhone.

Als je trouwens wil discussiëren over succesvolst, moet je veel meer argumenten in overweging nemen. Als je ziet dat de goedkoopste Android telefoon (in België) momenteel € 109 kost (Acer Betouch E120 Zwart), maar de goedkoopste iPhone € 489 kost (Apple iPhone 3G S 8 GB Black Simlockvrij), dan hoeft het niemand te verbazen dat het marktaandeel van Android telefoons groter is.
Ik zou graag eens cijfers zien van het segment waarin de iPhone zich bevindt, en dan met name de iPhone 4 (dus € 669 - 789). Ik denk dat je dan een heel ander verhaal krijgt.

Maar nogmaals, het core product mag dan beter zijn volgens sommigen hier, de totale ervaring is dat zeker niet.
En voor je mij beschuldigt van fanboyisme: mijn huidige setup bestaat uit een Lenovo laptop met Ubuntu 11.10 beta, een Microsoft bluetooth muis en een iPhone. Voor elk wat wils dus :)

edit: typo'tje
Als je het artikel leest en de vergelijking maakt dan is Betamax = IPhone ('beter' volgens de boekjes, duurder, slechts 1 model en daarom niet compatibel met willekeurige andere gebruikers) en is Android VHS (minder 'technologisch superieur' maar goedkoper, even gemakkelijk in gebruik, en de apps kunnen op veel meer modellen gebruikt worden).

Het is maar hoe je het bekijkt.

Voor mij staat IPhone nog steeds gelijk aan gesloten, enkel ondersteuning voor een zeer beperkte consumerbase (slechts 4 modellen waarvan slechts 1 nog te koop is). Het hele concept IPhone is net gericht op een zeer beperkte niche markt, anders zou er wel meer keuze en meer modellen zijn. Bij Android heb je de vrijheid om eender wel toestel te kiezen met de zekerheid dat je dezelfde apps er op kan draaien (net zoals een VHS in elke videorecorder past)
In het artikel staat dit als bron vermeld:
"However, on the ground, many return rates are approaching 40% said a person familiar with handset sales for multiple manufacturers. "

Je presenteert de 40% als zijnde een feit.
"40% van de Android telefoons wordt immers teruggebracht:"

Echter vind ik 'een persoon die bekend is met telefoon verkopen voor meerdere fabrikanten', nou niet echt een heel hard feit. 30% tot 40% klinkt mij meer als nattevingerwerk van iemand op de werkvloer. Als je me de returnrate kan geven gebaseerd op cijfers van bijvoorbeeld de KPN winkel of BelCompany, dan kan ik je meer gelijk geven dan nu.
Kwa natte vinger werk valt het wel mee.
Kijk maar eens op deze pagina : http://www.betanews.com/j...-Android-phone/1311691810

iOS staat dan wel op 17%, maar Android staat dan duidelijk op 35% kwa 'exchange'
Meeste gebruikers die een Android toestel terugbrengen, kiezen dus voor een iPhone of Blackberry, en niet voor een ander Android toestel.
Dat staat niet in de quoted text, en ik betwijfel het sterk.
In mijn omgeving zie ik praktisch alleen maar android (op een incidentele iphone na) en blackberries alleen bij kinderen of mensen die ze (verplicht) via het werk gekregen hebben omdat het zgn "zakelijke" telefoons zijn.

Ik ken meedere mensen die hun iphone hebben omgeruild voor een SG2, mede vanwege android.

Ik kan er nog percentages bijzetten om de suggestie te wekken alsof het feiten betreft indien je daar behoefte aan hebt?

[Reactie gewijzigd door blouweKip op 11 augustus 2011 16:33]

Ik denk dat de verhoudingen heel erg verschillen per land, en dan ook nog eens per omgeving, ik werk momenteel als consultant, in België, en hier loopt ongeveer iedereen met een iPhone. Het aandeel Android is klein, Blackberry gebruikt hier ongeveer niemand meer.
Zelfde beeld bij de klant waar ik momenteel zit (zijn systematisch alle HTC's aan het vervangen door iPhone)
En ze brengen die Android terug omdat ze er achter komen dat het anders is als op de BB of iPhone van hun vrienden. Dan zijn ze dus gewoon dom bezig geweest, als je een Audi koopt is die ook anders als een BMW of Mercedes van je vrienden.

Men heeft gewoon de verkeerde keuze gemaakt omdat ze blijkbaar niet kunnen nadenken. Sorry hoor, iedereen mag zijn voorkeur hebben, maar bij dit soort argumenten dan vind ik dat ze een verkeerde reden opgeven.

Wel is het zo dat ik dit soort berichten steeds vaker lees (met name hier op tweakers) en meestal komen ze uit Amerika, maar ook wordt het vaak als argument gebruikt om mensen een bepaalde keus niet te bieden. Zoiets van, als we computers te koop aanbieden met Windows en zonder besturingssysteem (of met een ander besturingssysteem als Windows) dan kiezen mensen massaal die waarna ze gaan klagen dat er geen Windows op zit -> RMA.

Mensen die zo dom zijn, zouden wat mij betref geen smartphone of pc meer mogen kopen, ze zijn blijkbaar niet in staat hun beslissingen gefundeerd te nemen en zadelen daar vervolgens iemand anders mee op. Die mogen wat mij betreft terug naar de middeleeuwen, daar horen ze thuis.
Dat komt omdat je bij Android kan kiezen uit 10-tallen verschillende telefoons met breed uiteenlopende specs. Gebruikers die een toestel retour doen zullen vaak gewoon een ander Android toestel uitkiezen.
Bij Apple heb je die keuze niet.
Aan de andere kant, in dit artikel staat duidelijk dat Android de 1e is en iOS de 2e, 3e is natuurlijk symbian.

http://touchreviews.net/a...gest-smartphone-platform/
Je moet wel lef hebben als hacker om tijdens een hackerconferentie een dergelijke hack te plegen op grotere schaal. Natuurlijk zijn hackers een bron van informatie en zal een overheid zoals die van de VS of China er baad bij hebben om dergelijke mensen te hacken. Maar gezien de kans op exposure denk ik eerder dat we hier te maken hebben met iemand die zijn talent wil bewijzen.

De vraag is natuurlijk of de omvang van de hack bekend zal worden of niet. ik denk dat veel hackers het niet direct zullen toegeven dat hun android foon is gehacked. Ik ben overigens ook wel benieuwd hoeveel hackers het wisten te verkomen, ht terug weten te traceren naar de bron of buiten schot bleven door van te voren genomen counter-maatregels.

Stiekem vind ik het wel een goede grap.
De telefoon is zo gemeengoed geworden dat er helemaal niet over wordt nagedacht dat deze ook een gevaar is. Zelfs voor een hacker.
Zelf vind ik de ontwikkelingen van het hacken van auto´s fascinerend. Denk wel dat het even gaat duren voordat een beetje doorkomt.
Zoiets gebeurd zo'n beetje ieder jaar. Als je naar de Defcon toegaat en verbaasd bent dat je laptop of mobieltje worden gehacked dan heb je daar niks te zoeken.
Codeman stelt dat de rootkit waarschijnlijk verstopt is in een upgrade voor Android-mobieltjes of een Java-toepassing.
Als ik het goed begrijp zijn het dus niet perse DefCon hackers die dit hebben veroorzaakt, maar is het wel tijdens DefCon aan het licht gekomen (en misbruikt).
Klinkt meer als dat ze via een redirect of iets dergelijks de toestellen aangepaste toepassingen/upgrades hebben laten downloaden.
Lijkt me typisch een actie van de overheid, want geloof me die zullen al die hackers heeeel scherp in de gaten houden tijdens de hacker-party. Zou me niks verbazen als men er achter wil komen wat zoal besproken of gedaan is via de androids..
Ik kan me niet voorstellend dar de Ameikaanse overheid hier achter zit. Die kan namelijk gewoon aankloppen bij de telecomproviders, en dan zoveel afluisteren als ze willen.
Hoe kan een Java toepassing nou effect hebben in de kernel?
Tsja, met vulnerable techniek naar defcon gaan is een beetje als in een Lady Gaga meat suit besluiten te gaan zwemmen in shark-infested water.

Wel laat dit toch nog maar eens goed zien dat onschendbaarheid voor hacks feitelijk gewoon niet bestaat. Zeker met alle hacks in het nieuws van de laatste tijd wordt er veelal gesmeten met populistische termen als privacy, en dat bedrijven daarom zouden moeten voorzien in systemen welk niet te hacken zijn.

Maar uiteindelijk is niets ohackbaar. Net als dat de gevel van de juwelier er met een voertuig stevig genoeg uitgeramd kan worden, is het voor een goede hacker uiteindelijk toch altijd ook weer gemakkelijker om ergens via een loophole binnen te dringen dan te proberen alles buiten te houden.
Zal een dezer dagen op de conferentie wel uit de doeken worden gedaan hoe en wat betreft de hack. Je hebt wel meteen de aandacht van iedereen die daar is. Wat is nou wekt nou meer interesse voor jou hack dan hem uit te voeren op alle aanwezigen.
Misschien is die post op dat forum wel gewoon een social hack, ofwel hoax?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True