Kwetsbaarheid Android laat apps sms'jes spoofen

Onderzoekers van de North Carolina State University hebben een kwetsbaarheid in Android ontdekt, die het mogelijk maakt voor applicaties om valse sms-berichten op het toestel van een gebruiker te plaatsen. Daarvoor zijn geen speciale permissies vereist.

Volgens de onderzoekers kan de kwetsbaarheid worden gebruikt voor phishing via sms-berichten, aangezien apps valse sms-berichten kunnen plaatsen die afkomstig lijken van een contactpersoon of bijvoorbeeld een bank. Voor het plaatsen van de nepberichten is geen speciale permissie vereist; elke applicatie zou de kwetsbaarheid dus kunnen misbruiken.

De kwetsbaarheid is in ieder geval aanwezig in de Android-versies 2.2, 2.3, 4.0 en 4.1. Inmiddels is Google op de hoogte gesteld en het bedrijf heeft beloofd een fix uit te brengen in een toekomstige Android-versie. Hoe die oplossing eruit komt te zien, is onduidelijk. De onderzoekers willen verdere technische details van de kwetsbaarheid pas vrijgeven als de fix is doorgevoerd.

In augustus ontdekte een beveiligingsonderzoeker dat het mogelijk is om naar iOS-apparaten sms'jes te versturen die afkomstig lijken te zijn van een bepaald telefoonnummer. Dat was mogelijk door de header van het sms'je te manipuleren. Het is in de header van een sms mogelijk om het reply-to-telefoonnummer te veranderen, maar de iPhone toonde dat reply-to-nummer als de afzender.

Lees meer

Reacties (51)

Korumera

5 november 2012 08:23

Mooi dat de vinders de verdere details alleen laten zien als er al een fix uit is, dat gaat veel gedonder besparen zo.

Verder komen er natuurlijk ook in verhouding wel meer bugs voor in android (ben zelf ook android gebruiker) maar je heb ook veel meer telefoon's, veel meer versies van het OS zelf en noem maar op, bij apple is dit natuurlijk niet echt het geval. En aangezien er ook steeds meer android smartphones worden verkocht ga je dit soort dingen steeds vaker terug zien.

Admiral Freebee
@Korumera • 5 november 2012 08:30

Zo mooi vind ik het niet, aangezien de meeste toestellen nooit meer een fatsoenlijke upgrade zullen krijgen en er geen bugs in oudere versies gefixed worden. Nochtans zou dat gerust ook mogen in het geval van veiligheidslekken.

Zo heb ik een telefoon die wellicht hoogstens 4.0 zal draaien. De fix zal ik dus nooit zien, net zoals de meeste andere Android gebruikers, maar het wordt alsnog kenbaar gemaakt hoe men het foutje kan gebruiken.

[Remmes]
@Admiral Freebee • 5 november 2012 08:33

opzich kan je dan zelf een rom erop zetten, maar ik ben het helemaal met je eens, de gebruiker moet hiervoor niet allerlei dingen doen om zijn/haar telefoon veiling en up-to-date te houden, vooral de huis-tuin en keuken gebruiker zal niet weten hoe hij/zij er een rom op moet zetten

djunicron
@[Remmes] • 5 november 2012 14:05

Het probleem is niet alleen dat je eraan moet denken je toestel up-to-date te houden, het komt regelmatig voor dat toestellen weigeren hun updates binnen te halen!

Voorbeeldjes die ik het afgelopen half jaar ben tegengekomen:

- HTC One X die de eerste battery drain update via OTA kreeg, maar daarna enkel meldingen kreeg deze update opnieuwe te verkrijgen. Uiteindelijk naar service punt gestuurd.
- Sony Xperia Sola: KPN specifieke rom, zou nooit 4.0.4. ontvangen, moest geforce-flashed worden of naar het servicepunt.
- Samsung S2 int: update naar 4.0.3 vanaf 2.3.7 herhaaldelijk een md5-check fail na download, Samsung had deze update niet meer volledig op de server staan, omdat de update oud was. De telefoon die nog op K2 liep, (nooit geupdate na 1e maand dat het toetsel in EU uit was) kon dus niet meer naar de meest recente versie geflashed worden.
- Samsung Ace 2: OTA forceclose, enkel handmatig via ADB kon fastboot aangesproken worden.
- Samsung Mini: Geleverd met 2.1.1, zonder de bootloader te unlocken was 2.3.7 niet te flashen via Odin. (Kies herkende het toestel al helemaal niet, OTA was geen optie in 2.1.1)
- HTC Sensation XL: Belgische telcom provider formware (proximus geloof ik?) had een radio fout zitten die 2100 3G uitschakelde, toestel wilde daarna de update voor de Vivid (US LTE) binnen halen, welke niet meer geflashed kon worden (gelukkig) omdat het toestel weer S-on was geworden. Uiteindelijk maar custom op geinstalleerd.

Korumera

@Admiral Freebee • 5 november 2012 08:44

Daar ben ik het mee eens, maar liever nu even niet laten zien en dan straks een deel dat wel geupdate is geen last er meer van heeft dan dat ze het nu al vrij geven over het hoe en wat en dat nog veel meer mensen er last van kunnen hebben.

Nou ligt het volgens mij ook wel een beetje aan de software die je download als het obscure oogt dan is het dat meestal ook.

+1 DeFeCt
@Korumera • 5 november 2012 08:42

"Verder komen er natuurlijk ook in verhouding wel meer bugs voor in android"

Waarom is dat natuurlijk en is het ook werkelijk zo?

Ik gebruik al lange tijd geen Apple meer, meer ten tijde van de eerste iPhone kon ik toch regelmatig een nieuwe jailbreak uitvoeren als er weer een update van iOS was gekomen. Vraag me serieus af of er meer versies van het OS bestaan.

Korumera

@DeFeCt • 5 november 2012 09:39

Er bestaan zoiezo meer versies van het OS want veel bedrijven hebben hun eigen schil, hun eigen optimalisaties en noem maar op. Het basis OS is dan wel het zelfde, maar daar blijft het verder ook wel bij. Android op Xperia S en op de SGSIII zijn wel degelijk anders.

En het is natuurlijk omdat er dus meer versies van zijn, dat lijkt misschien dan wel niet zo maar is het dus wel.

0 DeFeCt
@Korumera • 6 november 2012 08:44

Zoals je zelf al zegt.. Het OS is niet anders, er zit alleen een ander schilletje omheen en hier en daar misschien een app. Komen er dan meer bugs in Android voor of in de schil die er op draait?

+1 nietbelangrijk
5 november 2012 21:02

Om een SMS te spoofen heeft de app de permissie: berichten (SMS versturen) nodig?
Ik neem aan dat met een permissiemanagement deze fail tegen te gaan is?

Karizma
5 november 2012 09:58

Waarom publiceren ze dit dan... Wordt er alleen maar meer misbruik van gemaakt.

+1 Chris.nl

Google Android

@Karizma • 5 november 2012 10:26

Ze waarschuwen erbij alleen betrouwbare apps te installeren uit de play store, en bewust om te gaan met de berichten die je ontvangt.

Eerder kon phishing via de mail, nu weet je dat ook sms niet heilig is. Trouwens, ook zonder maleware app kan je iemand een sms sturen die afkomstig lijkt van een ander, en elke phone kan die berichten ontvangen dus iedereen zou bedacht mogen zijn op sms phishing.

Hier en hier kan je bijvoorbeeld nepberichten versturen, dit is tegen betaling maar een handige Harry kan vast zijn eigen systeem opzetten. Daar is de veiligste versie van elk mobiel OS niet tegen opgewassen.

De beste "beveiliging" is je eigen gezonde verstand, wat dat betreft is er niets nieuws onder de zon.

[Reactie gewijzigd door Chris.nl op 5 november 2012 10:39]

s1h4d0w
5 november 2012 11:46

Ben stiekem best blij dat ik van mijn Android telefoon af ben, je hoort wel steeds geluiden dat de beveiliging daar toch niet zo optimaal is. Slechte zaak dit.

Offtopic
De S2 van een vriend van mij blijft sinds gisteren iedere paar seconden een smsje sturen van zichzelf naar zichzelf. Alleen vliegtuigstand werkt dan. Misschien ook ten prooi gevallen aan misbruiken van zo'n soort beveiligingsgat?

+1 dottyflowers
@s1h4d0w • 5 november 2012 12:30

De tweakers die dit uit security perspectief interessant vinden moeten eens kijken naar het Smartphone Pentest Framework van Georgia Weidman. Versie 0.1 maakt onderdeel uit van Metasploit en is nu juist toegespitst op dit soort bugs/features.

Het is vreemd om te zien dat iedereen over elkaar heen struikelt als het over PC's en security gaat, maar dat de iOS of Android in je broek wordt vergeten. En dat terwijl dat ding continue over 3G/4G/WiFi beschikt en alles kan wat een PC ook kan.. Een pas net ontgonnen terrein voor eenieder met slechte bedoelingen!

Ik verbaasde mij dan ook een beetje toen ik dit nieuwsartikel als 'nieuws' zag...

De SPF source staat op Github, als je dit nieuwsartikel leuk vind zou ik SPF in de gaten houden

PS: Android of iOS: het is om het even..

Bullet NL
5 november 2012 08:31

Lees ik daar nou echt SMSjes???

Das toch zo 2010..... Whatsapp!!!

Maar serieus, dit soort problemen blijf je houden, de mobile OSen zijn het nu vanwege hun massaalheid het waard om opzoek te gaan naar dit soort dingen. Het loont nu ook voor een hacker om iets voor iOS, Android en straks misschien wel Windows Phone uit te proberen omdat het effect kan hebben voor heel veel mensen.

Ik vraag mij trouwens als het gevaar van het probleem zoals het in het artikel is geschreven ook op standaard Android kan worden uitgevoerd of dat je eerst een app moet installeren die het mogelijk maakt.

Afijn, we komen er wel achter op moment dat de fix is uitgebracht.....

+1 GJvdZ
@Bullet NL • 5 november 2012 08:34

Er worden nog altijd meer SMS-jes dan Whatsapp berichten verstuurd... (Nederland != de wereld)

pven
@Bullet NL • 5 november 2012 08:55

Zonder SMS krijg je whatsapp niet (makkelijk) geactiveerd. Dus ...

Yucko
@pven • 5 november 2012 10:39

Wat dus in principe met deze exploit wel zou kunnen.

Alhoewel er al manieren zijn om WhatsApp op bv. WiFi only apparaten (tablets zonder 3G) te krijgen (denk aan Titanium Backup of sideloading en dan via adb in de weer gaan) zou je op deze manier een programma kunnen uitbrengen die dat wat vergemakkelijkt

watercoolertje

Smartphones
Google
Google Android

5 november 2012 08:21

Normaal als er overeenkomsten zijn tussen Android en iOS wil tweakers dat maar al te graag laten horen, maar blijkbaar enkel als het positief is voor Apple?

ik mis nog een alinea dus

http://www.informationwee...ers-apple-ios-s/240005758
http://www.pod2g.org/2012...ms-ios-text-spoofing.html
http://www.huffingtonpost...ios-iphone_n_1799339.html
http://news.cnet.com/8301...s-spoofing-tool-surfaces/

De onderzoekers willen verdere technische details van de kwetsbaarheid pas vrijgeven als de fix is doorgevoerd.

En zo hoort het! Erg netjes!

[Reactie gewijzigd door watercoolertje op 5 november 2012 08:23]

[Remmes]
@watercoolertje • 5 november 2012 08:30

alleen heeft iOS een aardig gesloten plek waar je apps kan halen, met Android kan je allerlei APK's downloaden

_{nee ik ben geen fanboy, maar het is weldegelijk een verschil}

Grrrrrene

Google

@[Remmes] • 5 november 2012 08:45

alleen heeft iOS een aardig gesloten plek waar je apps kan halen, met Android kan je allerlei APK's downloaden

_{nee ik ben geen fanboy, maar het is weldegelijk een verschil}

Je suggereert dat dit een groot risico is, maar dat het kan wil niet zeggen dat iedereen dat doet! Standaard staat het installeren van .apk's van buiten de Play Store uitgeschakeld in Android en de doorsnee gebruiker (die gevoelig is voor phishing) gebruikt dit dan ook niet. Die zoekt in de Play Store en als hij niet kan vinden wat hij zoekt, bestaat het in zijn ogen niet.

@YopY: Kun je dat ook met een linkje onderbouwen? Volgens recent onderzoek is een op de drie Nederlanders miljonair. Echt waar, heb ik ergens gelezen

Android pakt het in ieder geval wel aan met een ingebouwde Malware scanner die voor de Play Store wordt ontwikkeld: http://www.techradar.com/...er-for-play-store-1104409

@Tjoekie: Tsja, makkelijk schieten natuurlijk zonder me te kennen, maar denk je nu werkelijk dat ik op zogenaamde sms'jes van mijn bank (ze hebben mijn 06-nummer niet eens) ga reageren waarin ze vragen om inlogcodes om een beveiligingslek te dichten?

[Reactie gewijzigd door Grrrrrene op 5 november 2012 09:16]

+1 YopY
@Grrrrrene • 5 november 2012 09:08

Nouja, de Play store is ook niet heilig, er staat behoorlijk wat malware in de top 100 apps volgens een recent artikel.

+1 125509
@YopY • 5 november 2012 14:30

Je heb natuurlijk malware en je hebt malware. De malware waar jij het over hebt in de Playstore is meer irritatie ware. Het zijn apps die icoontjes plaatsen om je te verleiden andere apps te downloaden, of die advertenties in je notificatie gebied plaatsen. Er zijn er zelfs een paar die je imei of telefoonnummer delen met de adverteerder.

Allemaal onacceptabel, laat ik daar heel duidelijk over zijn, maar het is niet de malware die je bankrekening probeert te plunderen of die je op kosten jaagt met dure sms'jes. daarvoor moet je toch echt nog altijd in het alternatieve circuit zijn.

Die nuance is echter niet in het voordeel van al die beveiligingsonderzoekers die graag willen dat je antimalware apps gaat installeren. Waarbij ik dan ook weer de kanttekening wil plaatsen dat ik antimalware apps op een Android telefoon zeker geen overbodige luxe vindt, ook al is er op mijn toestel nog nooit meer gevonden dan een irritante notificatie addware app.

0 Tjoekie
@Grrrrrene • 5 november 2012 08:52

...de doorsnee gebruiker (die gevoelig is voor phishing)...

Oei oei oei, hoogmoed komt voor de val

@Grrrrrene: Het was geenszins mijn bedoeling om "makkelijk te schieten". Ik vond alleen de implicatie in je post dat "niet doorsnee gebruikers" blijkbaar niet gevoelig zijn voor phising nogal grappig. Vandaar ook de smiley. En daarmee bedoel ik uiteraard niet dat jij zo "dom" bent om er wel in te trappen.

[Reactie gewijzigd door Tjoekie op 5 november 2012 10:40]

WhiteDog
@[Remmes] • 5 november 2012 08:46

Het is niet omdat je APK's kan downloaden dat ze ook meteen geïnstalleerd worden hoor.

Enkel mensen die op zoek zijn naar gratis apps en games zullen APK's niet via de Play Store installeren. Dat is bij iOS net hetzelfde, alleen moet je daar eerst even je toestel jailbreaken (wat nu ook niet echt geweldig moeilijk is).

Ik zou dus durven stellen dat de kans om besmet te worden op Android en iOS ongeveer even groot (of klein) is. De doelgroep is in ieder geval dezelfde.

_{Disclaimer: niet gecertifieerde toestellen / development / knutselprojecten buiten beschouwing gelaten.}

[Remmes]
@WhiteDog • 5 november 2012 09:03

en mensen die geen Creditcard hebben, die typen in google de naam van de app in met daarachter ".apk" en die klikken de eerste beste link aan en zetten het bestandje op hun telefoon, nog eventjes makkelijk die instelling uitzetten en klaar is kees

ik wil niet zeggen dat elke gebruiker dit doet hoor, maar ik ken in mijn omgeving toch zeker wel een aantal van deze personen

Jailbreaken ja, maar zover ik weet is dat met iOS 6 nog niet werkend, en is Cydia toch wel iets beter te vertrouwen dan een random site die APK's heeft (nee ik probeer de fout van Apple niet goed te praten, elke OS heeft gewoon bugs/fouten)

[Reactie gewijzigd door [Remmes] op 5 november 2012 09:04]

blouweKip
@[Remmes] • 5 november 2012 13:44

Voor de mensen waarvoor dit een risico is maakt dat weinig verschil, die gaan echt geen vage externe market gebruiken of zelf apk's installeren omdat ze dat simpelweg niet kunnen.

Persoonlijk vind ik deze kwetsbaarheid niet eens het grootste probleem, ik ben meer benieuwd waarom een app zonder permissies een dergelijke handeling kan uitvoeren.

+1 TheBigB86
@watercoolertje • 5 november 2012 09:02

[...]
En zo hoort het! Erg netjes!

Dat weerhoudt anderen er niet van het zelf uit te vinden.

https://github.com/thomascannon/android-sms-spoof

[Reactie gewijzigd door TheBigB86 op 5 november 2012 09:03]

Auteur +1

Joost
@watercoolertje • 5 november 2012 08:25

Normaal als er overeenkomsten zijn tussen Android en iOS wil tweakers dat maar al te graag laten horen, maar blijkbaar enkel als het positief is voor Apple?

Een beetje een rare, ongefundeerde beschuldiging. Bovendien gaat het om een heel ander soort lek. Desondanks zal ik het voor de volledigheid toevoegen.

0 Boy

@Joost • 5 november 2012 08:26

Aangezien het aantal +2 blijft groeien bij de post, lijken meerdere tweakers het er toch mee eens te zijn

CodeCaster
@Boy • 5 november 2012 08:51

Lijken een hoop mensen het modsysteem nog steeds niet te begrijpen, bedoel je? Beginnen met een flame = -1.

0 Typecast-L
@Boy • 5 november 2012 09:42

Een beetje een rare, ongefundeerde beschuldiging. Bovendien gaat het om een heel ander soort lek. Desondanks zal ik het voor de volledigheid toevoegen.

Watercoolertje is de grootste Apple fan van tweakers, hij heeft het er altijd over.
Zelfs wanneer het niet geralateerd aan het artikel is.

Auteur +1

Joost
@Boy • 5 november 2012 08:28

Aangezien het aantal +2 blijft groeien bij de post, lijken meerdere tweakers het er toch mee eens te zijn

Als veel mensen iets vinden zal het wel waar zijn? Dan was de aarde ooit plat

0 Crovmon
@Joost • 5 november 2012 11:51

Je gebruikt het natuurlijk niet als daadwerkelijk voorbeeld, maar als tot de verbeelding sprekende illustratie van foutieve logica, maar men heeft (iig sinds de Oudheid) nooit gedacht dat de aarde plat was. Dit is een historische fabel die n.a.v. het afzetten tegen de vermaledijde Middeleeuwen in de Renaissance is ontstaan. (Op basis van een paar kerkelijken die idd een platte aarde hadden geclaimd, maar op dat punt in hun eigen tijd (ook door de kerk) niet serieus werden genomen.)

Overigens is het wel een ander soort lek, maar thematisch (SMS-phishing) gerelateerd, zo dunkt mij.

Mee eens dat het netjes is dat de details van het lek niet 'gelekt' worden, al vraag ik me af of de aankondiging van het principe alleen al niet voldoende richtingaanwijzing is voor kwaadwillenden om zelf te ontdekken hoe het moet. Blijft altijd een lastige afweging, transparantie tegen de context van security.

0 Boy

@Joost • 5 november 2012 08:30

Ik zei niet dat het waar was, maar dat veel tweakers de mening delen

Ach, ben er wel mee eens dat m'n toevoeging beetje zinloos was en dat dit te ver off topic gaat...

maar we zijn mensen en hebben altijd wat te zeiken...vooral NL'ers

apart van dat: netjes dat je het zo snel aanpast! Dat is een +1 voor Tweakers: korte lijnen met de artikelschrijver vanuit de gebruikers

[Reactie gewijzigd door Boy op 5 november 2012 08:31]

watercoolertje

Smartphones
Google
Google Android

@Jos3 • 5 november 2012 09:39

Je bericht bewijst anders zijn punt toch wel een beetje (heel erg)

Als je al weet dat ie generaliseert dan hoef je je dus duidelijk NIET aangesproken te voelen...

0 bbob1970

Google

@brabbelaar • 5 november 2012 10:11

leuk verhaal, maar ja de ene geloofd in God de ander in Allah en weer een ander in de iets anders, wie van deze is nu echt, welke niet, allemaal of allemaal niet. ;-)

Maar terugkomen op android, Google heeft altijd veel commentaar op MS gehad betreft lekken en fouten in de software. Ondertussen mag het ook duidelijk zijn dat google een hele grote mond heeft en zelf ook dit soort problemen heeft.

Wat ik echter niet lees in een nieuwe versie zal het opgelost zijn maar patches voor bestaande versies daar lees ik helemaal niet van. Dat is dus een slechte zaak, ook oudere versies moet je ondersteunen. Wat dit mij laat zien is dat google gewoon een boel problemen heeft.

0 egnappahz
@watercoolertje • 5 november 2012 14:11

hahaha.

Wat een rake opmerking. Android heeft inderdaad meer last van malware, zoveel is duidelijk. Maar het is ook nieuwswaardig dat iOS nu ook kwetsbaar loopt. Moest ik dit artikel zonder deze rake comment gelezen hebben was ik helemaal niet op de hoogte dat het bij iOS het geval was.

En was ik slachtoffer geworden van een subjectief of onvolledig artikel.

In beide gevallen: Nie goe bezeg eh kameroad.

Edit: Typo's

[Reactie gewijzigd door egnappahz op 5 november 2012 14:12]

0 Chris.nl

Google Android

@olivierh • 5 november 2012 10:57

Ik ben het met je eens dat het waarschijnlijk geen technologisch hoogstandje is, maar ze hebben die mogelijkheid wel mooi benut.

Nieuwswaarde lijkt mij vooral dat SMS minder betrouwbaar is dan men denkt.
De mensch die ooit in email-phishing is gestonken, mag best horen dat SMS ook kwetsbaar is.

blouweKip
@braatwurst • 5 november 2012 13:47

Aan de andere kant, het potentiele gevaar is dermate klein dat de impact laag is..

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Kwetsbaarheid Android laat apps sms'jes spoofen

Lees meer

Reacties (51)

Sorteer op:

Weergave: