Beveiligers omzeilen cryptografische handtekening Android-apps

Een lek in de beveiliging van Android maakt het mogelijk maken om code in een app aan te passen, zonder dat de cryptografische handtekening wijzigt. De kwetsbaarheid werkt op bijna alle Androids, maar het risico lijkt beperkt.

Evil Android Het beveiligingslek werd gevonden door Bluebox, een startup die zich specialiseert in de beveiliging van mobiele apparaten. Bluebox paste code aan .apk-bestanden, zonder dat de cryptografische handtekening van de app veranderde. Daardoor lijkt het alsof de geïnfecteerde app niet gewijzigd is. De beveiligingsfout is sinds Android 1.6 aanwezig en volgens de hackers van toepassing op 99 procent van alle Android-apparaten.

Het grootste risico schuilt er volgens Bluebox in dat er ook apps geïnfecteerd kunnen worden die door de fabrikant van de telefoon geïnstalleerd zijn. Deze apps hebben meestal speciale machtigingen, waardoor het injecteren van eigen code in deze apps ervoor kan zorgen dat er volledige controle over het apparaat verkregen wordt. Opgeslagen data zoals smsjes, e-mail en documenten zouden uitgelezen kunnen worden, maar er is dan ook toegang tot wachtwoorden en de telefoon-functionaliteit.

Het risico van de bug lijkt evenwel klein. Gebruikers moeten de geïnfecteerde app echter wel zelf downloaden. Android-gebruikers die officiële apps uit de Play-store halen zullen daarom niet snel met het gat in de Android-beveiliging geconfronteerd worden. Downloads van apps van websites of alternatieve downloadwinkels kunnen echter wel risicovol zijn, maar op Android-telefoons kunnen die alleen geïnstalleerd worden als de gebruiker zelf aangeeft apps buiten de Play Store om te willen installeren.

De bug is door Bluebox in februari aan Google gemeld en volgens Engadget is de recentelijk uitgebrachte Samsung Galaxy S4 al immuun gemaakt voor de fout in de Android-beveiliging. Tijdens de hackersconferentie Black Hat, die eind juli plaatsvindt, zal Bluebox uit de doeken doen hoe de beveiliging precies omzeild kan worden; de details van het lek zijn op dit moment onbekend.

Reacties (69)

hgoor 4 juli 2013 14:36

De kop en het artikel zijn enigszins een understatement volgens mij

Ik begrijp van Bluebox zelf: http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/ dat dit 99% van alle android toestellen sinds 1.6 ?

UNCOVERING ANDROID MASTER KEY THAT MAKES 99% OF DEVICES VULNERABLE

Ook de opmerking:

Het risico van de bug lijkt evenwel klein. Gebruikers moeten de geïnfecteerde app echter wel zelf downloaden. Android-gebruikers die officiële apps uit de Play-store halen zullen daarom niet snel met het gat in de Android-beveiliging geconfronteerd worden.

Lijkt me een flinke downplay van het probleem als ik Blue-box moet geloven:

(...)allows a hacker to modify APK code without breaking an application’s cryptographic signature, to turn any legitimate application into a malicious Trojan, completely unnoticed by the app store, the phone, or the end user. (...)

Lijkt me dus dat je gewoon (ongedetecteerd) apps in de Playstore (niet appstore) kan zetten die wel degelijk kwaadwillende dingen doen?

Om nog maar te zwijgen wat er kan gebeuren als een hacker er in slaagt om een officiële app binnen de Playstore te vervangen door een eigen app, b.v. Gmail app ofzo: dan zijn de poppen echt aan het dansen?

Verwijderd @hgoor • 4 juli 2013 15:34

Het is natuurlijk de mening van de poster, maar ik geef hem wel gelijk.
Dit is alleen gevaarlijk voor de mensen die handmatig .APK's installeren. Op mijn telefoontje staat het benodigde vinkje standaard uit.

blouweKip @hgoor • 4 juli 2013 18:39

Lijkt me dus dat je gewoon (ongedetecteerd) apps in de Playstore (niet appstore) kan zetten die wel degelijk kwaadwillende dingen doen?

Ik denk dat het een hele opgave zal zijn om een app ongedetecteerd in de google play store te krijgen waar dergelijke code inzit met uitgebreide rechten, als je dat kan doen zijn er genoeg andere aanvalsvectoren die je kunt gebruiken.

Eigenlijk alleen een mitm attack lijkt me mogelijk, maar dat is niet direct zo eenvoudig.

[Reactie gewijzigd door blouweKip op 24 juli 2024 23:50]

Luke_msx 4 juli 2013 09:34

Ik vind dat er wel erg gemakkelijk beweerd wordt dat dit maar een beperkt risico is.

Want volgens mij betekent dit dat kwaadwillenden ook apps in de Play Store kunnen gaan zetten die heimelijk de standaard beveiling van de toegang tot data omzeilt. Een app kan alleen toegang tot onschuldige gegevens vragen en dat melden, maar intussen stiekem álle gegevens van de gebruiker benaderen.
Dat gecombineerd met het feit dat vrijwel alle versies kwetsbaar zijn, én de zeer beperkte mate waarin de meeste Android telefoons worden geupdatet, ik vind dit om eerlijk te zijn wél een zeer ernstig lek.

watercoolertje

Google
Google Android
Mobiele besturingssystemen

@Luke_msx • 4 juli 2013 10:01

Want volgens mij betekent dit dat kwaadwillenden ook apps in de Play Store kunnen gaan zetten die heimelijk de standaard beveiling van de toegang tot data omzeilt.

Nee dat heb je fout, alle te gebruiken rechten moeten nog steeds gevraagd worden aan de gebruiker, dat heeft niks met het certificaat te maken. Het certificaat is enkel om de echtheid te garanderen, net zoals bij websites zo is...

Dat gecombineerd met het feit dat vrijwel alle versies kwetsbaar zijn, én de zeer beperkte mate waarin de meeste Android telefoons worden geupdatet, ik vind dit om eerlijk te zijn wél een zeer ernstig lek.

De telefoons hoeven ook geen update in de zin van een nieuwe Android versie, Google kan gewoon hun Play Service updaten, wat los staat van de Android versie...

Dus nee ik vind dat jij er wel erg makkelijk meer van maakt dan het is

Neemt niet weg dat het wel een probleem is waar Google zeker wat aan moet doen uiteraard...

Luke_msx @watercoolertje • 4 juli 2013 10:08

Is dat zo?

Volgens mij maakt dit lek het in ieder geval mogelijk om apps die alle rechten al hebben, via een 'update' te besmetten met malware. Het is toch niet zo dat een app die vanuit de store geupdatet wordt, elke keer opnieuw om de toegang tot die gegevens vraagt?

Je zou dus een app kunnen bouwen die zich voordoet als een spel of wat dan ook, maar dan heimelijk Play Store updates gaat onderscheppen en injecteren met malware, en het OS én de gebruiker merken daar niets van...

blouweKip @Luke_msx • 4 juli 2013 18:32

Dan nog, de gebruiker moet daarvoor eerst jou app buiten de playstore downloaden, redelijk wat rechten toekennen voordat een dergelijk app de mogelijkheid heeft om een dergelijke bug te misbruiken.

Pim_t @Luke_msx • 4 juli 2013 09:52

Kwaadwillenden die het via de Google Play Store doen hebben de truuk niet nodig. Als het je lukt om een foute app in de Play Store te krijgen dan hoef je niets te omzeilen.

Luke_msx @Pim_t • 4 juli 2013 09:57

Ik weet niet precies hóe dat bij de Play Store werkt, maar is het niet zo dat een eenmaal door Google 'gesigneerde' app hiermee dus na het signeren te wijzigen is?

Manu_ @Luke_msx • 4 juli 2013 10:03

Apps worden niet door Google gesigned, maar door de developer (klik).

Een app wordt alleen geupdate als de update met dezelfde key gesigned is als de geinstalleerde versie. Door deze aanval lijkt het zo te zijn dat mensen dus nep updates maken die bij alle data van de app kunnen en alle permissies kunnen gebruiken.

@jalumsx: Dit is zeker een ernstig lek, dat probeer ik helemaal niet te ontkennen! luckyjan geeft ergens hieronder een prachtig voorbeeld van hoe het mis kan gaan.

[Reactie gewijzigd door Manu_ op 24 juli 2024 23:50]

Luke_msx @Manu_ • 4 juli 2013 10:22

Dus het opent de deur voor apps die zich nestelen tussen het proces van het downloaden van updates en het installeren ervan.

Er wordt een geldige update gedownload, een (desnoods via de Play Store verspreidde) geinfecteerde app onderschept de download, wijzigt de inhoud (infecteert met willekeurige malware) en het OS ziet een geldige sleutel en installeert de besmette update gewoon.

Dit is toch een ernstig lek, met een substantieel risico?

blouweKip @Luke_msx • 4 juli 2013 18:28

Dan nog, om een app op iemands telefoon te krijgen die deze bug kan misbruiken is niet eenvoudig, als je iemand iets dergelijks kan laten installeren dan ben je immers al binnen: dan heb je een bug als dit niet meer nodig.

Luke_msx @Manu_ • 4 juli 2013 10:45

@Manu_:

Dat is dus precies wat ik bedoelde inderdaad, ik denk dat we het eens zijn.

Ik vind dat het t.net artikel de ernst van deze kwetsbaarheid nogal bagatelliseert.

watercoolertje

Google
Google Android
Mobiele besturingssystemen

@Luke_msx • 4 juli 2013 10:02

Nee het certificaat zorgt/waarborgt (normaal) dat alleen de rechtmatige eigenaar een nieuwe versie kan uploaden. Dat is eigenlijk de enige reden voor het certificaat, het staat compleet los van het rechtensysteem...

luckyjan 4 juli 2013 10:17

Ik gebruik de app LBE security master
http://forum.xda-developers.com/showthread.php?t=1422479
Daarmee kan je per app instellen wat ie wel en niet kan.
Bijv. een of andere weer app die mijn contacten, imei nummer enz wil lezen kan ik dan beperken tot alleen internet verbinding.
Verder zit er een ad ware en virusscanner in (geen idee hoe effectief die is).
Zo heb ik bijna iedere app die ik gebruik op functionele rechten ingesteld. Mocht ik dus een "foute" app binnenkrijgen is het risico toch beperkt.
Nadeel is wel dat je telefoon geroot moet zijn om alle functionaliteit van LBE te gebruiken.

Manu_ @luckyjan • 4 juli 2013 10:29

Haha, prachtig voorbeeld.

Jij download APKs van een site (zonder TLS). Elke nieuwe versie móet wel van de echte developer zijn, dat garandeerd die signature toch? Nu doet een aanvaller een MITM aanval en geeft jou een app met aangepaste code maar dezelfde signature. Jij installeert vrolijk deze app, en nu heeft de aanvaller root access op je telefoon.

luckyjan @Manu_ • 4 juli 2013 12:47

De echte developer kent alleen Chinees

Je moet natuurlijk wel zelf kijken of het enigsinds betrouwbaar is en in dit geval vertrouw in de vertaler meer dan menig app in de playstore

redah 4 juli 2013 09:22

En toch vind ik (als fervent Android gebruiker) het jammer dat er geen mogelijkheid is voor Google om bepaalde bestanden, zoals een framework.apk o.i.d., te patchen via een OTA zodat dit soort dingen voor iedere Android telefoon die er maar is, gefixed worden. (a la Windows update). Dit soort dingen rechtvaardigt wel een 'Je telefoon moet even opnieuw opstarten' melding dunkt me...

En als die mogelijkheid wel bestaat... Is het zonde dat die niet gebruikt wordt.

EGM360 @redah • 4 juli 2013 09:27

Ik heb heel erg het gevoel dat een gemiddelde gebruiker, zeker als deze stamt uit het Win 95 tijdperk, het 'even opnieuw opstarten' het liefst zo lang mogelijk uit stelt. Het lijkt mij beter om de telefoon na de update zichzelf gewoon te laten rebooten. Anders wacht je tot er 135 updates klaar staan.

FreshMaker @EGM360 • 4 juli 2013 10:15

Ik heb heel erg het gevoel dat een gemiddelde gebruiker, zeker als deze stamt uit het Win 95 tijdperk, het 'even opnieuw opstarten' het liefst zo lang mogelijk uit stelt. Het lijkt mij beter om de telefoon na de update zichzelf gewoon te laten rebooten. Anders wacht je tot er 135 updates klaar staan.

Mijn idee,
Sterker, het hele "uptime" verhaal heb ik nooit begrepen.
bij 24/24 kritieke service misschien, maar in 'thuis' situaties, ik kom soms verhalen tegen MET screenshots, over de trots dat hun modem / mailserver / telefoon al 100'en dagen niet meer is ge-reboot.

alsof het een prestatie op zich is.

Hier gaat alles regelmatig gewoon offline, dagelijks, zo niet één keer per week.
Zelfde reden ..... "omdat het kan !"

Mijn telefoon herstart ik gewoon, soms elke dag, soms om de paar dagen.

Mijzelf @FreshMaker • 4 juli 2013 13:16

[...]

ik kom soms verhalen tegen MET screenshots, over de trots dat hun modem / mailserver / telefoon al 100'en dagen niet meer is ge-reboot.

alsof het een prestatie op zich is.

Als een systeem regelmatig gereboot móét worden bij normaal bedrijf, is het niet stabiel. Nou kun je zeggen dat dat geen bezwaar is als het een week ofzo up kan zijn, aangezien je het toch iedere dag reboot, maar niet stabiel blijft niet stabiel. Als hij na een week problemen krijgt bij normaal bedrijf, wie zegt dan hoelang hij het uithoud onder zware load?

[Yellow] @FreshMaker • 4 juli 2013 23:44

Heel vreemde redenatie.
Ik weet niet hoor, maar Linux of MacOs hoef ik maar zelden opnieuw op te starten.
En nee, dat is niet omdat ik het uitstel.
Maar gewoon, omdat het niet nodig is.

Verwijderd @redah • 4 juli 2013 09:25

Zoiets man Google wel, maar dat gaat via de Google Play Store services.

redah @Verwijderd • 4 juli 2013 09:39

Nou... Ik heb Google Play Store nog nooit dingen zoals een framework.apk of core.jar of services.jar zien updaten (in de /system/framework/ map). Wel een paar .so's die in de Google Apps zitten, maar het Android systeem staat los van Google Play Framework. Er zijn zat Android devices zonder Google Apps package, en die hebben dat dus allemaal niet.

Iedere Android kan in principe wel van een OTA-update functie gebruik maken, en daarmee zouden essentiele systeembestanden moeten worden aangepast. Maar dat gebeurt dus niet...

Verwijderd @redah • 4 juli 2013 11:26

Momenteel is dat waar Google mee bezig is. Alle systeem apps apart als APK's inpakken zodat zij zelf kunnen updaten en niet meer onafhankelijk zijn van third parties.

Een goed voorbeeld daarvan is het Android keyboard wat binnenkort als APK beschikbaar is.

johnkeates @redah • 4 juli 2013 12:28

Dat mag niet, rechten en regels enzo. Daarnaast is alles altijd heel open, ad-hoc, gedecentraliseerd en hackbaar, wat het hele OTA verhaal erg lastig maakt. En zelfs als het al zou lukken om dat de eerste set problemen te overkomen zonder dat het een bak geld kost die je nooit van je leven terugkrijgt, dan zit je nog met die gigantische versplintering.

[Yellow] @redah • 4 juli 2013 23:48

Android loopt hier tegen het probleem aan dat elke fabrikant zijn systeem 'custom' maakt. Niet alleen wat betreft drivers, maar ook allerlei vaak diep geintegreerde eigen apps.

Je moet dus niet tegen Google klagen maar tegen de mobieltjes fabrikant. Het is toch godsgeklaagd dat bijv. een Samsung Ace nog steeds met Android 2.xx rond moet lopen?

Sahri @redah • 5 juli 2013 09:34

Ik kan wel een reden bedenken waarom ze dat niet updaten/patchen. Elke klant met een 'risicotoestel' kun je weer een nieuw toestel verkopen

Iets wat ik toch best wel een beetje schandalig vind. Beveiligingslekken die een groot risico vormen behoren gepatched te worden, ongeacht de versie van Android die op dat toestel draait. Je betaalt vaak meer voor een Android smartphone dan voor een licensie op Windows en dan is het nog maar de vraag of de Android die daarop draait ooit wel een update krijgt.

Scale @redah • 4 juli 2013 10:30

Het probleem is dat framework.apk en de services.jar per bedrijf anders is. Bijvoorbeeld heeft samsung heeft in de nieuwere galaxy toetselen hierin de multi window dingen verwerkt.

Dus zou google alle versies moet hebben liggen en meerdere malen moeten aanpassen.

Verwijderd @Scale • 4 juli 2013 11:28

Ze kunnen toch ook een API maken waaraan alle aparte skins en versies van Android moeten gaan voldoen zodat deze bij een update niet breken?

braatwurst @redah • 4 juli 2013 09:28

En daarom zal de overgrote meerderheid van Android apparaten ws nooit een update voor dit lek krijgen.

Verwijderd @redah • 4 juli 2013 20:13

Het ergste is dat Tweakers dit minimaliseert als zijne "beperkt risico". Terwijl ondertussen wel duidelijk is dat een heel groot deel van de Android gebruikers nooit een patch zullen ontvangen.

djiwie @Verwijderd • 4 juli 2013 22:00

Het risico is beperkt omdat de meeste gebruikers apps alleen uit officiële kanalen zullen installeren. Als je alleen apps uit de Play Store haalt hoef je je niet echt veel zorgen te maken, daarom is het risico als 'beperkt' geclassificeerd.

CivLord

@Verwijderd • 4 juli 2013 11:40

Is iOS beter dan? Elke nieuwe versie wordt ook door gebruikmaking van weer een nieuw beveiligingslek gejailbreakt.

Met deze kwetsbaarheid van Android krijg je alleen maar te maken wanneer je je apps uit onbetrouwbare bron haalt. Ook de apps die je met een gejailbreakte iPhone uit Cydia haalt zijn potentieel onveilig.

Wanneer Google Android net goed genoeg zou maken om de advertentie-inkomsten binnen te halen, zou het niet goed genoeg zijn om veel gebruikers vast te houden. Een groot veiligheidslek is voor Google net zo funest als voor elk ander bedrijf.

Je doet hier alsof Google de enige is die gegevens gebruikt die het via het gebruik van telefoons binnenkrijgt. Apple en Microsoft verzamelen net zo veel gegevens over het gebruik van hun telefoons en proberen er op dezelfde manier geld mee te verdienen.

Verwijderd @CivLord • 4 juli 2013 23:38

Verschil is wel dat je bij iOS je toestel moet jailbreaken om er een onveilig toestel van te maken. Bij Android koop je gewoon een onveilig toestel.

En wat gegevens verzamelen betreft is het wel de core business. De core business van Apple is hardware verkopen. Gegevens verzamelen is voor Apple dan ook totaal niet belangrijk.

Maar ja het is Android en dan kijkt men alles door de vingers natuurlijk. En wijst men direct alle kritiek op het platform van de tafel door nonsens en het gospel van Google te preken.

CivLord

@Verwijderd • 5 juli 2013 09:21

Mijn eerste punt is dat iOS ook onveilig is. Door de beveiligingslekken is het mogelijk een iPhone te jailbreaken. Een beveiligingslek dat het mogelijk maakt om vanaf een website je iPhone te jailbraeken kan door een ander website misbruikt worden om andere ongein op de iPhone uit te halen.

Mijn tweede punt is dat het beveiligingsprobleem in Android alleen speelt wanneer je apps buiten de Google Play Store of een andere officiële app-store om installeert. De meeste mensen komen hier dus nooit mee in aanraking. Alleen wanneer je bewust apps uit niet-officiële bronnen haalt is misbruik van dit beveiligingsprobleem mogelijk, net als wanneer je dat met een gejailbreakte iPhone doet. Jailbreaken is dan welliswaar iets ingrijpender dan een vinkje zetten in het instellingenmenu dat het voor Android-toestellen mogelijk maakt om apps buiten de Google Play Store om te installeren, maar het gaat te ver om daarmee de iPhone veilig en Android onveilig te noemen.

Verder zal ik nooit het gospel van Google preken. Ik vind hun verzameldrang erg verontrustend. Maar de verzameldrang van Apple en Microsoft is minstens net zo erg, dat het niet hun core-business is verandert daar niets aan. Doordat het niet hun core-business is kunnen zij zich zelfs grotere ‘missers’ veroorloven. Wanneer zij de ‘fout’ in gaan, kunnen zij zich verontschuldigen door te zeggen dat de fout er doorgeslopen was omdat er wat onduidelijkheid was over de regels, omdat het niet hun core-business is.
Google moet veiliger opereren juist omdat het hun core-business is. Juist zij moeten weten waarmee ze bezig zijn. Zij moeten ook dieper door het stof wanneer ze de fout in gaan, waar anderen kunnen volstaan met: “Sorry, volgende keer beter.”

Het beste wat je kunt doen is je diensten spreiden. B.v. Een Android telefoon met Google Play Store, maar de rest van de diensten van Google (incl. gMail) links laten liggen en Firefox op je PC met Bing ingesteld als zoekmachine en iTunes als muziekdienst. Dan heeft niemand een compleet profiel van je; Google niet, maar ook Apple en Microsoft niet.

HerrPino @Verwijderd • 4 juli 2013 10:13

Kom op, Chrome rendert HTML5 en CSS3 redelijk goed, dus en Google Search levert de beste resultaten (zegt niets over hoe de code-base in elkaar zit) ... kortom Android moet wel helemaal perfect zijn. Ja ik weet het, het zijn totaal ongerelateerde zaken ... maar zo wordt wel net even te vaak naar Google en hun producten gekeken.

Antrax 4 juli 2013 09:22

Je zou bijna denken dat de handtekening bijvoorbeeld de md5 of een andere soort hash op alle bestanden binnen een .apk-bestand zou checken, of gebeurt dit al?

Fawn @Antrax • 4 juli 2013 09:25

Volgens mij zou je met md5 nog een collision kunnen veroorzaken waardoor andere code exact dezelfde hash oplevert. Misschien is SHA-1 wel een optie?

]Byte[ @Fawn • 4 juli 2013 10:54

MD5-collision.... Theoretisch... JA het is mogelijk.
Maar SHA-1???? Dat is nog vele malen erger dan MD5.
Gebruik dan SHA-256 of 512

Fawn @]Byte[ • 4 juli 2013 11:46

Dit is werkelijk totaal onbekend voor mij.
Volgens mij wordt SHA-1 superieur geacht aan MD5.
Heb je bronnen die het tegendeel onderbouwen?

Verwijderd @Fawn • 4 juli 2013 11:53

http://www.schneier.com/b...5/02/cryptanalysis_o.html
Earlier this week, three Chinese cryptographers showed that SHA-1 is not collision-free. That is, they developed an algorithm for finding collisions faster than brute force.

Verwijderd @]Byte[ • 4 juli 2013 11:16

MD5 hash aanpassen zonder detectie?

2^127 mogelijkheden en dus héél lang zoeken

http://www.mscs.dal.ca/~selinger/md5collision/
paar uurtjes dus

[Reactie gewijzigd door Verwijderd op 24 juli 2024 23:50]

Korben @Antrax • 4 juli 2013 09:31

Dat gebeurt in principe wel, en dat is waarschijnlijk ook hoe de .apk's worden geverifieerd; er wordt een hash getrokken van de inhoud van de .apk, en die wordt ondertekend met een privésleutel, waarna Android met het publieke deel van die sleutel diezelfde hash kan verifiëren.

Waarschijnlijk zit er een fout in de code die die hash berekent waardoor stukken van .apk's kunnen worden uitgesloten van het berekenen van die hash. Er is verder nog niet bekend hoe de vulnerability technisch in elkaar steekt.

cyberstalker 4 juli 2013 09:47

Wat ik mij afvraag is of de Play Store pakketten standaard via SSL binnenhengelt. Als dat zo is ben ik het met de schrijver van het artikel eens dat het risico minimaal is, aangezien je op die manier heel lastig geïnfecteerd kan worden zonder zelf pakketten te downloaden en te installeren.

Als de Play Store geen SSL gebruikt wordt het makkelijk om een ander pakket door te sturen. Bijvoorbeeld door een open WIFI op te zetten die een bepaalde applicatie gewijzigd doorstuurt.

Manu_ @cyberstalker • 4 juli 2013 09:53

Een boel Sommige mensen installeren APKs handmatig. Als er bijvoorbeeld een nieuwe play store versie is, dan duurt het vaak erg lang totdat je die update krijgt. Sites als AndroidPolice uploaden die APKs dan, en die kon je 'veilig' installeren omdat ze toch gesigned waren.

Verder komt dit een beetje over als onzin: "Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed" (bluebox). Een telefoonfabrikant kan toch sowieso allerlei system apps installeren op je telefoon, daar is deze aanval toch niet voor nodig?

Edit: Jullie hebben gelijk, ik las het iets te letterlijk: met 'trojan application from the manufacturer' bedoelen ze natuurlijk iets dat zich voordoet als van de fabrikant.

[Reactie gewijzigd door Manu_ op 24 juli 2024 23:50]

thedicemaster @Manu_ • 4 juli 2013 10:07

het gaat er om dat een kwaadwillende nu een update voor een systeem applicatie kan uit brengen zoals een aangepaste touchwiz apk, die gewoon herkend wordt als een Samsung app maar wel even gegevens naar een derde partij verstuurd.
normaal zou alleen de fabrikant of Google een apk kunnen maken die een systeem applicatie vervangt, maar nu kan iedereen die de fout kent dit doen.

Luke_msx @Manu_ • 4 juli 2013 10:10

Een Trojan kan zich dus voordoen als een door de fabrikant ondertekende update of app...

Korben @Manu_ • 4 juli 2013 10:28

'Een boel'? Ik denk dat het aandeel mensen dat zelf APK's installeert vrij minimaal is, gekeken naar het totale aantal Android-gebruikers. Het percentage mensen wat überhaupt weet wat een APK is, zal al zeer minimaal zijn.

En ik denk dat ze het hebben over een gecompromitteerde APK die zich voordoet als een applicatie van een telefoonfabrikant.

Mavamaarten 4 juli 2013 10:39

Er wordt natuurlijk wel gezegd dat het gevaarlijk is omdat systeem-apps aangepast kunnen worden, maar je hebt uiteraard root-toegang nodig om die systeem-apps te vervangen. Het risico is dus niet gewoon klein, maar heel klein. Men wil gewoon de mensen bang maken voor dingen die eigenlijk niet heel belangrijk zijn.

Manu_ @Mavamaarten • 4 juli 2013 10:43

Is de gmail app een systeem app bij jou? (hint: ja dat is die). Kun je die updaten zonder root? (hint: ja dat kun je). There's your answer.

Luke_msx @Manu_ • 4 juli 2013 11:04

Dat gecombineerd met het feit dat heel veel nog niet eens zo oude android telefoons hiervoor nooit een update zullen krijgen...

Je kunt erop wachten dat dit lek actief misbruikt gaat worden.

Mative 4 juli 2013 10:01

Jammer dat Google niet de verantwoordelijkheid neemt om smartphones, die buitenGoogle Play apps geinstalleerd hebben, te beschermen. Blijkbaar kun je ze immuun maken, alhoewel ik niet weet hoe gemakkelijk dit gedaan kan worden.

Google kan het risico misschien als extra 'motivatie' zien voor gebruikers om binnen het eco-systeem te blijven. Het kan natuurlijk ook dat het simpelweg te moeilijk/onmogelijk is om het probleem via een update op te lossen.

Iemand een idee?

@Korben
Ah, verkeerd gelezen. Bedankt voor je reactie!
Betrap ik me toch op een vooroordeel tegenover Google

Gelukkig heb ik een andere ROM draaien
die beter update dan de fabrikant.

[Reactie gewijzigd door Mative op 24 juli 2024 23:50]

Korben @Mative • 4 juli 2013 10:30

Het probleem gaat worden opgelost met een update. Het zal alleen waarschijnlijk een systeem-update worden, en Google heeft, met uitzondering van de Google Nexus-telefoons, geen invloed op wanneer een fabrikant zijn telefoons updatet.

Google neemt wel degelijk de verantwoordelijkheid om gebruikers te beschermen, voor zover mogelijk. Het probleem is alleen dat ze een fout hebben geïntroduceerd in het valideren van applicaties. Het is niet dat ze het niet willen.

biglia 4 juli 2013 09:44

Het is toch niet ondenkbaar dat geïnfecteerde apps ook in de store komen, of vergis ik me? Dit moet zo snel mogelijk opgelost worden, maar dat zal wel niet gebeuren.

Magnetic_Man 4 juli 2013 09:48

Mensen vergeten wat voor mogelijkheden dit biedt voor man-in-the-middle aanvallen, wanneer Android niet doorheeft dat de appliecatie die je download niet de applicatie is die hij zou moeten zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: