Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Een 17-jarige ontwikkelaar heeft malware geschreven voor Firefox OS waarmee op afstand persoonlijke gegevens zijn te stelen. De maker zal de malware demonstreren tijdens een beveiligingsbijeenkomst in India.

Dat meldt The Hacker News, die stelt dat de 17-jarige ontwikkelaar Shantanu Gawde de malware geschreven heeft in html, css en javascript. Het zou de eerste keer zijn dat er malware voor het mobiele besturingssysteem van Mozilla naar buiten komt.

De malware is geschreven in de vorm van een webapplicatie, die kwaadwillenden in staat stelt om persoonlijke gegevens van de smartphone te stelen. Daarnaast is het ook mogelijk om op afstand bestanden op het toestel te plaatsen. Ook kan de locatie van de gebruiker worden gevolgd.

Gawde gaat op een beveiligingscongres in India zijn malware uit de doeken doen, waarna meer duidelijk moet worden over welke exploit hij heeft ontdekt. Dat doet hij om de ontwikkelaars achter Firefox OS te stimuleren om de beveiliging van het mobiele besturingssysteem te verbeteren, zo stelde Gawde tegenover The Hacker News.

Onduidelijk is voor welke versie van Firefox OS de malware werkt. Onlangs bracht Mozilla versie 1.1 van het mobiele besturingssysteem uit, waarbij nog niet bekend is of deze versie vatbaar is voor de door Gawde ontdekte exploit.

Moderatie-faq Wijzig weergave

Reacties (34)

Interessante kommentaren. Ook de vergelijkingen jong en oud en daarmee gepaardgaande programmerings skills. Wil toch echter een kanttekening plaatsen vooral naar het vakgebied. Het is toch op zijn minst vreemd om te moeten constateren dat de ontwikkelingen in het programmeren zelf en het automatiseren daarvan zo ongelooflijk traag verlopen tot op heden. Vergeleken met andere vakgebieden zoals Werktuigbouw en Elektrotechniek waar een gemiddelde MTS-er tegenwoordig zijn design werk op academisch niveau kan uitvoeren met dank aan ver doorgevoerde automatisering, is het toch wrang om te moeten constateren dat het programmeren van vandaag nog steeds bestaat uit grofweg 90% veredeld typewerk en slechts 10% creativiteit. Terwijl dit juist omgekeerd zou moeten zijn. Misschien is het voor een deel een stuk zelfbescherming van een vakgroep en moeten we wachten op een artificial intelligence waarin de software zichzelf verbeterd en ontwikkeld.
Vrij grote exploit blijkbaar, helemaal apart dat het een 17 jarige is die het heeft ontwikkelt?
Afhankelijk van hoe Mozilla dit oppakt kunnen ze veel terrein winnen door te laten zien dat ze beveiliging goed oplossen met een snelle update.

[Reactie gewijzigd door RGAT op 18 oktober 2013 19:11]

Niet echt hij is een kleine slimme kerel hij is ook de jongste die een Microsoft Certified Application Developer (MCAD) certificaat behaalde op de leeftijd van 16.
Hij was als ik mij niet vergis ook de eerste die malware schreef voor windows phone 8.

Hier een filmpje waar hij de eerste kinect exploit showd op een malware conference.
http://www.youtube.com/watch?v=V4x9fjsqgfw#t=583

@ david mulder
Wat ik me afvraag is in hoeverre het meemaken van de grondlegging van technologische revolutie opweegt tegen het van jongs af aan er mee bezig zijn.

[Reactie gewijzigd door jappiejaap op 18 oktober 2013 19:32]

En los daarvan ben je op 16/17 jarige leeftijd makkelijk op het niveau van mensen die al 30 jaar bezig zijn. Niet op het vlak van netjes afgewerkte code schrijven of het organiseren van projecten, maar mijn kennis op die leeftijd was ook vele male groter dan die van veel professionals in mijn expertise gebied. Haalt dus niet weg dat ik belachelijk slecht was in andere zaken :+ maar m'n punt mag duidelijk zijn.

Hoe dan ook, gezien er nog niets bekent is over de malware vind ik het nogal voorbarig om er nu al een artikel over te schrijven en lijkt het me correcter te wachten tot de echte implementatie bekent is, want straks blijkt het mss wel grotendeels een "graphical malware" te zijn die de gebruiker gewoon tricked ofzo. Niet dat ik zeg dat dat zo is, maar zou me niks verbazen als ik aan Firefox OS denk.
kennis van 10 jaar geleden is al hopeloos verouderd en het gaat hier over een nieuw OS, ouderen hebben eerder last van de wet van de remmende voorsprong, dan dat ze hun ervaring kunnen gebruiken.
kennis van 10 jaar geleden is al hopeloos verouderd en het gaat hier over een nieuw OS, ouderen hebben eerder last van de wet van de remmende voorsprong, dan dat ze hun ervaring kunnen gebruiken.
Kennis van 10 jaar geleden gekoppeld naar kennis van zaken nu, vermenigvuldigd met evenveel jaren ervaring in het kwadraat. En dan kom je op het niveau van een aantal mensen die al een behoorlijke tijd in het vak zitten. Helemaal de mensen die niet vastgeroest blijven zitten in "zo deden we het altijd al", maar met een mentaliteit van "met deze nieuwe technologie kunnen we de zaken aanzienlijk verder verbeteren en schalen".

Maar goed, ik zit ook nog maar 14 jaar in het vak. Dus misschien veeg ik een beetje m'n eigen straat schoon. :-)
Sorry maar kennis van 10 jaar geleden zit nog steeds verweven in windows.
Een pointer blijf gewoon een pointer, api's zijn nog steeds api's en internet protocol is nog steeds hetzelfde internet protocol. Het verschil is nu pluk je overal voorbeeldjes weg, vroeger was dat heel wat anders.

Denk je nu werkelijk ouderen ze zich niet ontplooien? kennis opdoen is niet leeftijd gebonden.
Ik weet niet of ouderen zich niet ontplooien, maar kennis opdoen is werkelijk anders per leeftijdscategorie.

http://www.uu.nl/SiteColl...lloffame/Jong_geleerd.pdf

*hoofdstuk 3*

[Reactie gewijzigd door exmatproton op 19 oktober 2013 00:51]

Kennis opdoen is niet leeftijds gebonden, dat hangt meer af van motivatie, geduld en de wil om te leren.
Het is wel degelijk leeftijdsgebonden.

Naarmate de leeftijd toe neemt wordt het steeds moeilijker voor de hersenen om nieuwe paden tussen neuronen te vormen en zo kennis en het toepassen daarvan 'op te slaan'.

Dat is gewoon een biologisch feit.
Wat vreemd want ik leer nog net zoveel als 10 jaar geleden.
Alleen doe je er langer over of steek je er meer moeite in dan 10 jaar geleden. En raad eens; dat is dus ook een verschil...
Dat is jou aanname niet de mijne, want ik heb er helemaal geen meer moeite mee. Sterker nog het wordt alsmaar makkelijker kwestie van de manier waarop je leert.
is het niet gewoon heel simpel dat met zoals alle regels, er altijd een aantal uitzonderingen zijn? Dat jij "iets" doet wat misschien wat minder strookt met "de regel", wil niet meteen zeggen dat jouw manier dé manier is over het algemeen. Iets verder kijken dan je neus lang is. Ik denk niet dat het een aanname is. Over het algemeen genomen veranderd de staat van zijn van de hersenen over de tijd. Alles m.b.t. leren, denken etc. veranderd wel degelijk. Of dat betekent dat iedereen dat merkt, is een tweede.
Ik kijk verder dan mijn neus lang is, zoals ik zeg het gaat om de motivatie en drijfsfeer die er tot leiden. En de beperkingen die je jezelf oplegt verwerp ik, juist een punt waar ik verder zal streven ipv beperken.
heb je het stuk wel gelezen wat ik gepost heb? ... whatever

[Reactie gewijzigd door exmatproton op 20 oktober 2013 13:51]

Ja en weet je ik hecht er geen waarde aan.
Leg jij dat uit aan Linus Torvalds??
ik weet niet waar hij zich nog zoal mee bezig houdt, maar volgens mij zit hij redelijk vastgeroest in de linux-community en gaat hij zich niet met zulke dingen bezig houden
ik weet niet waar hij zich nog zoal mee bezig houdt, maar volgens mij zit hij redelijk vastgeroest in de linux-community en gaat hij zich niet met zulke dingen bezig houden
Hij houdt zich wel degelijk ook met security zaken bezig. Uiteraard merendeel gerelateerd tot de Linux kernel, maar iedereen in software land kijkt op dat vlak naar wat er bij de buren gebeurt. Een Security issue (en de detail daarvan) bij bijvoorbeeld FreeBSD, kunnen inzichten opleveren die een patch op de Linux kernel tot gevolg hebben.
Het kan in overal. Zowel HTML als CSS worden omgevormd naar een website zoals wij die kennen. Zie hier een oud voorbeeld:
http://securitytracker.com/id/1011639
Phuong Nguyen reported that a cascading style sheet (CSS) that contains certain character combinations (e.g., "<STYLE>@;/*") can cause IE to crash.
In feite is niets veilig, waarom zou JavaScript wel gebruikt kunnen worden? JS verschilt qua werking geen ene moer met CSS of HTML. Wellicht dat je JavaScript verward met JAVA...
Niet helemaal waar, de js api heeft veel meer/makkelijker toegang tot lokale handelingen en bestanden dan html, laat staan css.
Maar zijn punt staat als een huis: In beide gevallen hebben we te maken met een tekst bestand. Alleen fouten in de browser (of standaard) kunnen het mogelijk maken om er iets fouts mee te doen.

Hetzelfde geldt overigens voor Java. Dat is gewoon een rijtje bits die niks kan zonder een host applicatie. Alleen als die fouten bevat kun je een explot maken. Daarom heet het ook een exploit, je exploiteert fouten in de host applicatie.

Ditzelfde geldt in principe niet voor een native executable. Deze wordt vrijwel zonder tussenkomst van het OS of andere controlerende software rechtstreeks op de hardware gedraaid. Alsnog kun je deze afschermen, maar daartoe moeten in de hardware voorzieningen zijn opgenomen (en die zijn er dus ook: protected mode, privilege rings, data execution prevention, virtualization etc). Maar de controle is veel minder fijnmazig. Zowel Java als de browser zijn in principe virtuele machines en zijn dus in staat om elke individuele instructie vooraf te beoordelen en pas als deze veilig wordt geacht ook daadwerkelijk uit te voeren.

HTML en CSS bevatten ook gewoon instructies voor de browser en zijn dus in principe ook exploiteerbaar. Het enige verschil is dat de hoeveelheid mogelijke zwakheden (attack vectors) veel kleiner is bij deze talen dan bij Javascript.
Maar zijn punt staat als een huis: In beide gevallen hebben we te maken met een tekst bestand. Alleen fouten in de browser (of standaard) kunnen het mogelijk maken om er iets fouts mee te doen.

Hetzelfde geldt overigens voor Java. Dat is gewoon een rijtje bits die niks kan zonder een host applicatie. Alleen als die fouten bevat kun je een explot maken. Daarom heet het ook een exploit, je exploiteert fouten in de host applicatie.

Ditzelfde geldt in principe niet voor een native executable. Deze wordt vrijwel zonder tussenkomst van het OS of andere controlerende software rechtstreeks op de hardware gedraaid. Alsnog kun je deze afschermen, maar daartoe moeten in de hardware voorzieningen zijn opgenomen (en die zijn er dus ook: protected mode, privilege rings, data execution prevention, virtualization etc). Maar de controle is veel minder fijnmazig. Zowel Java als de browser zijn in principe virtuele machines en zijn dus in staat om elke individuele instructie vooraf te beoordelen en pas als deze veilig wordt geacht ook daadwerkelijk uit te voeren.

HTML en CSS bevatten ook gewoon instructies voor de browser en zijn dus in principe ook exploiteerbaar. Het enige verschil is dat de hoeveelheid mogelijke zwakheden (attack vectors) veel kleiner is bij deze talen dan bij Javascript.
Het verschil met Java is natuurlijk dat het ook gemaakt is om bijv. file access mee te doen, dat zal een virtual machine er niet uithalen want dat is gewoon valide gebruik van Java (niet als applet natuurlijk)

Sterker nog, om jouw verhaal in het extreme te trekken, alle programma's zijn een rijtje bits die iets nodig hebben om in te draaien, al is de controle daar zoals je zegt natuurlijk wel wat minder makkelijk.

Maar de káns dat een formaat dat vooral iets met weergave doet dit soort exploits bevat is natuurlijk wel een stuk kleiner, zelfs ten opzichte van een volwaardige programmeertaal als Javascript (zie NodeJS), dus Jaerie heeft wel een punt.

Natuurlijk kan het wel. En om ook nog een goed voorbeeld te geven van iets dat niet draaibaar hoeft te zijn om een exploit te kunnen bevatten, zie bijvoorbeeld de exploit in Windows MetaFile (WMF), een imageformaat. Het is zelfs de vraag of deze bewust is ingebouwd. Meer op https://www.grc.com/sn/sn-022.pdf

[Reactie gewijzigd door Argantonis op 18 oktober 2013 21:38]

Het is hier al uitgelegd, maar in feite maakt het niet zo erg veel uit qua lokale handelingen. In feite moet je het dan maar zo zien dat html/css in een schil draait, genaamd: de browser. Hierdoor zit html/css wel degelijk direct op je systeem. Je moet af van de redenatie dat html/css statische content is, want dat is het simpelweg niet.
Jammer dat je niet goed mijn link leest:
Microsoft reported that a remote user can create a specially crafted CSS that, when loaded by the target user, will execute arbitrary code on the target user's system. The code will run with the privileges of the target user.
Eigenlijk draait JS precies het zelfde, JS is vrijwel niet in staat om zomaar in het geheugen te komen; De meeste JS malware gebruiken juist exploits in andere dingen zoals PDF (JS include malafide PDF) of een XML generatie.

Juist heel de term JS exploits zijn zwaar fout, JS wordt (meestal) puur gebruikt als obfuscator (= code onleesbaar maken, ook voor anti virus e.d.) om dingen te kunnen injecten (zoals bij de FB api toen gebeurde). Wat er wordt geinject zijn gewoon malafide dingen die dan weer - niets - met JS te maken hebben, maar wel de koppeling van JS kunnen gebruiken.
Absoluut waar, maar met javascript is een pdf of eender welk bestand ongemerkt of in ieder geval onverdacht uitvoeren een stuk makkelijker. In js is de meest voorkomende malware/exploit/welke-naam-je-er-ook-aan-hangt een drive-by, wat niet eens echt js eigen is, maar enkel een misbruik van de 'toestemming' voor js om het bestandssysteem aan te spreken. Het zou me dan ook weinig verbazen als de exploit voor ffOS hierop gebaseerd is, al zal dat weliswaar gekoppeld moeten worden met een echte exploit van de btowser of het os om het geplaatste besyand uit te voeren.
Moet nog steeds geparsed worden en daar dus een een kwetsbaarheid ontstaat die je kan misbruiken ...

Blijft ingenieus natuurlijk ... je moet er maar achter komen en dat is wel knap.

[Reactie gewijzigd door InflatableMouse op 18 oktober 2013 19:26]

In CSS kun je ook selectors schrijven die bijv. de ingevulde waarde in een input veld onderdeel uit laten maken van een URL die gebruikt gaat worden om van een willekeurige server een achtergrondplaatje op te halen.

Vrij makkelijk om op die manier informatie te ontfutselen.

Zie anders ook eens presentaties zoals
Scriptless Attacks - Stealing the Pie without touching the sill van Mario Heiderich.

[Reactie gewijzigd door R4gnax op 19 oktober 2013 11:30]

Lachen. Ben zeer benieuwd naar de broncode. Hopelijk wordt die na het patchen vrijgegeven (pure nieuwsgierigheid. Die exploit is dan toch al snel niets meer waard ;) )
Nu doet firefoxOS mee - eindelijk malware.
Nu doet firefoxOS mee - eindelijk malware.
Weet niet waarom dit geminned wordt, is namelijk een terechte observatie. Bij alles dat significant gebruikt wordt gaan mensen op zoek naar exploits.
Je kunt het ook zien als: het is nieuw dus kijken wat ik ermee kan. Daarbij is Firefox een bekende naam dus dat helpt ook wel mee. Hoeft verder niets te betekenen.
Het ziet er dus naar uit dat Shantanu Gawde het DOM-model van de browser om de tuin heeft weten te leiden. Als je een site bezoekt mag je nooit en te nimmer daarvandaan in een ander DOM opdrachten uit kunnen voeren zonder expliciete toestemming van de gebruiker. Wanneer je daarvoor HTML, CSS en JavaScript moet inzetten komt het over als een vorm van clickjacking of op de een of andere manier nabootsen van de GUI van het device om bijvoorbeeld de gebruiker over te halen om wat instellingen te wijzigen of ergens op te klikken. Het zal me niets verbazen als het dan via de URL-handler mis gaat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True