Ontwikkelaar maakt malware voor Firefox OS

Een 17-jarige ontwikkelaar heeft malware geschreven voor Firefox OS waarmee op afstand persoonlijke gegevens zijn te stelen. De maker zal de malware demonstreren tijdens een beveiligingsbijeenkomst in India.

Dat meldt The Hacker News, die stelt dat de 17-jarige ontwikkelaar Shantanu Gawde de malware geschreven heeft in html, css en javascript. Het zou de eerste keer zijn dat er malware voor het mobiele besturingssysteem van Mozilla naar buiten komt.

De malware is geschreven in de vorm van een webapplicatie, die kwaadwillenden in staat stelt om persoonlijke gegevens van de smartphone te stelen. Daarnaast is het ook mogelijk om op afstand bestanden op het toestel te plaatsen. Ook kan de locatie van de gebruiker worden gevolgd.

Gawde gaat op een beveiligingscongres in India zijn malware uit de doeken doen, waarna meer duidelijk moet worden over welke exploit hij heeft ontdekt. Dat doet hij om de ontwikkelaars achter Firefox OS te stimuleren om de beveiliging van het mobiele besturingssysteem te verbeteren, zo stelde Gawde tegenover The Hacker News.

Onduidelijk is voor welke versie van Firefox OS de malware werkt. Onlangs bracht Mozilla versie 1.1 van het mobiele besturingssysteem uit, waarbij nog niet bekend is of deze versie vatbaar is voor de door Gawde ontdekte exploit.

Door RoD

Admin Mobile

Feedback • 18-10-2013 18:5434

18-10-2013 • 18:54

34 Linkedin

Lees meer

Mozilla Firefox OS

geen prijs bekend

Mozilla verspreidt patch voor exploit in pdf-viewer Firefox Nieuws van 7 augustus 2015
Mozilla werkt weer aan multiprocess-functionaliteit voor Firefox Nieuws van 5 december 2013
'WhatsApp zal nog dit jaar op Firefox OS beschikbaar komen' - update Nieuws van 10 november 2013
Mozilla ontwikkelt javascript-library voor streamen apps en games naar browser Nieuws van 6 november 2013
Lek maakt privégegevens gebruikers homo-dating-app Grindr toegankelijk - update Nieuws van 24 oktober 2013
Mozilla introduceert Firefox OS 1.1 en breidt release uit naar meer landen Nieuws van 9 oktober 2013
ZTE gaat Firefox-smartphone via Ebay verkopen Nieuws van 12 augustus 2013
Mozilla geeft Firefox OS een update met snelheidsverbeteringen en bugfixes Nieuws van 21 juli 2013
Meer producten en artikelen
Mobiele besturingssystemen Mozilla Firefox

Reacties (34)

-Moderatie-faq
34
32
16
5
0
6
Wijzig sortering
dupy
19 oktober 2013 17:16
Interessante kommentaren. Ook de vergelijkingen jong en oud en daarmee gepaardgaande programmerings skills. Wil toch echter een kanttekening plaatsen vooral naar het vakgebied. Het is toch op zijn minst vreemd om te moeten constateren dat de ontwikkelingen in het programmeren zelf en het automatiseren daarvan zo ongelooflijk traag verlopen tot op heden. Vergeleken met andere vakgebieden zoals Werktuigbouw en Elektrotechniek waar een gemiddelde MTS-er tegenwoordig zijn design werk op academisch niveau kan uitvoeren met dank aan ver doorgevoerde automatisering, is het toch wrang om te moeten constateren dat het programmeren van vandaag nog steeds bestaat uit grofweg 90% veredeld typewerk en slechts 10% creativiteit. Terwijl dit juist omgekeerd zou moeten zijn. Misschien is het voor een deel een stuk zelfbescherming van een vakgroep en moeten we wachten op een artificial intelligence waarin de software zichzelf verbeterd en ontwikkeld.
RGAT
18 oktober 2013 19:10
Vrij grote exploit blijkbaar, helemaal apart dat het een 17 jarige is die het heeft ontwikkelt?
Afhankelijk van hoe Mozilla dit oppakt kunnen ze veel terrein winnen door te laten zien dat ze beveiliging goed oplossen met een snelle update.

[Reactie gewijzigd door RGAT op 18 oktober 2013 19:11]

jappiejaap
@RGAT18 oktober 2013 19:13
Niet echt hij is een kleine slimme kerel hij is ook de jongste die een Microsoft Certified Application Developer (MCAD) certificaat behaalde op de leeftijd van 16.
Hij was als ik mij niet vergis ook de eerste die malware schreef voor windows phone 8.

Hier een filmpje waar hij de eerste kinect exploit showd op een malware conference.
http://www.youtube.com/watch?v=V4x9fjsqgfw#t=583

@ david mulder
Wat ik me afvraag is in hoeverre het meemaken van de grondlegging van technologische revolutie opweegt tegen het van jongs af aan er mee bezig zijn.

[Reactie gewijzigd door jappiejaap op 18 oktober 2013 19:32]

David Mulder
@jappiejaap18 oktober 2013 19:21
En los daarvan ben je op 16/17 jarige leeftijd makkelijk op het niveau van mensen die al 30 jaar bezig zijn. Niet op het vlak van netjes afgewerkte code schrijven of het organiseren van projecten, maar mijn kennis op die leeftijd was ook vele male groter dan die van veel professionals in mijn expertise gebied. Haalt dus niet weg dat ik belachelijk slecht was in andere zaken :+ maar m'n punt mag duidelijk zijn.

Hoe dan ook, gezien er nog niets bekent is over de malware vind ik het nogal voorbarig om er nu al een artikel over te schrijven en lijkt het me correcter te wachten tot de echte implementatie bekent is, want straks blijkt het mss wel grotendeels een "graphical malware" te zijn die de gebruiker gewoon tricked ofzo. Niet dat ik zeg dat dat zo is, maar zou me niks verbazen als ik aan Firefox OS denk.
dasiro
@David Mulder18 oktober 2013 20:43
kennis van 10 jaar geleden is al hopeloos verouderd en het gaat hier over een nieuw OS, ouderen hebben eerder last van de wet van de remmende voorsprong, dan dat ze hun ervaring kunnen gebruiken.
arjankoole
@dasiro18 oktober 2013 23:16
kennis van 10 jaar geleden is al hopeloos verouderd en het gaat hier over een nieuw OS, ouderen hebben eerder last van de wet van de remmende voorsprong, dan dat ze hun ervaring kunnen gebruiken.
Kennis van 10 jaar geleden gekoppeld naar kennis van zaken nu, vermenigvuldigd met evenveel jaren ervaring in het kwadraat. En dan kom je op het niveau van een aantal mensen die al een behoorlijke tijd in het vak zitten. Helemaal de mensen die niet vastgeroest blijven zitten in "zo deden we het altijd al", maar met een mentaliteit van "met deze nieuwe technologie kunnen we de zaken aanzienlijk verder verbeteren en schalen".

Maar goed, ik zit ook nog maar 14 jaar in het vak. Dus misschien veeg ik een beetje m'n eigen straat schoon. :-)
BoringDay
@dasiro18 oktober 2013 21:22
Sorry maar kennis van 10 jaar geleden zit nog steeds verweven in windows.
Een pointer blijf gewoon een pointer, api's zijn nog steeds api's en internet protocol is nog steeds hetzelfde internet protocol. Het verschil is nu pluk je overal voorbeeldjes weg, vroeger was dat heel wat anders.

Denk je nu werkelijk ouderen ze zich niet ontplooien? kennis opdoen is niet leeftijd gebonden.
Anoniem: 300525
@BoringDay19 oktober 2013 00:50
Ik weet niet of ouderen zich niet ontplooien, maar kennis opdoen is werkelijk anders per leeftijdscategorie.

http://www.uu.nl/SiteColl...lloffame/Jong_geleerd.pdf

*hoofdstuk 3*

[Reactie gewijzigd door Anoniem: 300525 op 19 oktober 2013 00:51]

BoringDay
@Anoniem: 30052519 oktober 2013 09:50
Kennis opdoen is niet leeftijds gebonden, dat hangt meer af van motivatie, geduld en de wil om te leren.
R4gnax
@BoringDay19 oktober 2013 11:19
Het is wel degelijk leeftijdsgebonden.

Naarmate de leeftijd toe neemt wordt het steeds moeilijker voor de hersenen om nieuwe paden tussen neuronen te vormen en zo kennis en het toepassen daarvan 'op te slaan'.

Dat is gewoon een biologisch feit.
R4gnax
@BoringDay19 oktober 2013 11:28
Wat vreemd want ik leer nog net zoveel als 10 jaar geleden.
Alleen doe je er langer over of steek je er meer moeite in dan 10 jaar geleden. En raad eens; dat is dus ook een verschil...
BoringDay
@R4gnax19 oktober 2013 12:11
Dat is jou aanname niet de mijne, want ik heb er helemaal geen meer moeite mee. Sterker nog het wordt alsmaar makkelijker kwestie van de manier waarop je leert.
Anoniem: 300525
@BoringDay19 oktober 2013 13:14
is het niet gewoon heel simpel dat met zoals alle regels, er altijd een aantal uitzonderingen zijn? Dat jij "iets" doet wat misschien wat minder strookt met "de regel", wil niet meteen zeggen dat jouw manier dé manier is over het algemeen. Iets verder kijken dan je neus lang is. Ik denk niet dat het een aanname is. Over het algemeen genomen veranderd de staat van zijn van de hersenen over de tijd. Alles m.b.t. leren, denken etc. veranderd wel degelijk. Of dat betekent dat iedereen dat merkt, is een tweede.
BoringDay
@Anoniem: 30052519 oktober 2013 23:35
Ik kijk verder dan mijn neus lang is, zoals ik zeg het gaat om de motivatie en drijfsfeer die er tot leiden. En de beperkingen die je jezelf oplegt verwerp ik, juist een punt waar ik verder zal streven ipv beperken.
Anoniem: 300525
@BoringDay20 oktober 2013 00:55
heb je het stuk wel gelezen wat ik gepost heb? ... whatever

[Reactie gewijzigd door Anoniem: 300525 op 20 oktober 2013 13:51]

BoringDay
@Anoniem: 30052520 oktober 2013 13:00
Ja en weet je ik hecht er geen waarde aan.
chowmonkey
@dasiro18 oktober 2013 23:27
Leg jij dat uit aan Linus Torvalds??
dasiro
@chowmonkey19 oktober 2013 00:41
ik weet niet waar hij zich nog zoal mee bezig houdt, maar volgens mij zit hij redelijk vastgeroest in de linux-community en gaat hij zich niet met zulke dingen bezig houden
arjankoole
@dasiro20 oktober 2013 12:55
ik weet niet waar hij zich nog zoal mee bezig houdt, maar volgens mij zit hij redelijk vastgeroest in de linux-community en gaat hij zich niet met zulke dingen bezig houden
Hij houdt zich wel degelijk ook met security zaken bezig. Uiteraard merendeel gerelateerd tot de Linux kernel, maar iedereen in software land kijkt op dat vlak naar wat er bij de buren gebeurt. Een Security issue (en de detail daarvan) bij bijvoorbeeld FreeBSD, kunnen inzichten opleveren die een patch op de Linux kernel tot gevolg hebben.
Douweegbertje
@benjamin9418 oktober 2013 19:31
Het kan in overal. Zowel HTML als CSS worden omgevormd naar een website zoals wij die kennen. Zie hier een oud voorbeeld:
http://securitytracker.com/id/1011639
Phuong Nguyen reported that a cascading style sheet (CSS) that contains certain character combinations (e.g., "<STYLE>@;/*") can cause IE to crash.
In feite is niets veilig, waarom zou JavaScript wel gebruikt kunnen worden? JS verschilt qua werking geen ene moer met CSS of HTML. Wellicht dat je JavaScript verward met JAVA...
Jaerie
@Douweegbertje18 oktober 2013 20:41
Niet helemaal waar, de js api heeft veel meer/makkelijker toegang tot lokale handelingen en bestanden dan html, laat staan css.
OddesE
@Jaerie18 oktober 2013 21:13
Maar zijn punt staat als een huis: In beide gevallen hebben we te maken met een tekst bestand. Alleen fouten in de browser (of standaard) kunnen het mogelijk maken om er iets fouts mee te doen.

Hetzelfde geldt overigens voor Java. Dat is gewoon een rijtje bits die niks kan zonder een host applicatie. Alleen als die fouten bevat kun je een explot maken. Daarom heet het ook een exploit, je exploiteert fouten in de host applicatie.

Ditzelfde geldt in principe niet voor een native executable. Deze wordt vrijwel zonder tussenkomst van het OS of andere controlerende software rechtstreeks op de hardware gedraaid. Alsnog kun je deze afschermen, maar daartoe moeten in de hardware voorzieningen zijn opgenomen (en die zijn er dus ook: protected mode, privilege rings, data execution prevention, virtualization etc). Maar de controle is veel minder fijnmazig. Zowel Java als de browser zijn in principe virtuele machines en zijn dus in staat om elke individuele instructie vooraf te beoordelen en pas als deze veilig wordt geacht ook daadwerkelijk uit te voeren.

HTML en CSS bevatten ook gewoon instructies voor de browser en zijn dus in principe ook exploiteerbaar. Het enige verschil is dat de hoeveelheid mogelijke zwakheden (attack vectors) veel kleiner is bij deze talen dan bij Javascript.
Argantonis
@OddesE18 oktober 2013 21:20
Maar zijn punt staat als een huis: In beide gevallen hebben we te maken met een tekst bestand. Alleen fouten in de browser (of standaard) kunnen het mogelijk maken om er iets fouts mee te doen.

Hetzelfde geldt overigens voor Java. Dat is gewoon een rijtje bits die niks kan zonder een host applicatie. Alleen als die fouten bevat kun je een explot maken. Daarom heet het ook een exploit, je exploiteert fouten in de host applicatie.

Ditzelfde geldt in principe niet voor een native executable. Deze wordt vrijwel zonder tussenkomst van het OS of andere controlerende software rechtstreeks op de hardware gedraaid. Alsnog kun je deze afschermen, maar daartoe moeten in de hardware voorzieningen zijn opgenomen (en die zijn er dus ook: protected mode, privilege rings, data execution prevention, virtualization etc). Maar de controle is veel minder fijnmazig. Zowel Java als de browser zijn in principe virtuele machines en zijn dus in staat om elke individuele instructie vooraf te beoordelen en pas als deze veilig wordt geacht ook daadwerkelijk uit te voeren.

HTML en CSS bevatten ook gewoon instructies voor de browser en zijn dus in principe ook exploiteerbaar. Het enige verschil is dat de hoeveelheid mogelijke zwakheden (attack vectors) veel kleiner is bij deze talen dan bij Javascript.
Het verschil met Java is natuurlijk dat het ook gemaakt is om bijv. file access mee te doen, dat zal een virtual machine er niet uithalen want dat is gewoon valide gebruik van Java (niet als applet natuurlijk)

Sterker nog, om jouw verhaal in het extreme te trekken, alle programma's zijn een rijtje bits die iets nodig hebben om in te draaien, al is de controle daar zoals je zegt natuurlijk wel wat minder makkelijk.

Maar de káns dat een formaat dat vooral iets met weergave doet dit soort exploits bevat is natuurlijk wel een stuk kleiner, zelfs ten opzichte van een volwaardige programmeertaal als Javascript (zie NodeJS), dus Jaerie heeft wel een punt.

Natuurlijk kan het wel. En om ook nog een goed voorbeeld te geven van iets dat niet draaibaar hoeft te zijn om een exploit te kunnen bevatten, zie bijvoorbeeld de exploit in Windows MetaFile (WMF), een imageformaat. Het is zelfs de vraag of deze bewust is ingebouwd. Meer op https://www.grc.com/sn/sn-022.pdf

[Reactie gewijzigd door Argantonis op 18 oktober 2013 21:38]

Douweegbertje
@Jaerie18 oktober 2013 21:34
Het is hier al uitgelegd, maar in feite maakt het niet zo erg veel uit qua lokale handelingen. In feite moet je het dan maar zo zien dat html/css in een schil draait, genaamd: de browser. Hierdoor zit html/css wel degelijk direct op je systeem. Je moet af van de redenatie dat html/css statische content is, want dat is het simpelweg niet.
Jammer dat je niet goed mijn link leest:
Microsoft reported that a remote user can create a specially crafted CSS that, when loaded by the target user, will execute arbitrary code on the target user's system. The code will run with the privileges of the target user.
Eigenlijk draait JS precies het zelfde, JS is vrijwel niet in staat om zomaar in het geheugen te komen; De meeste JS malware gebruiken juist exploits in andere dingen zoals PDF (JS include malafide PDF) of een XML generatie.

Juist heel de term JS exploits zijn zwaar fout, JS wordt (meestal) puur gebruikt als obfuscator (= code onleesbaar maken, ook voor anti virus e.d.) om dingen te kunnen injecten (zoals bij de FB api toen gebeurde). Wat er wordt geinject zijn gewoon malafide dingen die dan weer - niets - met JS te maken hebben, maar wel de koppeling van JS kunnen gebruiken.
Jaerie
@Douweegbertje18 oktober 2013 22:03
Absoluut waar, maar met javascript is een pdf of eender welk bestand ongemerkt of in ieder geval onverdacht uitvoeren een stuk makkelijker. In js is de meest voorkomende malware/exploit/welke-naam-je-er-ook-aan-hangt een drive-by, wat niet eens echt js eigen is, maar enkel een misbruik van de 'toestemming' voor js om het bestandssysteem aan te spreken. Het zou me dan ook weinig verbazen als de exploit voor ffOS hierop gebaseerd is, al zal dat weliswaar gekoppeld moeten worden met een echte exploit van de btowser of het os om het geplaatste besyand uit te voeren.
InflatableMouse
@benjamin9418 oktober 2013 19:26
Moet nog steeds geparsed worden en daar dus een een kwetsbaarheid ontstaat die je kan misbruiken ...

Blijft ingenieus natuurlijk ... je moet er maar achter komen en dat is wel knap.

[Reactie gewijzigd door InflatableMouse op 18 oktober 2013 19:26]

R4gnax
@benjamin9419 oktober 2013 11:23
In CSS kun je ook selectors schrijven die bijv. de ingevulde waarde in een input veld onderdeel uit laten maken van een URL die gebruikt gaat worden om van een willekeurige server een achtergrondplaatje op te halen.

Vrij makkelijk om op die manier informatie te ontfutselen.

Zie anders ook eens presentaties zoals
Scriptless Attacks - Stealing the Pie without touching the sill van Mario Heiderich.

[Reactie gewijzigd door R4gnax op 19 oktober 2013 11:30]

NightFox89
18 oktober 2013 19:39
Lachen. Ben zeer benieuwd naar de broncode. Hopelijk wordt die na het patchen vrijgegeven (pure nieuwsgierigheid. Die exploit is dan toch al snel niets meer waard ;) )
mutley69
18 oktober 2013 20:21
Nu doet firefoxOS mee - eindelijk malware.
Argantonis
@mutley6918 oktober 2013 21:41
Nu doet firefoxOS mee - eindelijk malware.
Weet niet waarom dit geminned wordt, is namelijk een terechte observatie. Bij alles dat significant gebruikt wordt gaan mensen op zoek naar exploits.
SomerenV
@Argantonis18 oktober 2013 23:52
Je kunt het ook zien als: het is nieuw dus kijken wat ik ermee kan. Daarbij is Firefox een bekende naam dus dat helpt ook wel mee. Hoeft verder niets te betekenen.
kodak
18 oktober 2013 21:00
Het ziet er dus naar uit dat Shantanu Gawde het DOM-model van de browser om de tuin heeft weten te leiden. Als je een site bezoekt mag je nooit en te nimmer daarvandaan in een ander DOM opdrachten uit kunnen voeren zonder expliciete toestemming van de gebruiker. Wanneer je daarvoor HTML, CSS en JavaScript moet inzetten komt het over als een vorm van clickjacking of op de een of andere manier nabootsen van de GUI van het device om bijvoorbeeld de gebruiker over te halen om wat instellingen te wijzigen of ergens op te klikken. Het zal me niets verbazen als het dan via de URL-handler mis gaat.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee