Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Op de Pwn2Own-beveiligingscompetitie tijdens PacSec hebben beveiligingsonderzoekers een flink gat gevonden in de software van de Nexus 4 van LG en de Galaxy S4 van Samsung. Daardoor hadden ze root-toegang en konden ze bijvoorbeeld informatie stelen.

Samsung logo (45 pix)Beveiligingsonderzoeker 'Pinkie Pie' wist twee beveiligingsproblemen te misbruiken vanuit de Chrome-browser op de Nexus 4 en Galaxy S4. Via een integer overflow en een probleem dat het mogelijk maakte om de sandbox-beveiliging te omzeilen, wist de onderzoeker root-toegang tot beide toestellen te krijgen. Pinkie Pie won met zijn exploit tijdens de Pwn2Own-competitie op de PacSec-beveiligingsconferentie het bedrag van 50.000 dollar.

Andere onderzoekers, die voor hun ontdekking 40.000 dollar wonnen, maakten voor diezelfde Galaxy S4 een exploit die eveneens vanuit de browser werkt. Door middel van een drive-by download, die bijvoorbeeld te installeren is via een malafide website of een geïnfecteerde advertentie, kon de aanvaller de exploit misbruiken. Dat schrijft HP, dat de Pwn2Own-competitie sponsort.

Bij beide exploits was de sandbox van Android, die applicaties in silo's scheidt zodat ze elkaar niet kunnen beïnvloeden, te omzeilen. Daardoor was het mogelijk om bijvoorbeeld applicaties te installeren en data te stelen van de telefoon van een slachtoffer. De precieze details van de exploits worden niet vrijgegeven, en zijn vertrouwelijk aan Samsung overhandigd. Het is niet duidelijk of ook andere Android-versies zijn getroffen: Android-telefoons, zeker die van Samsung, bevatten veel software die door de fabrikant zelf is toegevoegd, waardoor het ook zo kan zijn dat dit probleem enkel op de geteste telefoons speelt.

Tijdens dezelde beveiligingsconferentie werd ook een deuk in de beveiliging van iOS 6 en 7 ontdekt, schrijft The Register. Dat beveiligingsprobleem is minder spannend: hoewel het eveneens vanuit de browser te misbruiken is, wisten de Chinese onderzoekers die het probleem ontdekten de sandbox-beveiliging niet te omzeilen. Daardoor bleef de impact relatief beperkt: onder iOS 7 zou het mogelijk zijn om 'logingegevens' van Facebook te stelen, terwijl onder iOS 6 foto's kunnen worden buitgemaakt. Als de sandbox-beperkingen waren omzeild, hadden de onderzoekers veel vergaandere toegang tot het toestel gehad.

Moderatie-faq Wijzig weergave

Reacties (24)

Het probleem is dat Chrome op Android 4.3 een systeem app is geworden, daardoor heeft het al meer mogelijkheden dan gewone apps. Als Chrome op de /data/app partitie had gedraaid dan was het probleem waarschijnlijk minder groot..
Ahh denk je echt dat dat het probleem is? Dan is dat dus te voorkomen door Chrome d.m.v. Titanium tot gebruikersapplicatie te maken? Vraag me wel af of updates via de Play Store dan nog werken. Maar goed, ik gebruik toch altijd de stock browser. Ik vind het eigenlijk vreemd, nu ik erover nadenken, dat Google nou juist de browser een systeemapplicatie heeft gemaakt, terwijl die aan de meeste aanvallen bloot zou moeten staan.
Het is helemaal niet zo vreemd. Het doel van Google is het verzamelen en hergebruiken van gegevens en als systeemapp is dat nu wat eenvoudiger. In dit geval is de veiligheid opgeofferd voor de verzamelwoede van Google.
Denk je echt dat dat het is? De Facebook-applicatie hoeft toch ook geen systeem-applicatie te zijn? En Google heeft Chrome toch niet nodig om je gegevens te verzamelen, als ze al die hele Plat/Google Services rotzooi op je telefoon hebben staan?
Dit is erg, aan de andere kant ben ik erg benieuwd hoe snel SamSung het 'gat' zal dichten.

Daarnaast kan natuurlijk altijd nog de vraag blijven liggen 'Is het ook misbruikt'. Dat kan ik helaas niet terug vinden in het artikel.
"De precieze details van de exploit worden niet vrijgegeven, en zijn vertrouwelijk aan Samsung overhandigd."

Als je de details niet weet kun je het niet zomaar hergebruiken (tenzij je zelf de exploit kunt vinden en zelf een payload kunt schrijven), en gezien de informatie aan Samsung is overhandigd gok ik dat dit lek geen kwetsbaarheid zal vormen voor S4's in het wild.
Het kunnen omzeilen van de sanbox lijkt mij een issue in de core van Android, en niet met de skin of apps zelf. Vind het daarom vreemd om te lezen dat de details aan Samsung bekend zijn genaakt. Terwijl volgens mij Google het probleem moet gaan fixen.
Dat vond ik zelf ook raar vooral aangezien er staat dat het vanuit de Chrome browser gebruikt kan worden. Dus niet de stock browser die word meegeleverd door de fabrikant.
Aangezien Android open source is kunnen fabrikanten aanpassen wat ze willen door sommige delen te forken voor eigen gebruik. In principe zegt dit dus niets over de "stock" android versie die google aanbied. Daarbij zeg ik niet dat je ongelijk hebt, maar ook zeker niet dat je wel gelijk hebt. We hebben gewoon te weinig info om te bepalen of het een android probleem is of een probleem van Samsung / LG.
Precieze details niet, maar er is nu wel bekend dat er een exploit/bug is, wat sommige mensen kan aansporen, daarom hoop ik dus wel dat Samsung en LG dit zullen fixen. Ook al zal ik zelf geen Samsung of LG telefoon kopen.
in welke software zit geen exploit of bug?
Beetje vreemde redenatie vind ik. Van elk merk/type auto is ook wel een probleem geconstateerd achteraf, rijd je nu ook geen auto meer dan?
Het probleem ligt niet bij LG of Samsung maar bij Android, niet selectief willen lezen is ook een kunst. Ligt het nou aan mij of is er patroon te vinden in beveiligingsproblemen en Android?
Zou je niet denken dat ze dezelfde bug hebben getest op andere toestellen ?
als het namelijk een 'echt' android probleem zou zijn, zou de titel wel anders geformuleerd worden.

Ik ben beng dat het een Chrome-issue is, icm met bepaalde elementen die op beide toestellen staan.
Als het een Android probleem zou zijn, zou de Nexus7 er ook last van hebben ( zelfde generatie snapdragon imo )
Niet selectief lezen? "Android-telefoons, zeker die van Samsung, bevatten veel software die door de fabrikant zelf is toegevoegd, waardoor het ook zo kan zijn dat dit probleem enkel op de geteste telefoons speelt."

Samsung is de grootse op Android gebied en de S4 is vaak verkocht waardoor er dus meer reden kan zijn voor andere kwaadwilliende om deze telefoons te besmetten.

[Reactie gewijzigd door [Remmes] op 14 november 2013 11:45]

Google dicht het gat in de Chrome browser die je update via de Play Store, vrij simpel op te lossen dus. Dit heeft niets met Android te maken.
In het artikel staat dat er uit de sandbox van Android gebroken is. Welliswaar via de Chromebrowser, maar het lek in de sandbox moet gefixt worden. Je zou dat via de Chromebrowser kunnen doen (iets uitzetten waardoor je niet meer bij het gat in je sandbox kan), maar dan heb je nog steeds een lek in je sandbox en dan is het wachten tot hackers het gat via andere apps ook kunnen misbruiken.
Zo zo 40 000 euro is niet verkeerd ;)
Ze zijn dan misschien wel aan Samsung overhandigd, maar er is ook bekend gemaakt hoe de bugs werken, dus een echt kwaadwillende zou dit als nog kunnen opzoeken en misbruiken.

En aangezien Samsung en andere fabrikanten helemaal niet snel zijn met dit soort updates, heeft een kwaadwillende nog genoeg tijd om een exploit te maken en te benutten.
"De precieze details van de exploits worden niet vrijgegeven, en zijn vertrouwelijk aan Samsung overhandigd."
Mooie hack, lekker bedrag!
Mooi dat HTC kennelijk geen, bekende, problemen heeft.
Dat is niet gezegd. Staat ook in het artikel. Op deze beide toestellen werkt deze exploit wel. Andere telefoons zijn kennelijk niet getest dus valt daar geen zinnig woord over te zeggen.
Doelwitten van deze Mobile pwn2own en prijzen voor de eerste deelnemer die een doelwit slecht:

•Short Distance/Physical Access ($50,000), either:
•Bluetooth, or
•Wi-Fi, or
•Universal Serial Bus (USB), or
•Near Field Communication (NFC)

•Mobile Web Browser ($40,000) **

•Mobile Application/Operating System ($40,000)

•Messaging Services ($70,000), either:
•Short Message Service (SMS), or
•Multimedia Messaging Service (MMS), or
•Commercial Mobile Alert System (CMAS)

•Baseband ($100,000)
Contestants are allowed to select the target they wish to compromise during the pre-registration process. The exact OS version, firmware and model numbers will be coordinated with the pre-registered contestants. The following targets are available for selection:

•Nokia Lumia 1020 running Windows Phone
•Microsoft Surface RT running Windows RT
•Samsung Galaxy S4 running Android
•Apple iPhone 5 running iOS
•Apple iPad Mini running iOS
•Google Nexus 4 running Android
•Google Nexus 7 running Android
•Google Nexus 10 running Android
•BlackBerry Z10 running BlackBerry 10

** Google’s Chrome Security Team, in conjunction with the Chrome on Android team, is sponsoring a top-up reward for the Mobile Web Browser category. If a contestant successfully compromises Chrome on Android, either on Google Nexus 4 or Samsung Galaxy S4, the prize amount will be bumped by $10k to make it a total of $50,000. There may be additional winners in the Mobile Web Browser category if the contestant is specifically targeting Chrome on Android, either on the Google Nexus 4 or Samsung Galaxy S4.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True