Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties

De updater van CyanogenMod is vatbaar voor man-in-the-middle-aanvallen, omdat de app om updates vraagt via een onbeveiligde verbinding. Daardoor kan een kwaadwillende updates vooraf injecteren met malware en die als update aanbieden.

De updater benadert de server van CyanogenMod met een onbeveiligde verbinding, waardoor de telefoon niet kan controleren of hij verbinding heeft met de juiste server, zegt de Nieuw-Zeelandse hacker Kyh Wana, die het lek heeft gemeld, maar niet heeft gewacht op een reactie om zijn bevinding te publiceren.

Een kwaadwillende kan het lek exploiteren door zichzelf tussen de telefoon en de server te plaatsen en de updater om te leiden naar een eigen server. Vanaf daar kan de server een update aanbieden aan de telefoon die door een kwaadwillende van malware is voorzien. De telefoon zou de update als legitieme update downloaden en installeren. Omdat het verzoek van de telefoon de codenaam bevat, zoals Hammerhead voor de Nexus 5, kan iemand die het lek misbruikt een server opzetten met updates voor verschillende apparaten en dankzij dat verzoek altijd de juiste update voor het toestel serveren. Het toestel checkt ook niet of het zip-bestand dat het gaat flashen legitiem is.

CyanogenMod heeft nog niet gereageerd op het lek. Voor zover bekend heeft tot nu toe niemand dit lek misbruikt. Of en wanneer CyanogenMod hiervoor een fix uitbrengt, is onbekend. Het beveiligen van de verbinding door die via ssl te laten verlopen zou genoeg zijn.

Lek in CM-updater

Moderatie-faq Wijzig weergave

Reacties (70)

Het beveiligen van de verbinding door die via ssl te laten verlopen zou genoeg zijn.
En het certificaat controleren, anders heb je hetzelfde probleem als de ING of de ABN hadden en is MITM nog steeds goed mogelijk. Toevallig schreef Scott Hanselman (een bekende MS developer) vandaag een blog over beveiliging in mobiele apps.
Dit is dus gewoon package signing, zoals wat Debian (en alle andere deftige standaard package systemen) al enkele jaren doet wat ontbreekt. Dat krijg je dan wanneer je als organisatie het altijd maar denkt beter te weten dan wat de rest van de wereld upstream al jaren doet. SSL is trouwens niet voldoende: SSL verbindingen én package signing én een manier om trusted keys te installeren én te kunnen valideren. Doe je één schakel fout dan zal die schakel misbruikt worden. M.a.w. gebruik gewoon apt-get, apt-key, gpg, key fingerprinting, etc. Stop vooral met zelf het warm water te willen uitvinden. Het package systeem dat niet te betrouwen is == your whole damn security model is /dev/null.
Enkele hulpmiddelen voor zij die het willen weten. Voor Debian (hetzelfde voor Ubuntu):

apt-key list
apt-key fingerprint

Dit zijn de keys van Debian: https://ftp-master.debian.org/keys.html

Die fingerprints MOETEN overeen komen met wat de server heeft (surf er naartoe met Tor en kijk ze met uw eigen ogen fingerprint per fingerprint na). Surf er met nog enkele systemen naartoe want je weet nooit. Sla de keys en fingerprints ook op op readonly media zoals een CDROM. De website legt ook uit hoe met GPG hiervoor kan werken.

Als uw key fingerprints niet overeen komen: smijt uw Debian weg en begin opnieuw want uw systeem is gecompromitteerd (ja niet zeuren, helemaal opnieuw beginnen -- je krijgt een geroot systeem nooit meer met zekerheid proper). Als je gewoon altijd maar Yes antwoord wanneer je apt-get upgrade doet dan is uw systeem waarschijnlijk al gecompromitteerd (wegsmijten en opnieuw beginnen).

Uw telefoon zou NOOIT software mogen installeren van een onbetrouwbare bron. ALLE packages moeten gesigned zijn. De geïnstalleerde keys moeten altijd overeen komen.

Wie zelf software bouwt en packaged moet er altijd voor zorgen dat zijn packages correct signed zijn. Wie ooit unsigned packages installeert kan er vrijwel zeker van zijn dat er ooit wel eens iets zal mislopen. Wie dat op systemen doet die bestemd zijn voor te beveiligen toepassingen zit niet op zijn plaats en hoort vervangen te worden door iemand die weet waar hij mee bezig is.

Wie CyanogenMod updates uitrolt hoort dit te weten aangezien erg veel mensen hun telefoon geïmpacteerd zal zijn hierdoor.
Ik hoopte dat die meneer eerst op reactie van CyanogenMod heeft gewacht voordat hij dit aan de grote klok hangt....
"... zegt de Nieuw-Zeelandse hacker Kyh Wana, die het lek heeft gemeld, maar niet heeft gewacht op een reactie om zijn bevinding te publiceren."
Lekker attent van die hacker
Wellicht komen ze hierdoor sneller met een oplossing.
Wellicht komen ze hierdoor sneller met een oplossing.
De boefjes zullen in elk geval snel zijn nu dit een publieke bug is waar de developers nog geen patch voor hebben kunnen maken. Wat een klojo.
Deze hacker had het ook gewoon stil kunnen houden zodat de boefjes die er al gebruik van maken dit kunnen blijven doen.
In het artikel staat dat er nog geen gebruik van is gemaakt (vermoedelijk) en anders waren er vast wel wat klachten Online gekomen.
Wellicht is het een test om te zien hoeveel Cyanogenmod om hun user base/reputatie geeft? Wellicht vindt de hacker het zo belachelijk dat ze zoiets niet via een beveiligde verbinding laten lopen dat hij ze voor schut wil zetten?

Hoe dan ook, het is goed dat dit aan het licht komt.

[Reactie gewijzigd door EnigmaNL op 17 februari 2014 16:38]

Het is wel direct naar de pers en CM verstuurd en dat zorgt ervoor dat er meer druk op CM haar schouders ligt om dit zo snel mogelijk op te lossen.
De tussenweg die gebruikelijk wordt gekozen lijkt mij veel praktischer en stelt zowel bedrijf als hacker te vrede.

Voor het geval je de gebruikelijke methode niet kent:
De hacker vindt de fout en rapporteert dit bij het bedrijf. Vervolgens heeft het bedrijf de tijd te onderzoeken of het al (actief) misbruikt wordt, het probleem te onderzoeken, te verhelpen, te testen en uit te rollen. waarna de hacker zijn bevinding kan/mag publiceren en ook hij zijn 'fame' mag op doen.

Nu is het kwalijk voor het bedrijf omdat black hats hackers die fout kennen (als ze dat nog niet deden) en heeft het bedrijf geen tijd om te kijken wie/wat het misbruikt maar moet het direct aan een oplossing gaan werken. Waardoor het onder een (al dan niet te zware) tijdsdruk komt te staan en misbruikers minder makkelijk kan opsporen.
Nou ja de wereld vergaat ook niet hoor, het gaat om een paar miljoen gebruikers verdeelt over iets van 30 toestellen...

Daarbij moet je doelgroep maar net 'nerds' zijn die hier sneller achter gaan komen dan de gemiddelde persoon...

En als laatste moet je er ook nog is zorgen dat je ook daadwerkelijk the man-in-the-middle bent, wat ook niet heel makkelijk is, wat min of meer per persoon moet gebeuren dus je kan nooit die miljoenen gebruikers in 1 keer voor de gek houden...

Het gevolg van de openbaring van de mogelijkheid stelt imho dus niks voor en dus zie ik het probleem niet zo zeer. Het zet wel druk op de ketel voor CM, en of dat zijn doel is, geen idee, misbruik is zijn doel ook niet anders had ie het wel misbruikt en niet openbaar gemaakt...

[Reactie gewijzigd door watercoolertje op 17 februari 2014 15:59]

Er zijn zo'n 127 verschillen toestellen die een (nightly of beter) versie hebben van 10 of hoger. Daarnaast zijn er nog tientallen onofficiële builds voor andere toestellen beschikbaar.
Waar je 30 vandaan haalt is me dan ook een raadsel.
Er zijn minimaal 3,4 miljoen actieve installaties van CM10 of hoger volgens de statistieken.
Desondanks vergaat de wereld nog steeds niet :+
Ergens eens, maar iemand die voor updates anno 2014 nog HTTP ipv HTTPS gebruikt is of incompetent of interesseert zich niet voor privacy.

Het gebruikt van HTTP vs HTTPS is in de meeste bibliotheken (Microsoft Crypto, OpenSSL) letterlijk een kwestie van 5 regels code anders.
Geen package signing implementeren is zo obviously fout dat het nauwelijks de moeite is dit soort security fouten geheim te houden. Dat wil eenvoudigweg zeggen dat iedere CyanogenMod installatie zonder enige moeite kan op ingebroken worden. Gewoon in de buurt van uw telefoon komen en een open wifi access point voorzien, een kleine hoge prioriteit update voorstellen en wachten tot uw toestel erop reageert door de update te downloaden (van mijn gespoofde server) en installeert. Done. Dit is de naam security fout niet waardig. Dit is gewoon hersendood.
Een beetje tweaker die een CM rom draait, zal niet snel een open wifi access point gebruiken, juist ivm MiM attacks. Ik gebruik ze zelden tot nooit en doe sowieso CM updates alleen thuis over mijn eigen wifi.

[Reactie gewijzigd door RebelwaClue op 17 februari 2014 16:15]

Een beetje tweaker niet. Jullie zijn dan ook niet het doelwit van malafiede mensen. De mensen die jullie als beetje tweakers vertellen dat ze CM moeten gebruiken maar die zelf niet een heel leven met het geeken van hun telefoon bezig zijn, wel. Die mensen gebruiken ook bank apps om financiële transacties te doen met hun tablets en telefoons. Het is aan ons Tweakers-community om deze gevaren in de samenleving te verduidelijken. Doe je dat met een CM rom dan loop je momenteel een extreem groot gevaar.

Trouwens RebelWaClue; je Wifi access point overnemen (gezien de enorme hoeveelheden security fouten in die consumentenrouters) is trouwens geen erg groot probleem. Je model achterhalen ook niet. Tot aan je voordeur geraken ook niet. Je netwerk overnemen is dus niet heel erg moeilijk en je zal héél goed je best moeten doen een gedreven individu tegen te houden. Je zal het dus waarschijnlijk ook niet doorhebben wanneer je CM rom geflashed is met een malafiede versie. Maar toegegeven zal maar weinig malafiede volk zoveel moeite doen daar er slachtoffers zat te vinden zijn op't straat in de stad.
Dat laatste punt ben ik zeker met je eens, de echte hackers hou je ook niet tegen als ze echt kwaad willen en dan is zo'n onbeveiligde verbinding van CM updater zeker een slecht punt.

Overigens draait het toestel van mijn pa ook CM, maar daar heb ik updates uit staan. Die snapt dat toch niet en het toestel draait momenteel als een zonnetje. Verder 'smeer' ik eigenlijk verder niemand een custom rom aan, geen zin in helpdeskje spelen achteraf.
Dit lijkt mij toch iets wat je standaard via een beveiligde verbinding wil laten verlopen. Raar dat bedrijven niet aan dit soort dingen denken :/
Voor het gebruik van https moet je een certificaat aan laten maken en dat kost geld. Volgens mij is dat een obstakel voor veel mensen. (Je kunt het certificaat ook zelf signen maar dat vind android volgens mij niet goed)
Daarnaast heerst er soms de gedachte dat http in de cache komt van proxy servers waardoor de druk op de eigen server verlaagd kan worden.
Er is niks mis slim gebruikmaken van proxy server caches, maar dan moet je altijd nog de hash van de update laten controleren via een ssl beveiligde verbinding. Zo maak je gebruik van de drukverlaging van http en de veiligheid van ssl.

Een ssl certificaat is idd een beetje prijzig, maar het wel waard.
Een ssl certificaat is idd een beetje prijzig, maar het wel waard.
"Prijzig" is natuurlijk relatief, maar ik denk niet dat je prijzen rond de 10 euro per jaar voor een SSL-certificaat prijzig kunt noemen.
En als je er maar 1 nodig hebt, gewoon gratis dus..
startssl free google zelf maar.
Die wordt volgens mij niet gezien als geldige CA, daardoor kan android hem soms alsnog weigeren (in een app bv. want die kan geen certificaat accepteren scherm tonen zoals een browser). Je kunt ze natuurlijk handmatig bij je SSL-certificaten zetten maar dat doen je 'klanten' natuurlijk niet.
Een SSL certificaat heb je al voor een 150 euro per jaar. Denk niet dat een bedrijf als CM daar wakker van ligt.
het is Cyanogenmod is geen bedrijf maar een community die een alternatief aanbieden voor je Android OS. je zou verwachten dat zij het wel goed voor elkaar zouden hebben. helaas gemiste kans :Y)
Zover ik weet is Cyanogen een bedrijf, maar staat Cyangenmod hier qua ontwikkeling min of meer los van.

Ik vind het dan ook niet helemaal terecht dat hiermee vooral ontwikkelaars die vrijwillig aan het project werken onder druk worden gezet, en niet zo zeer een corporate.
Zoals sphininx al aangeeft is het gewoon een bedrijf, en al was het een community. Als iemand bereidt is een server te hosten voor de updates dan mag je van een dergelijke community er ook van uit gaan dat ze wel begrijpen dat zoiets gewoon een SSL-certificaat vereist.
Hoe groot zou de dreiging nou echt zijn? Een MITM aanval kan ik me voorstellen via publieke WiFi's en mobiel internet en eventueel gedeeld internet in een studentenhuis maar verder..

Tuurlijk is het gewoon belangrijk dat het via SSL gedaan wordt, ook een fluitje van een cent en zo'n certificaat kost bijna niks. Maar om me nou hier heel erg druk om te maken, nee. Ik maak me eerder druk om alle 3rd party rom- en updater apps die beweren dat ze de releases allemaal zelf signen en dat het allemaal veilig is.
Ik denk niet dat het gevaar heel groot is.

Doordat dit direct via de pers en naar CM naar buiten is gebracht zullen ze wel meer hun best doen om dit zo snel mogelijk te verhelpen vermoed ik.
Hoop doet leven, vermoed ik :). Ik zou toch updates over Wifi alvast voorlopig volledig uitzetten.
Hoe groot zou de dreiging nou echt zijn? Een MITM aanval kan ik me voorstellen via publieke WiFi's en mobiel internet en eventueel gedeeld internet in een studentenhuis maar verder..
Het kan niet groter worden dan dit. Hiermee is de beveiliging totaal nul. Ik ben er vrij zeker van dat nu al malafiede mensen dit aan het doen zijn in bv. de steden, bv. om Cyanogenmod botnets op te bouwen.
Tuurlijk is het gewoon belangrijk dat het via SSL gedaan wordt, ook een fluitje van een cent en zo'n certificaat kost bijna niks.
Onvoldoende omdat CyanogenMod een te interessant doelwit is zal men er veel aan doen om CyanogenMod gebruikers erin te truuken valse certificaten te accepteren en/of de private key van de CyanogenMod te stelen (of te brute forcen, hoewel dat laatste wel vrij moeilijk te maken is).

Packages moeten ook individueel gesigned zijn en het package management systeem ook.

Ik zou de applicaties ook nog eens sandboxen m.b.v. systemd-nspawn moarja .. dit is Fisherprice Android. Dus vergeet dat nog maar een paar jaartjes. Jolla heeft wel systemd en daar denkt men hierover na.
Maar om me nou hier heel erg druk om te maken, nee. Ik maak me eerder druk om alle 3rd party rom- en updater apps die beweren dat ze de releases allemaal zelf signen en dat het allemaal veilig is.
Mja als je je software leverancier zelf al niet vertrouwt dan is het uiteraard zowizo game over. Zéker met Android als OS. Voor hen raad ik de Jolla aan (http://jolla.com): die draait uw Android applicaties in een sandboxed virtual machine. De meeste native applicaties en softwares (Mer en SailfishOS) zijn opensource. Gewoon even op github zoeken (https://github.com/nemomobile-packages, https://github.com/nemomobile,en voor Mer hier: http://review.merproject.org). Jolla heeft ook systemd en dus zou je applicaties kunnen packagen on in een sandboxed lightweight Linux container te draaien (systemd-nspawn).
Hmmm CyanogenMod, heeft juist een reputatie vast te houden als het gaat om veiligheid, en beschermen van je privacy.

Ik vraag me ook altijd af, hoe het zit bij Rooten.
Met Rooten, haal je de beperkingen die normaal bij Android zijn ingebouwd van de telefoon af.
En kun je als gebruiker een stuk meer. Maar ik vraag me af, of bepaalde apps, dan ook niet een stuk meer kunnen dan je eigenlijk verwacht.
Apps kunnen meer op een geroote telefoon, maar dan moet je ze wel toestemming geven om van Root gebruik te maken.
Je hebt apps die de root toegang van andere apps beheren. (Apps als SuperSU of Superuser) hiermee kun je toegang blokkeren voor apps die je die toegang niet wil geven, al helemaal wanneer een app die geen root nodig heeft om die toegang vraagt. Of het mogelijk is om deze apps heen nog steeds toegang te verkrijgen via exploits weet ik niet...
& Hoe weet je zeker dat zo'n app, waarvoor je root, daar géén misbruik van maakt? Is er een organisatie die die apps controleerd? Of moet je uitgaan van goed vertrouwen op de ontwikkelaar?
Tja. Hoe weet je zeker dat Android dat niet doet?

De enige realistische oplossing hier is om puur open-source software te draaien (of op z'n minst visible source), en óf zelf de code door te spitten, óf te vertrouwen op peer review.
Op Windows, kun je via een firewall alle in en uitgaande verbindingen controleren en beheren. Is zoiets geen logische oplossing?
Nee. Ten eerste kun je een systeem niet tegen zichzelf beschermen (de betreffende beveiliging kan tenslotte gewoon uitgeschakeld worden door een OS als het kwade bedoelingen heeft), en ten tweede zit je dan een beetje met een "after the fact"-probleem - tegen de tijd dat je firewall gaat klagen, is het grootste deel van het kwaad al geschied, en weet je dus niet op welke andere manier(en) de software probeert te communiceren.
Volgens mij is cynagogenmod een open source product, dus als daar peer revieuws plaatsvinden had dit dus ook gevonden kunnen worden.

Open source maakt iets niet meteen heilig, het kan daar net zo snel fout gaan. Dat iets opensource is wil niet zeggen dat er peer reviews plaats vinden. Het wil ook niet zeggen dat de code veiliger is of beter gebouwd is.

Wie weet of er peer reviews plaats vinden? Wordt dit ergens gepubliceerd? Is er documentatie van?
Dat is dan dus ook niet wat ik beweer. Mijn punt is dat, op het moment dat het níet open-source (of visible-source) is, je *sowieso* dus de code niet kan reviewen.

En als ik het heb over peer reviews, dan bedoel ik dus ook peer reviews - oftewel, Google rond en zie wat je erover kunt vinden. Je 'peers' zijn immers gewoon andere gebruikers, of die nou meer technisch aangelegd / gespecialiseerd zijn of niet.
Als je dan toch root toegang hebt kan je al je apps beheren via apps, wat die apps doen weet je dan weer niet 100% zeker.
Oke, nu heb ik letterlijk eergisteren mijn S3 gemod met die rom.
Het lijkt allemaal leuk te werken al is het wel even wat wennen hier en daar omdat ik die touchwiz van Samsung gewend ben maar dat ter zijde.

Ik heb hun app gebruikt via mijn prive wifi verbinding. Via die app moest ik 2 instellingen wijzigen en verder gaan met de windows installer. Dit verliep allemaal super.. Ik heb idd die sleutel moeten accepteren.

Kan ik die sleutel nu terug zien en ben ik nu kwetsbaar?
Kan ik dit controleren dorrmiddel van wat op mijn toestel?
Heb jaren gewacht en nu net na 3 dagen dit bericht? Dankje maar had niet gehoeven :-P
Ik denk dat als je de md5 checksum controleert je weet of er met je ROM geROMmeld is.

[Reactie gewijzigd door pvtonger op 17 februari 2014 18:29]

Dit krijg je dus als relatief kleine jongens zich gaan mengen met de grotere ontwikkelaars.
Jaren hebben de heren van CyanogenMod iedereen laten zien hoe goed ze wel niet zijn en nu laten ze zelf ook een steekje vallen. Geeft helemaal niets hoor, ik draai het zelf ook, misschien wel goed om even op een wat slechtere manier in het nieuws te komen. Blijven we weer met twee beentjes op de grond.

Veiligheid en open source gaan niet helemaal hand in hand heren.
Veiligheid en open source gaan niet helemaal hand in hand heren.
Hoezo niet? Debian bv. heeft een vrij goed systeem dat package signing keurig uitvoert. Debian is volledig open source. Andere package management systemen die ook open source zijn doen het ook bijna allemaal goed. Enkel CyanogenMod zit hier fout.
Ben ik naïef om te stellen dat dit soort ontdekkingen vooral theoretisch leuk zijn en in praktijk niet zo vaak voorkomen? Om dit te doen moet je op een of andere manier de data tussen telefoon en downloadserver opvangen en aangepast weer doorsturen Dan moet je toevallig precies een CM gebruiker vinden die ook nog eens wil updaten.
DNS spoofing is een relatief veel voorkomende attack. O.a. door al die defecte routertjes die voortdurend in het nieuws komen te hacken. Vorige week alleen al 3 meldingen op Tweakers.

Als je zegt dat de kans dat het jou overkomt wellicht maar een % is, heb je gelijk, maar op totale schaal is het nog steeds groot.

En er is het risico dat op een bepaald moment iemand besluit heel specifiek die doelgroep aan te vallen. Een 'besmet' accesspoint neerzetten bij een druk cafe, schiphol, evenement, etc en je hebt al snel flink wat gevangen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True