Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties

Android controleerde tot voor kort de certificate chain van certificaten van te installeren software niet. Daardoor kon een malafide app zich bijvoorbeeld voordoen als een applicatie van Adobe; apps van Adobe hadden tot en met Android 4.3 meer rechten in Android.

Android-logoDe bug werd ontdekt door onderzoekers van Bluebox. In april heeft Google een patch uitgevaardigd, zo heeft het bedrijf bevestigd tegenover de BBC. De patch is uitgerold via Google Play Services, het deel van Android dat is te updaten zonder volledige besturingssysteem-update.

Het is niet duidelijk of het beveiligingsprobleem daadwerkelijk is misbruikt. Android-gebruikers hadden daarvoor wel zelf een malafide applicatie moeten downloaden en installeren.

Het probleem zit in de certificate chain. Android-apps worden geleverd met beveiligingscertificaten waarmee de authenticiteit van een app kan worden gecontroleerd; daartoe wordt hetzelfde soort certificaten als in ssl/tls gebruikt. Beveiligingscertificaten kunnen worden ondertekend met andere certificaten; zo kan een bedrijf als Google een certificaat voor de Gmail-app ondertekenen met het Google-rootcertificaat, zodat duidelijk is dat de app van Google afkomstig is.

De packet-manager van Android controleerde tot voor kort echter niet of de cryptografische ondertekening met het 'moedercertificaat' wel klopte. Daardoor kon iedere app zich voordoen als een applicatie van bijvoorbeeld Google of Adobe. Vooral in het geval van Adobe en Google is dat ernstig, omdat apps van Google in Android automatisch het recht hebben om de nfc-chip uit te lezen. Tot en met Android 4.3 had Adobe het recht om in elke andere app een plug-in toe te voegen aan de WebView; waarschijnlijk was dat recht bedoeld voor de Flash-plugin, die inmiddels niet meer door Android wordt ondersteund.

Daardoor konden aanvallers die hun app voordeden als een app van Adobe in feite uit de sandbox van Android breken en eigen code injecteren in andere Android-apps. Ook konden aanvallers zich voordoen als 3LM, software die onder meer op telefoons van HTC, Sony en Motorola en waarmee telefoons op afstand kunnen worden beheerd. Door een vervalste 3LM-handtekening mee te sturen, zouden aanvallers volledige controle over een toestel krijgen.

Android FakeID

Update, 18:12: In dit artikel stond aanvankelijk dat gebruikers van oude Android-versies nog kwetsbaar zijn. De update voor de bug is echter uitgerold via Google Play Services, dat los van de Android-installatie kan worden bijgewerkt. Het stuk is hierop aangepast.

Moderatie-faq Wijzig weergave

Reacties (66)

Hier is een statement van Google (via The Guardian):

"A Google spokesperson said that after Bluebox’s disclosure, it quickly issued a patch that was distributed to Android partners and to the Android Open Source Project.

“Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability,” the spokesperson added."

Dus er zijn geen exploits voor deze vulnerability gevonden op de Play Store en Verify Apps en de Play Store zijn al geupdate om gebruikers te beschermen tegen deze kwetsbaarheid tot dat OEM's de definitieve patch (die al uitgezonden is naar AOSP en OEM's) implementeren.

[Reactie gewijzigd door Chip5y op 29 juli 2014 18:11]

Dus er zijn geen exploits voor deze vulnerability gevonden op de Play Store
En alle andere app stores en het side loaden wat als voordeel van Android wordt gezien?
Zit dit probleem ook in de forks zoals die van Amazon?
Verify Apps is on-device en scant dus ook sideloaded apps of apps van een andere store.

Het probleem zit ook in de forks zoals die van Amazon. Hier zal Amazon die patch zelf moeten implementeren voor een definitieve fix. Google heeft de patch verzonden naar het Android Open Source Project dus Amazon heeft hier ook toegang toe. En dit betekent dus ook dat moest Amazon nu niets zelf specifiek doen het sowieso wordt gefixt in de volgende versie. Ondertussen kan Amazon net als Google hun store scannen voor apps die de exploit gebruiken.

[Reactie gewijzigd door Chip5y op 30 juli 2014 10:57]

Het probleem in Android: systeemupdates! Hoelang gaat het nog duren voordat iedereen gewoon een veiligheidsupdate kan draaien, zonder dat dit meteen een upgrade naar de nieuwste Android versie hoeft te zijn?!
Daar zijn ze al mee bezig door meer dingen onderdeel te maken van het Google framework: dat kan los van je Android-versie geupdate worden.
Ik heb het gevoel dat ik naar een LP zit te luisteren, het verbeteren van het update mechanisme staat volgens mij al aan aantal jaar in de planning. En elke keer horen we, ja daar zijn we mee bezig. Ondertussen veranderd er niet veel.

En leuk dat het onderdeel wordt van het Google framework (wat dat ook mag betekenen). Maar daar help je andere partijen niet mee die geen Google spullen meeleveren.

En voor de volledigheid, dit soort issues moeten niet alleen gefixed worden in de Google only variant, maar algemeen in de Android stack.
De vraag is of het via de services kan en het nadeel is dat Android daarmee steeds minder open source wordt.
Leuk maar dan moet je eerst een nieuwe versie krijgen die dit kan. :D
Upgrades van google services gaan vanaf android 2.3
Android 2.2 eigenlijk hoor :)
Nee, dat is dus het punt. Het kan op alle relevante versies.
Onzin.. Google Play Services update automatisch op elke Android telefoon met Google apps.
Even een OT vraag. Mijn Nexus 7 is snel leeg. Als ik hem 3 dagen laat liggen dan is ie leeg. Dan kijk ik wat het veroorzaakt en dan zegt ie 98% cpu naar Google Play Service en 2% idle.
Hoe kan dat worden voorkomen?
Heb je al eens geklikt op de Google Play Servives onder batterij en gekeken hoelang GP je apparaat wakker houdt? In het ergste geval moet je een factory reset doen en dan een voor een je apps terug installeren. Sommige apps spreken de GP services nogal vaak aan, ook in slaapstand.
Ik heb exact hetzelfde probleem. Heb je het over de Nexus 7 (2013 model)? Deze loopt bij mij leeg zonder dat ik hem gebruik, in een zeer rap tempo.
Nee de eerste versie.
Ik had het zelfde probleem op de eerste Nexus 7 versie. Begon na een firmware update. Uiteindelijk een factory reset gedaan en nergens geen problemen meer. Dus tegenwoordig doe ik na een firmware update altijd een factory reset. Wel natuurlijk even je persoonlijke bestanden veilig zetten.
Dat framework, is dat onderdeel van ASOP of van Google Play Services? Dat laatste zou verschrikkelijk zijn voor de openheid van Android.
Dat framework is helemaal niet verschrikkelijk voor de openheid van android. Android is en blijft open source. De services van google (grotendeels) niet.
Zoals microsoft, amazon en talloze Chinese fabrikanten laten zien, is het prima mogelijk zonder dat framework een fatsoenlijk OS op te zetten met de AOSP versie van android.

Deze bug zal/is ook aangepakt in de AOSP versie, dus de oplossing is voor elke fabrikant bereikbaar. Als (Westerse) consument heb je als extra voordeel dat door het uitrollen van deze patch via de google services je vrijwel meteen weer beschermd bent. Heb je een telefoon zonder dit framework, dan ben je afhankelijk van de fabrikant. (of je maakt je eigen versie, het is en blijft open source immers.)
Buienradar, ANWB-app, om maar eens twee te noemen, zijn zonder Google Play Services onbruikbaar. Op mijn telefoon werken ze dus niet. Het is wel degelijk een zeer groot nadeel dat Google steeds meer features achter deze gesloten deuren brengt.
Dat ligt aan de developers van die apps, zij kiezen ervoor om dat te implementeren.

Ik zeg ook niet dat het alleen maar zonneschijn is, maar voor 99% van de gebruikers is de huidige oplossing beter.
Dat kan, maar dat mag ik niet volgens de licentie, en ik wil het nog minder, vanwege privacy. Ik heb niet voor niets geen Android-toestel...
Google zal het echt niet uitmaken dat jij dat installeert. Als je het bewust niet installeert, moet je ook niet gaan klagen dat je apps niet werken..
Beide, want vanaf Android 4.3 is de issue opgelost, maar in oude versies wordt het via Google Play Services opgelost. Niks aan de hand wat de openheid betreft dus.
Volgens mij van de Play Services. Kijk op Youtube anders het filmpje "Google is taking back Android" of iets dergelijks daar word alles goed uitgelegd.

[Reactie gewijzigd door mincedmeat op 29 juli 2014 18:06]

Eens...Het worden steeds meer problemen die alleen maar in de laatste versie opgelost worden.
En die is er gewoon vaak niet...Echt zo jammer dit.
Niet lang. Waarom denk je dat play services ooit in het leven is geroepen ;)
Ze zijn er inderdaad mee bezig. Tim Cook haalde het nog aan in zijn presentatie. Het is echt bizar te noemen dat zo'n grote groep geen basic veiligheidsupdates krijgt. Maar er is dus verbetering! Ooit.
het probleem van apple: je ben afhankelijk van wat zij doen

een oude android telefoon van 3 jaar terug kan via een custom rom nog steeds android 4.4 draaien

een iphone van 3 jaar geleden is mogelijk niet geselecteerd voor ios 8 update waardoor het nutteloos word

bij android heb je tientallen custom roms die erop werken en kunnen draaien, anders gebruik je gewoon de compleet kale android 4.4/nieuwer
Wat niet wegneemt dat lang niet alle custom roms ook werkelijk geschikt zijn voor dagelijks gebruik. Laat staan zakelijk gebruik. Ik knutsel zelf graag mee hoor, daar niet van, maar de waarde van Custom Roms moet je ook niet al te erg overschatten. Het OS is inmiddels dusdanig complex dat er weinig devs zijn die op een 3 jaar oud toestel een goede performance, stabiliteit en veiligheid weten te realiseren. En natuurlijk een community kan meer uithalen dan een groepje betaalde devs wat betreft ondersteuning van oudere modellen, maar tegen de tijd dat een toestel 3-4 jaar oud is, is de ondersteuning ook stopgezet. "Drivers" en andere kernel delen zijn daarnaast closed source van vrijwel iedere fabrikant, dus nieuwe OS versies pushen gaat ook maar tot op zekere hoogte.

En in dit geval was je met 4.4.3, wat een gloedje nieuwe versie was (die wordt overgeslagen door veel devs / fabrikanten) dus nog niet veilig.
klopt, je moet de tijd nemen om de goede custom ROM te vinden die bij je toestel EN jezelf past.
Maar eens je die hebt, zit je meestal goed.

Mijn 2.5 jaar oude gsm released 3 jaar oud krijg nu nog elke maand een update via de custom ROM. dit voor de laatste 6 maanden
officieel heb ik in de vorige 2 jaar heb ik misschien een update of 2-3 gehad.

ok ok die maandelijkse updates zijn minor fixes maar er wordt dus nog steeds aan gewerkt.
klopt, je moet de tijd nemen om de goede custom ROM te vinden die bij je toestel EN jezelf past.
Maar eens je die hebt, zit je meestal goed.
Ik hoor hier het oude DOS verhaal. Lekker knutselen aan je config.sys en je autoexec.bat om je himem goed te krijgen. Alsof Jan met de Pet dat gaat zitten uitvogelen.

Man, was ik blij met mijn Mac.
Dat zal het verschil zijn tussen u en ik.
ik ben een tweaker en hou dus van DOS en prutsen met ROM's.
U houdt dat alles voorgekauwd is en gebruikt dus een Mac;
voor elk wat wils natuurlijk.
Knutselen != uitzoeken
Als je Mac verkozen hebt boven DOS dan is dat een keuze. Er zijn genoeg ROMs om uit te kiezen.
"En in dit geval was je met 4.4.3, wat een gloedje nieuwe versie was (die wordt overgeslagen door veel devs / fabrikanten) dus nog niet veilig."

En toen pushten ze een Google Play Services update en was iedereen vanaf android 2.2 wel veilig.
In dit geval is dat juist beter, elk iOS apparaat komt van 1 fabrikant, namelijk Apple. Update beleid is dus ook veel beter te regelen, dit zag je ook wel bij de uitrol van iOS 7.x. Binnen no time zat meer dan 90% op die versie.

Bij Android ben je afhankelijk van Google, van alle merken (Samsung, HTC etc) en in Amerika ook nog eens de providers. Natuurlijk is het fijn dat je custom roms kan draaien, dat is ook een kracht van Android. Maar doorsnee Jan met de korte achternaam zit hier niet op te wachten. En sommige phones/tablets worden gewoonweg niet ondersteund door de Custom rom community. Zoek maar eens een recente rom voor een Samsung Tab Pro met Exynos processor.

Google heeft het enigzins kunnen oplossen door dit soort updates niet meer onderdeel van Android te laten zijn, maar in hun GP services te stoppen. Oftewel ook oudere Android versies krijgen deze updates.
Wat heeft Apple nu met deze discussie te maken ?
De 4S is nu drie jaar, en bij mijn weten krijgt tie IOS8.
Niemand gaat er van uit dat hun oude computer van 10 jaar terug nog alle huidige programmas vloeiend kan draaien, en slechts een beperkte hoeveelheid mensen willen uberhaupt de nieuwste versie draaien(kijk naar bijv het marktaandeel Windows XP).

De iPhone heeft in het verleden updates gekregen die het toestel eigenlijk niet aan kon, waarom zou je updates uit brengen die de gebruikerservaring verslechterd gewoon zodat je gebruikers op de laatste versie zitten? Verder volg ik niet helemaal waarom een iPhone 4 zonder iOS 8 nutteloos zou zijn omdat hij slechts op iOS 7 draait.

Daarnaast denk ik dat de hoeveelheid mensen met een highend smartphone van > 2 jaar oud klein is. Met andere woorden: je bent inderdaad afhankelijk van wat Apple doet maar dat is niet direct een nadeel in dit geval, zij maken een afweging voor je die je als je objectief bent zelf ook zou maken.
Je hebt het over custom roms, dus voor de techneuten.

iOS geen updates? Als je een beetje handig bent zet je iOS7 met Whited00r op je iPhone 3G. Een telefoon die 6 jaar oud is.

Zo zijn er genoeg voorbeelden van hackers die een 'rom' maken voor jou oude toestel.
Dat 1 of 2 fanboys toevallig (en geheel onterecht) iOS erbij halen, doet niet af aan het feit dat dit weer een storm in een glas water. Wat nogal vaak het geval is bij zogenaamde beveiligingslekken van beide OS-en.
Ik zeg alleen maar tegen s1h4d0w dat het zinloos is om met argumenten te proberen een fanboy terecht te wijzen.

Of het een storm in een glas water is? Geen idee. Beetje merkwaardig is dat deze bug in April in Android gefixt is en nu het in het openbaar komt maakt Google een patch in de Play services zodat er een extra controle voor alle Android devices komt.

Fanboys zullen het bagatelliseren en haters zullen het opblazen. Ik zou zeggen, geen het maar aandacht dan krijgt beveiliging tenminste prioriteit bij de leveranciers.

[Reactie gewijzigd door 118226 op 30 juli 2014 07:36]

Absoluut, elke bug, beveiligingsriciso moet ook zeker aan het licht worden gebracht. Waarom ik het een storm in glas water vind, is omdat het door de gebruiker zelf geinstalleerd moet worden buiten de playstore om. Het gros van de gebruikers heeft hier geen last van en die paar die sideloaden, weten vaak wat ze doen.
nah... ik krijg toch iets te vaak de vraag hoe je nou 'gratis' spelletjes/naviatie op je android toestel krijgt... en dat zijn echt geen mensen die weten wat ze doen met sideloaden.
Dan leg je ze uit dat ze voorzichtig moeten zijn. Maar ook sideloaded apps worden door Google geverifieerd (mits je die optie hebt aanstaan). En willen mensen illegaal, dan nemen ze een risico. Dat is op elk platform zo.
Omdat het kan, en wederom,
Omdat het kan.
Niet iedereen gooit na 1 jaar de telefoon weg, omdat hij erop uitgekeken is.

De Galaxy S1 doet het hier nog prima, navigatie, facebook en whatsapp allemaal apps die het nog doen.
Mijn schoonmoeder is er nog steeds blij mee
Omdat dit apparaat simpelweg nog gewoon werkt, en genoeg kracht heeft om de laatste versie te draaien.

[Reactie gewijzigd door Thomasvt op 29 juli 2014 17:44]

En daarbij iOS 8 draait prima op een 3 jaar oude phone.. de iPhone 4s is 3 jaar oud en valt onder de toestellen die iOS 8 kunnen draaien. Apple sluit de iPhone 4 niet buiten om te pesten maar simpelweg omdat de hardware niet toereikend is.
"maar simpelweg omdat de hardware niet toereikend is."

Bullshit.

iOS8 is echt geen grafische geweldenaar. Als je puur kijkt naar de chip, het geheugen en wat erop draaien moet kan die iPhone 4 het makkelijk aan. En zoals boven vermeld, een Desire HD2 van 5 jaar terug gaat nog naar android 4.4.4
Lul toch geen onzin man! Ik heb op mn oude Xperia Arc S (Toen t nog Sony Ericsson was...) een custom rom met 4.4.4 draaien. ALS EEN TREIN!! Had ik moeten doen toen ik m nog gebruikte. Zonder simkaart en zonder te gebruiken.stond dat ding 3 weken aan en nog 30% over hahaha. Zal bij gebruik aanzienlijk.minder geweest zijn ;) Just saying hij draait vloeiend. Sterker nog, hij vliegt bijna. Zit een Snapdragon S2 MSM8255T singlecore op 1.4 GHz in. Adreno 205 en volgens mij maar 420MB RAM.

[Reactie gewijzigd door chimnino op 29 juli 2014 17:56]

euh omdat ik maar om de 3 jaar een nieuwe krijg.
Android 4.4.3 beter draait op mijn toestel dan de originele 2.3
en het is niet omdat de fabrikant geen updates meer geeft, dat er geen meer te vinden zijn.

en last but not least, omdat een toestel neit nutteloos wordt na 18 maanden zoals Google zegt.
Het is zeker geen must om elk jaar een nieuw toestel te kopen als het oude nog perfect werkt.

[Reactie gewijzigd door bigbadbull op 29 juli 2014 18:01]

Android 4.4 draait nog heel redelijk op een HTC HD2 van 5 (vijf!) jaar oud. Leg me eens uit hoe dat kan dan? Oh, en misschien heeft hij gewoon geen zin om elke twee jaar 700 euro uit te geven aan een nieuwe telefoon. Groot gelijk toch?

Mijn Mi2s van anderhalf jaar oud draait al anderhalf jaar zonder problemen, lag of vertraging. Dus of je hebt Android nooit gebruikt, of je hebt een slechte telefoon gekocht, of jij herinnert je het Android van 6 jaar geleden.

PS. Waarom hij het nieuwste OS daarop wil draaien lijkt me nogal obvious, niet dan?

[Reactie gewijzigd door mincedmeat op 29 juli 2014 17:44]

Ja ook ik heb een hd2 met 4.4, maar mijn tab 3 van een jaar oud blijft maar op dat trage 4.2 draaien ... Nog steeds geen update. (Dus ook geen security update). En nog als reactie op de iphone bashers: zoek eerst een even op welke versie van welk jaar is en wanneer deze niet meer ge-update worden ..
Want jij hebt een glazen bol... kom op man, wat is nu je probleem? Waarom loop je bij elk bericht over WP, iOS of Android te bashen dat het zo slecht is? Ik heb er niets op tegen dat je BB goed vind. Gebruik het zo veel als je wilt. Ik heb er wel wat op tegen als je star bent en weigert om uberhaupt nog goede dingen te zien van andere OS'en+ dat je continu blijft trollen.

Maar goed. Laten we even aannemen dat je niet alleen maar ongefundeerd loopt te blaten. Leg me dan eens uit waarom Android nooit veilig zal worden? Het liefst laat je BB even uit je reactie.
Omdat de eigenaar van Android de grootste dataminer is die er idooit veel geld mee verdient. Het systeem zoals die nu bestaat waar gebruikers geen controle hebben op de rechten van apps is in hun voordeel (het nieuwe systeem met categorien rechten is helemaal drama waarmee apps dus stiekem bij een update nieuwe rechten kan vergaren). Ze houden de datahandel in leven, dat is hun economie.
Bij gebrek aan keuze heb ik ook lange tijd Android gebruikt. Zodra het merk waar je niet over wilt horen een modern OS had uitgebracht, die dus geen geld verdient met datamining, profilering, advertenties e.d. was ik wel als eerste weg..

Kort gezegt, kijk gewoon even waar het bedrijf in kwestie zijn geld mee verdient en je hebt je antwoord.

[Reactie gewijzigd door HakanX op 30 juli 2014 00:30]

Dus omdat Google geld verdient met datamining is het OS per definitie onveilig? Sorry maar die redenering kan ik niet helemaal volgen.
Naast alle reacties over het update systeem van android zou toch het voordeel voor een fatsoenlijk werkende universele root-tool voor android t/m versie 4,3 genoemd moeten worden. Mij lijkt dat dit nu wel te maken moet zijn ("Door een vervalste 3LM-handtekening mee te sturen, zouden aanvallers volledige controle over een toestel krijgen").

Edit:
Waarom is dit off-topic? Ik reageer toch inhoudelijk op een zin uit het artikel?

[Reactie gewijzigd door tru3n0 op 29 juli 2014 18:57]

Eigenlijk best ironisch dat een OS beter beveiligd is tegen de eindgebruiker (want stel je voor dat die teveel controle krijgt) dan tegen indringers van buiten, die ook nog eens specifiek de "beveiligings-faciliteiten" bedoeld tegen de gebruiker daarbij misbruiken.
Ik heb hier voor zakelijk gebruik een Huawei Ascend P6 welke onlangs keurig OTA voorzien is van Android KITKAT 4.4.2 vanuit de leverancier/fabrikant. Sinds die update meldt het toestel me echter wl om de haverklap dat er een app is welke abusievelijk veel energie aan het gebruiken is en dat het beter is voor de accu om die app te sluiten, Betreffende APP: ..... Google Play Services.

Ze doen dus wel degelijk iets bij Google om m'n KITKAT device te voorzien van nieuwe updates klaarblijkelijk (rara welke?). Met de vorige 4.2.2 Jellybean installatie van de leverancier/fabrikant zag ik die service eigenlijk nooit iets doen n kon ik gewoon een hele dag bellen/faxen/mailen, n mag m'n Huawei toestel na een uurtje of 8 toch echt wel aan de lader om me maar bereikbaar te houden.

[Reactie gewijzigd door wimmel_1 op 29 juli 2014 19:27]

Waarom krijgt apps van Adobe voor android 4.3 eigenlijk meer rechten. |:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True