Onderzoekers voeren geraffineerde phishing-aanval uit op Android

Onderzoekers van de Universiteit van Californië hebben een aanval opgezet waarbij ze met een nep-app een bestaande app kunnen overnemen. Dat kan door het gedeelde geheugen in de gaten te houden. De aanval werkt in ieder geval op Android en mogelijk ook op andere os'en.

De onderzoekers maakten een app die uit het gedeelde interne geheugen de grootte van de grafische buffer afleest. Daaruit kan worden afgeleid welke activiteit binnen een andere app de gebruiker op dat moment op de voorgrond heeft staan, schrijven de onderzoekers in hun paper. Is dat bijvoorbeeld een banking-app, dan kan de app van de onderzoekers uitlezen wanneer een gebruiker zijn pincode moet invoeren. Daarvoor moeten ze al wel weten hoe groot de grafische buffer op een bepaald moment is. Dat verschilt bovendien per apparaat.

De pincode kan dan niet zelf worden afgelezen, maar daar hebben de onderzoekers een trucje voor gevonden: op dat moment maakt hun eigen app een nieuwe ui-laag aan die zich naar de voorgrond dringt. Daar kan bijvoorbeeld de interface van de internetbankieren-app worden nagebootst, waarna de gebruiker de pincode in feite in de app van de onderzoekers ingeeft, en niet in de bankieren-app. Ook kunnen onderzoekers op die manier de cameramodus kapen.

De onderzoekers stellen dat ze Gmail-logingegevens in 92 procent van de gevallen kunnen buitmaken. Bij een Amerikaanse bank, CHASE, zou dat in 83 procent van de gevallen kunnen, en bij Amazon in 48 procent van de gevallen.

Volgens de onderzoekers is hun aanval in potentie ook te gebruiken op andere besturingssystemen, omdat die op dezelfde manier met gedeeld geheugen omgaan. Daar is echter wel wat op af te dingen: iOS staat apps niet toe om zichzelf op de voorgrond te dringen en op desktop-besturingssystemen zijn er vaak makkelijker manieren om logingegevens buit te maken, bijvoorbeeld door de browser te kapen.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

IT-banen

Reacties (92)

Verwijderd 21 augustus 2014 17:37

Dus moet je dan eerst iets geïnstalleerd hebben voordat ze je kunnen monitoren?
Of is dat de UI Hijac state...

ikt @Verwijderd • 21 augustus 2014 17:51

Ja, de app die ze hebben geïnstalleerd is simpelweg een app met maar één permissie, namelijk WiFi. Hoe ze de graphics-buffer onderscheppen en een interface zetten bovenop de andere app weet ik niet precies, maar in principe kan dit worden geïmplementeerd in elke willekeurige app en worden uitgevoerd zonder dat de gebruiker het weet. Een wat efficientere onderscheppingsapp kan dan zelfs waarschijnlijk de ingevoerde data invullen in de echte app en die weer naar voren brengen zodat de gebruiker helemaal van niks weet.

Eng, hopelijk kan dit worden geblokkeerd of ergens in Android zelf worden gepatched, want ook al blokkeer je permissies, een simpele WiFi-permissie voor een browser ziet zelfs een doorgewinterde root-gebruiker niet aan als phishing-app.

Verwijderd @ikt • 21 augustus 2014 20:05

Misschien moeten ze ervoor kiezen om apps in containers te gaan draaien.
Zoals alternatieve OS'en doen met APK's.

Blackberry en volgens mij ook Sailfish hebben door de scheiding in het geheugen door de sandbox meer bescherming voor diezelfde APK's.

Verwijderd @Verwijderd • 23 augustus 2014 17:07

De truc is juist dat ze een weg om de container heen gevonden hebben. Op Android draait elke app al in zijn eigen zandbak. Alleen data op de sd kaart wordt open gedeeld.

Dat is nu juist het geraffineerde aan deze truc.

Dual Infinity @ikt • 21 augustus 2014 22:44

Het is behoorlijk knap gedaan, maar ik heb zo m'n twijfels over hoe generaliseerbaar hun resultaten zijn. Ze hebben het op welgeteld 1 type device met 1 specifieke versie van Android getest:
"We run all experiments on Samsung Galaxy S3 devices with Android 4.2. We do
not make use of any device-specific features and expect our findings to apply to other Android phones."

Kort gezegd meten ze van de apps die ze willen hijacken bij elke overgang binnen de app
- CPU usage
- Netwerk usage
- Shared memory (graphics buffer) increases en decreases.

Je hebt dan een set data waar je machine learning op los kan laten en een model kan creëren waarmee je gegeven een bepaalde 'signature' kan gokken welke overgang er op dat moment plaatsvindt.

Bij machine learning geldt altijd dat je een hele hoge accuracy kan halen als je maar hoeft te kiezen uit een paar verschillende mogelijkheden. Zodra je een model moet maken met een input van de signatures van miljoenen apps op honderden verschillende devices met talloze verschillende versies van Android en talloze verschillende sets van app-installaties, dan wordt deze accuracy halen een groter probleem. Op zich zou je wel 1 specifiek (populair) device kunnen targeten, maar dan nog vermoed ik dat het veel uitmaakt welke apps er her en der op de achtergrond draaien en dat er veel conflicterende signatures tussen apps zijn.

De Activity injection die ze doen is ook redelijk twijfelachtig, op meerdere manieren. Basically starten ze op het moment dat er een Activity wordt opgestart hun eigen Activity op die er direct overheen komt. Daarom hebben ze de 'Draw over other apps'-permission niet nodig. Dat er uberhaupt een race condition kan ontstaan bij het opstarten van twee Activities is beargumenteerbaar, maar wel problematisch. Je zou willen dat een Activity op z'n minst z'n initiële view gedrawed moet hebben voordat de volgende Activity erover heen komt.

Bovenstaande gezegd hebbende: ook hier geldt weer dat ze eea vrij precies hebben gefinetuned:
"Note that the challenge here is that this introduces a race condition where the injected phishing Activity might enter the foreground too early or too late, causing visual disruption (e.g., broken animation). With carefully designed timing, we prepare the injection at the
perfect time without any human-observable glitches during the transition (see video demos)."

Finetuning en generaliseerbaar gaan over het algemeen niet samen.

edit: typo.

[Reactie gewijzigd door Dual Infinity op 27 juli 2024 05:40]

Verwijderd 21 augustus 2014 17:41

Antivirus opzetten en problemen zijn grotendeels al opgelost. (hoop ik)

Faure @Verwijderd • 21 augustus 2014 17:47

Maar een antivirus vreet batterij, geheugen en cpu, iets wat op een telefoon nog niet echt een luxe is, zeker het eerste niet.

Verwijderd @Faure • 23 augustus 2014 17:11

De scanners die ik getest heb, gebruikten alleen cpu bij het installeren van apps, omdat dat het enige punt is waar een stukje data execute rechten kan verwerven. Ik had niet de indruk dat dat nu zoveel vroeg van de telefoon.

Ik zit er over te denken om weer eens een paar apparaten te rooten, dus ik zal er weer eens naar gaan kijken.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:40]

Verwijderd @Verwijderd • 21 augustus 2014 17:53

Ik heb zelf een tijdje AV gedraaid (kreeg het bij een verlenging van een ESET licentie voor desktop) en geloof mij maar, dat ding ("Smart Security Mobile" volgens mij) is echt totale onzin.

Had even beetje zitten klooien met 'enge apps', en mooi dat ie ze niet oppikte, maar er waren wel even iets van 50 (niet eens overdreven!) permissies nodig, stelletje idioten, heb het na die test maar weer verwijderd, kost alleen maar batterijen, en slaat helemaal nergens op, en als iemand ooit die AV kraakt is het hek echt van de dam, want die apps eisen toegang tot echt alles.

Verwijderd @Verwijderd • 21 augustus 2014 18:08

Net als met virussen op computers, komt het voor een groot deel aan op de gebruiker, het klinkt heel simpel, maar denk gewoon maar eens na over wat een applicatie doet en waarom het bepaalde permissies vraagt, kom je erachter dat (op alle mobiele platformen trouwens) er genoeg apps zijn die meer permissies vragen dan ze eigenlijk nodig zouden moeten hebben. Het is natuurlijk ook erg af te raden om van iets anders dan de officiele 'winkel' je applicaties te downloaden, en dat is helaas een veel gemaakte fout bij Android gebruikers.

Maar besef ook dat virussen niet persee als app op je telefoon komen, een plaatje, mp3tje, pdfje, kan allemaal virussen bevatten.

Ik zou zelf niet beslissen om bewust geen Android device te nemen vanwege het gevaar, maar als ik nou niet zo goed wist hoe of wat, zou ik misschien wel juist voor een Apple device gaan, alleen al omdat dat bestuuringssysteem een stuk meer gesloten is dan bijv Android, maar het telt bijvoorbeeld ook mee hoe "groot" een platform is, en (geen flamewar/discussies over nodig danku!) Android is tegenwoordig nou eenmaal de grootste, dus zal ook (voor de virusverspreiders) de hoogste 'succesrate' hebben.

In dat opzicht ben je momenteel waarschijnlijk het veiligste als je een Blackberry gebruikt, die dingen zijn van zichzelf al behoorlijk veilig (was ook altijd de verkooppraat van blackberry) en hebben de 'toegevoegde waarde' dat niet heel veel mensen ze vandaag de dag nog hebben, dus zullen er ook minder (specifiek voor dat besturingssysteem gemaakte) virussen zijn.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:40]

Verwijderd @Verwijderd • 21 augustus 2014 19:00

Maar besef ook dat virussen niet persee als app op je telefoon komen, een plaatje, mp3tje, pdfje, kan allemaal virussen bevatten.

Voor zover mij bekend is dat op Android nog niet aangetoond. Wel downloads die beweren muziek te zijn. Maar uiteindelijk zijn het gewoon apk bestanden die netjes vragen of je ze wil installeren en welke rechten ze denken nodig te zijn.

En dat alleen als je installaties uit onbekende bronnen toestaat, anders komt de apk niet verder dan een vrij saaie foutmelding.

Als jij voorbeelden hebt uit het nieuws van data bestanden op Android die spontaan in executables veranderen dan houd ik me warm aanbevolen.

De tijd dat een plaatje zomaar kon veranderen in een programma ligt ook op Windows al een tijdje achter ons volgens mij. Alleen via webplug-ins gaat het nog wel eens mis.

Padje @Verwijderd • 21 augustus 2014 18:28

Android toestellen worden zelden bijgewerkt het is net Windows 95 zonder windowsupdate.

Verwijderd @Padje • 21 augustus 2014 18:31

Jammer dat je dat denkt, want dat is onjuist, ik herhaal hier een link van computerjunky's reactie een stukje lager op deze pagina:

http://gigaom.com/2014/08...n-is-no-longer-a-problem/

Ook Jorick heeft iets lager op deze pagina een sterk punt:

Als je Android 2.3 of hoger met Google Play Services draait (dat is zo'n 93% van de Android gebruikers) dan worden beveiligingsupdates via de Google Play Services uitgerold en ben je dus niet afhankelijk van fabrikanten die geen updates meer uitgeven voor oude toestellen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:40]

MunkleSon 21 augustus 2014 17:35

Android is wel de MS Windows van de mobiele OS'en geworden kwa aanvallen, Virussen en Phishing. Uiteraard komt dit ook door de populariteit. Blijft beanstigend hoe makkelijk dit soort dingen op te zetten zijn.

computerjunky @MunkleSon • 21 augustus 2014 17:59

Dit is geen aanval dit is gewoon door onkunde een app instaleren en vervolgens data vergaren.

Dit is dan ook geen gevaar als je normaal je telefoon of tablet gebruikt.

Als ik een tooltje online zet voor wat voor os dan ook en een sukkel installeert dat zonder enig onderzoek waarna ik vervolgens alle data kan vergaren is dat natuurlijk niet echt een fout in het systeem maar een fout van de gebruiker.

Je moet hiervoor al een app sideloaden omdat deze app niet in de play store zal staan.

SoloH @computerjunky • 22 augustus 2014 15:02

Nee, deze hack kan natuurlijk in elke app zitten. Een spelletje of een een of andere handige tool. Het is dus weldegelijk een gevaar bij normaal gebruik. Sideloaden is ook niet nodig. De app kan gewoon in de store komen.

Verwijderd @SoloH • 23 augustus 2014 17:00

In theorie wel. Maar aangezien Google het trucje nu kent, neem ik toch aan dat ze hun scanner gaan inrichten om dit gedrag te herkennen. Ik ga ervan uit dat dit hooguit buiten Play een probleem gaat worden. En zelfs dan vooral op oude telefoons, omdat apps in de recente Android versies gescand worden op malware bij installatie.

drdelta @computerjunky • 22 augustus 2014 09:29

Punt is dat er alleen om internet rechten gevraagd wordt, en veel mensen zullen zich niet realiseren dat een app dit vervolgens kan doen met die rechten.

monojack @MunkleSon • 21 augustus 2014 17:45

Het komt vooral door het open karakter van Android. Internet is een beetje als een grote stad maar dan zonder politie om je te beschermen tegen criminelen. Je kan in zo'n geval dan beter in een gated community gaan wonen.

MunkleSon @monojack • 21 augustus 2014 18:11

Ja en dat is tegelijk ook het mooie van het internet

vrijheid.

Ik begrijp dat het met het "Open Karakter" te maken heeft, ik ben me daar persoonlijk ook van bewust. Helaas de massa niet, zoals dezelfde massa niet snapt dat je met Windows makkelijk een virusje naar binnen klikt.

Maargoed je OS kan nog zo open of dicht zijn, zoals je zegt, je bent nooit veilig. Ik vind wel dat internet veiligheid een verplicht vak op school moet worden zodat men over het algemeen gewoon beter bewust is van de gevaren.

MacD @monojack • 22 augustus 2014 09:24

Nee, het komt puur, enkel en alleen omdat Android 80% van de markt is. Natuurlijk worden daar dan ook de meeste aanvallen op gericht. Zelfde met Windows/OSX/Linux; OSX kent de minste aanvallen, niet omdat het veilig is, maar omdat het nauwelijks wordt gebruikt en dus niet interessant is om aanvallen voor te ontwikkelen.

monojack @MacD • 22 augustus 2014 14:35

Dat is pure onzin. Toen iOS nog een groter marktaandeel had dan Android had Android al veel last van malware terwijl IOS met zijn groter marktaandeel er totaal geen last van had. Het was toen duidelijk dat security trough obscurity gewoon een fabletje was. Android is gewoon heel gemakkelijk voor criminelen, iOS is een bijna onhaalbare kaart dus focust men zich op het gemakkelijke doelwit. Marktaandeel heeft daar niks mee te maken, het is gewoon PR talk van bedrijven.

MacD @monojack • 22 augustus 2014 15:51

" er totaal geen last van had."

" iOS is een bijna onhaalbare kaart "

Kerel, op welke wereld leef jij waar iOS geen malware heeft/had? Sterker nog, iOS heeft t vanuit Cupertino ingebakken!

monojack @MacD • 22 augustus 2014 16:01

Je fantasie slaat duidelijk op hol. Er zit geen malware in iOS gebakken en jij krijgt het er als ontwikkelaar niet op. Feit blijft dat toen Android een kleiner marktaandeel had dan iOS het al last had van zeer veel malware.

MacD @monojack • 24 augustus 2014 19:30

Nee, mijn fantasie slaat niet op hol:

http://nakedsecurity.soph...iphones-steals-ad-clicks/

http://www.infosecurity-m...nign-apple-ios-apps-into/

http://www.forbes.com/sit...s-malware-hits-app-store/

En dat was snel google-en, niet eens op zoek naar de echte malware waar ik al over gelezen heb maar niet de moeite kan doen om voor je op te rakelen.

En wat betreft de data die ios terugstuurt/behoud (locatie sms etc), dat is oud nieuws.

Blijf maar denken dat het ene os beter is dan de ander. Dan weten wij in ieder geval dat je niet veel van programeren en computer science weet.

monojack @MacD • 24 augustus 2014 23:02

En nogmaals, je fantasie is op hol geslagen. Jij schreef dat malware is ingebakken in het OS zelf. Hoe ver weg van deze planeet moet je dan wel niet zijn om zoiets te beweren. En sorry hoor maar je gaat maar best wat nieuwe voorbeelden opzoeken want met dit zootje ongeregeld ga je echt je gelijk niet halen. De ene werkt enkel jailbroken iPhones, de andere is gewoon een white paper (proof of concept) en de andere wordt zelfs aangekondigd als de eerste en enige malware die ooit in de app store terecht kwam.

Echt man je moet jezelf laten nakijken want je maakt het echt wel heel bont.

johnkeates @monojack • 21 augustus 2014 17:52

Nee daar heeft het toevallig geen zak mee te maken.
Het heeft bij Android met de grote versplintering van edities en versies met een common base te maken, waarbij de beveiliging er als een laagje boven op zweeft en door nagenoeg geen enkele vendor serieus genomen wordt, en vaak ook geen updates krijgt na de release periode.

Linux kan je prima veilig houden, een een lek eind-gebruiker-schilletje is een stuk lastiger.

Als er een uniforme update methode op basis van packages was had Android meer kans gehad om bij te blijven buiten de device vendors om. Door dat het daar nu juist van afhankelijk is kan een normale gebruiker eigenlijk geen Android toestel kopen met langdurige support.

[Reactie gewijzigd door johnkeates op 27 juli 2024 05:40]

Miks @johnkeates • 22 augustus 2014 00:01

Deze "hack", wat in mijn ogen trouwens geen phishing is aangezien dat eerder een vorm van social engineering is (definitie kwestie), heeft niks met de versplintering van android te maken of met de manier van updates uitdragen. Nee dit gaat om een feature van Android, namelijk dat een app zich op de voorgrond kan plaatsen. Erg handig voor bijvoorbeeld een wekker. Niet handig als je kijkt naar deze hack.

Overigens ben ik het wel met je eens, het Android updatebeleid is slecht doordacht. En de versplintering is ook slecht voor Android, niet alleen voor de beveiliging, ook voor bijvoorbeeld support en usability.

SoloH @Miks • 22 augustus 2014 14:57

Als ik het zo lees is het een hack. Op vernuftige wijze wordt het schermbuffer uitgelezen. Daar waar een password puur gemaskerd weergegeven wordt kan dan weer een phising methode worden toegepast door snel een ander scherm voor te schotelen.
Daarbij heb je gelijk van de feature van het op de voorgrond kunnen plaatsen. Er is tevens een extra feature nodig die Android heeft, namelijk multi-threading.

Verwijderd @johnkeates • 22 augustus 2014 09:40

Android L gaat ongeveer werken zoals jij dat beschrijft. Dit icm Google Play Services wordt het zeker stuk beter. Maar voordat de meerderheid op L zit, zijn we even verder

johnkeates @Verwijderd • 22 augustus 2014 18:24

Dat klopt, maar dat is ook een beetje het probleem natuurlijk

Voor bijna alle huidige telefoons zal gelden dat ze niet naar Android L bijgewerkt zullen worden vannuit de fabrikant (ook al zou het technisch geen probleem opleveren) om dat de support afgelopen is.

Om dat ze aan het ecosysteem aan zich niet echt kunnen verdienen en de ook geen directe klantenbinding aan gaan door dat ze niet aan hun hardware binden maar aan hun software zijn ze vooral geïnteresseerd om zo snel mogelijk nieuwe modellen te verkopen. Het zou alleen maar slecht voor hun uitpakken als ze bestaande toestellen zouden blijven ondersteunen en updaten om dat ze zo hun eigen verdienmodel tegenwerken. En om dat alle fabrikanten het zo doen is het ook niet alsof ze dan bang hoeven te zijn voor concurrentie binnen hun platform waar wel goede langdurige support geboden wordt.

Daarnaast is Google Play Services natuurlijk weer een binding buiten AOSP en de hardware vendor om die dan opeens een stuk meer aan google gebonden is om het allemaal goed te laten functioneren.

Verwijderd @johnkeates • 22 augustus 2014 19:31

Ja klopt, maar bij Android L kan Google zelf delen van het systeem upgraden. Als ik de keynote IO tenminste goed heb begrepen

johnkeates @Verwijderd • 22 augustus 2014 19:42

Dat is zo, maar pas nadat fabrikanten toestellen met Android L leveren of upgraden

Voor Android L (alles wat er zo ongeveer nu is) kan dat dus niet en de kans is klein dat dat nog komt.

Verwijderd @johnkeates • 23 augustus 2014 14:13

Eens

johnkeates @Verwijderd • 23 augustus 2014 14:25

Nu maar hopen dat fabrikanten niet een manier verzinnen om hun oude business model in stand te houden en updates buiten hun eigen systeem om niet blokkeren. Dat zou ook nog kunnen gebeuren.

computerjunky @johnkeates • 21 augustus 2014 18:01

Niet serieus genomen?

Sorry maar als een bedrijf android niet serieus neemt neem ik dat bedrijf niet serieus.
Het draait immers op meer dan 75% van alle devices wereldwijd.
Het is dan ook een raadsel waarom sommige bedrijven niet de moeite nemen om apps op android uit te brengen.
Dat ze uitkomen op ios en DAARNA op android is te begrijpen het is immers wat ingewikkelder door alle hardware opties maar het niet uitbrengen is gewoonweg dom.

Verwijderd @computerjunky • 21 augustus 2014 18:06

Even goed lezen wat johnkeates zegt. Hij zegt dat androidleveranciers de beveiliging niet serieus nemen, en dat klopt wel. Ik heb toen ik nog een android telefoon had Samsung wel eens gevraagd of ze het toen actuele beveiligingsissue nog gingen fixen voor mijn telefoon (die nog geen jaar oud was) en hun antwoord was letterlijk 'Wij kunnen niets voor u doen'

En dat programma's eerst op IOS uitkomen is omdat er met IOS nog meer verdient wordt met apps.

(zou trouwens een slechte zaak zijn als apps ontwikkelen voor android zo ingewikkeld is omdat er wat schermresoluties verschillen)

supestw @johnkeates • 21 augustus 2014 17:55

Ooit van Google Play Services gehoord? Voor je wat roept, eerst eens wat kennis van zaken hebben..

Verwijderd @supestw • 21 augustus 2014 20:48

Nee jij weet wel waar de klepel hangt!

Google stuurt geen OS updates naar je telefoon. Dat doen alleen de fabrikanten. Updates van apps ja dat doet Google wel verspreiden. HTC heeft nu wel een aantal updates via de play store lopen. Maar het is waar bij Linux en Unix kun je delen van je drivers of een kernel gewoon aanpassen / updaten.... bij android mot nu moet er elke keer een Rom gebouwd worden ipv on the fly updates installeren

Fly-guy

@johnkeates • 21 augustus 2014 18:39

En wat is de reden dat het één van de problemen is? Omdat zo vanuit google allerlei fixes naar 95% van de westerse Android telefoons gestuurd kan worden? En zelfs 95% is waarschijnlijk hoger omdat je, ook al geeft de fabrikant deze services niet mee, zelf alsnog deze dienst kan installeren.
Of wil je deze service niet? Dan moet je google niet de schuld geven dat er vanuit de fabrikant geen oplossing komt.

Verwijderd @Fly-guy • 22 augustus 2014 07:55

En wat is de reden dat het één van de problemen is? Omdat zo vanuit google allerlei fixes naar 95% van de westerse Android telefoons gestuurd kan worden? En zelfs 95% is waarschijnlijk hoger omdat je, ook al geeft de fabrikant deze services niet mee, zelf alsnog deze dienst kan installeren.
Of wil je deze service niet? Dan moet je google niet de schuld geven dat er vanuit de fabrikant geen oplossing komt.

Hoe kom je hierbij? Google stuurt geen OS updates naar 95% van de telefoons, dit doen ze alleen bij hun eigen telefoons en dat marktaandeel is nihil. De hardware leveranciers ala Samsung, HTC etc zijn verantwoordelijk voor OS updates op hun eigen toestellen ivm eigen schilletje. Daarnaast is het zo dat de Google playstore best vaak malafide apps heeft aangeboden doordat de controle op Apps hier ook niet altijd je van het is. Het beste middel tegen rotzooi blijft gewoon gezond verstand gebruiken.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:40]

Verwijderd @MunkleSon • 21 augustus 2014 17:56

Het blijft over het algemeen in onze regio nog steeds bij proof of concept aanvallen. De meeste telefoons hier hebben het installeren uit onbekende bronnen uit staan, waardoor hackers ook nog eens de horde van de Play store moeten zien te nemen. In theorie is die wel te nemen, maar in de praktijk lijkt het voor de echte malwaremakers nog teveel moeite.

Het blijft hoofdzakelijk een beetje bij gekl**t in de legale marges.

Het is een interessante aanvalsvector. Al lijkt het me in de praktijk niet al te eenvoudig om te gebruiken. Je zal toch vrij diepgaande kennis van de app moeten hebben die je wil aanvallen. Maar het toont duidelijk aan dat de sandbox als beveiliging niet meer afdoende is.

De oplossing van Apple, waar het gewoon niet toegestaan is om naar de voorgrond te dringen zou bij Android niet misstaan. Al zou dat voor mijn wekker misschien weer niet zo praktisch zijn.

Raindeer @MunkleSon • 21 augustus 2014 18:12

Het lijkt mij, maar ik kan fout zitten, dat een van de redenen om de aanvallen op Android te proberen is ook omdat je als onderzoeker toegang hebt tot de source en binaries in een volledige development omgeving. Bij Windows en IOS werk je bovenop een blackbox. Voor een academicus is de keuze snel gemaakt. Heb je een idee, dan kun je dat snel testen en bouwen. Werkt het niet, dan kun je verbeteren of iets anders doen. Dan houd je nog tijd over voor het schrijven van een paper en een presentatie voor een conferentie. Bij IOS en Windows kan het misschien ook wel, maar je moet blind door de bagger roeren en dan hopen dat je iets vindt. Als academicus weet je het dan wel, dan ga je voor het platform waar je snel en helder kunt zien of een idee kan en werkt, of dat het een dood spoor is en je verder moet.

SoloH @Raindeer • 22 augustus 2014 15:05

Dat klopt. Als je hun paper leest, dan zeggen ze ook dat bij Windows en OSX/iOS ge-reversed engineerd moet worden. Dit hadden ze kort getracht en kwamen tot de conclusie dat Windows de framebuffer makkelijk prijs gaf. OSX was lastiger en werd verder niet echt geprobeerd. iOS was niet naar gekeken.
Bij Android hadden ze gewoon naar de source code gekeken.

vinkjb @MunkleSon • 21 augustus 2014 19:13

iets wat populair is trekt de aandacht, positief of negatief....goeie mensen, kwaadwillende mensen

gr. John

418O2 @MunkleSon • 21 augustus 2014 21:44

Omdat het het grootste en dus interessantste zijn om te hacken

harley @MunkleSon • 21 augustus 2014 18:15

Dat zal mede te maken hebben met het marktaandeel van de software.
Daar waar het meeste te halen valt zal de meeste focus op liggen !

monojack @harley • 21 augustus 2014 19:33

Toen iOS nog een groter marktaandeel had dan Android was Android al het veelvuldig het slachtoffer van zulke zaken dus dat excuus dat marktaandeel de oorzaak is klopt totaal niet.

Verwijderd @monojack • 22 augustus 2014 08:47

Inderdaad marktaandeel als argument alleen slaat de plank denk ik mis.

Net als bij gewone software is het meer een inschatting van de Return On Investment (ROI). Je gaat kijken waar het meeste te halen valt en hoeveel je moet investeren om winst te halen.

In de App store van Apple kom je heel moeilijk binnen met crapware, terwijl het bij Android zelfs mogelijk is om helemaal om de App store heen te werken. Zeker in landen waar het gebruikelijker is om te sideloaden ligt de verhouding tussen investering en winst een stuk lager. Dat maakte Android vanaf het begin al een aantrekkelijker doelwit.

Had Android het sideloaden onmogelijk gemaakt, dan zouden Apple en Android veel dichter bij elkaar gelegen hebben. Al had Apple dan nog steeds ruim gewonnen door het veel strengere toelatingsbeleid. Laat me daar gewoon eerlijk in zijn.

i-chat 21 augustus 2014 17:37

holy fu.... dit is toch wel een behoorlijk creapy manier en ik vrees dat het ook nog behoorlijk lastig zal blijken er iets tegen te doen, bovendien letten de meeste mensen echt totaal niet op hun smarphone

Fly-guy

@i-chat • 21 augustus 2014 18:45

De manier om 99% van alle aanvallen op Android af te weren, is om geen apps buiten de play store om te installeren, of als je dat wel wil, van betrouwbare bronnen (bv Amazon).
Standaard staat die optie overigens uit en je wordt meermaals gewaarschuwd als je het aanzet.
Op een gegeven moment is het toch echt je eigen verantwoordelijkheid geworden...

SoloH @Fly-guy • 22 augustus 2014 20:09

Probleem met deze hack is dat het prima in een willekeurige "useful" app kan worden gestopt en in de Store kan worden gezet. Google gaat dat niet tegenhouden en een gebruiker denkt dat ie een leuk spelletje of iets dergelijks heeft.

computerjunky @i-chat • 21 augustus 2014 18:02

Het is juist doodsimpel.
Geen apps sideloaden en je ben hiertegen veilig.
Als je alleen vertrouwde apps instaleerd van de playstore is er niets aan de hand.

Verwijderd @Verwijderd • 21 augustus 2014 19:14

Tussen "Zolang je niks sideload, ben je veilig" en "In de praktijk is Android zo lek als een mandje" ligt gelukkig een kolossaal grijs gebied. En ik denk dat de eerste bewering een stuk dichter bij de realiteit staat dan de tweede.

Ik ben met je eens dat Google strenger zou mogen zijn in het toelatingsbeleid voor Play, maar dat ze *veel* te weinig doen is wat mij betreft onzin.

Verwijderd @Verwijderd • 21 augustus 2014 20:29

Tussen "Zolang je niks sideload, ben je veilig" en "In de praktijk is Android zo lek als een mandje" ligt gelukkig een kolossaal grijs gebied. En ik denk dat de eerste bewering een stuk dichter bij de realiteit staat dan de tweede.

Ten eerste zijn dat twee onafhankelijke beweringen:
"Zo lek als een mandje" gaat om het ontwerp van het OS an sich. Dat heeft weinig te maken met hoeveel die lekken in de praktijk uitgebuit worden.

De andere opmerking gaat over hoe malware verspreid wordt (malware maakt niet per definitie gebruik van een lek in het OS, maar kan ook bv social engineering/phishing gebruiken... Daar is geen enkel OS tegen bestand, het 'lek' zit dan tussen stoel en bureau. De malware in het genoemde artikel is een combinatie van de twee), en de suggestie werd gewekt dat alles in de Play Store ook veilig is. Heb je het artikel ook gelezen? http://www.pcworld.com/ar...he-google-play-store.html
"By 2013, more than 42,000 apps in Google’s store contained spyware and information-stealing Trojan programs, researchers said."
Die getallen zijn schrikbarend, en "Zolang je niks slideload, ben je veilig" staat dus niet bepaald dicht bij de realiteit.
Naar mijn mening zijn die getallen dus dermate hoog dat ik kan stellen dat Google te weinig gedaan heeft (bij Apple en Windows Phone is de malware binnen de store veel beter onder controle, ter vergelijking).

[Reactie gewijzigd door Verwijderd op 27 juli 2024 05:40]

Jivebunny @Verwijderd • 22 augustus 2014 07:53

Ik las laatst het tegengestelde over ms: http://www.howtogeek.com/...hy-doesnt-microsoft-care/.

Nu weet ik niet of het klopt, maar toch.

Verwijderd @Jivebunny • 22 augustus 2014 08:34

Dat heb ik intussen ook uit meerdere bronnen vernomen. De app store van Microsoft lijkt dichter bij die van Google te staan dan bij die van Apple.

En Microsoft erkent ook dat ze daar stappen moeten zetten: http://www.neowin.net/new...-has-a-bunch-of-crap-apps

Het feit dat bij Microsoft het sideloaden lastiger is zorgt er naar mijn idee voor dat daar de score beter is. Bij Android is het nu eenmaal zo dat het buiten het eco-systeem van de Play store een redelijk Wild West gebeuren is.

Plus natuurlijk dat Androids marktaandeel het een stuk aantrekkelijker maakt als doelwit. Ik neem tenminste aan dat de benodigde inspanning om de crapware gemaakt en geïnstalleerd te krijgen ongeveer gelijk is.

Verwijderd @Jivebunny • 22 augustus 2014 13:00

Dat is een ander verhaal. Die apps zijn geen malware, maar zijn gewoon vrij nutteloos.
Ja, zonde van je geld... Maar verder geen risico dat je bankgegevens onderschept worden of iets.

Het is overigens een hellend vlak: wanneer is een app 'nutteloos'? En is het wel aan MS om dat te bepalen? Zodra MS dergelijke apps gaat weren, gaan mensen weer klagen dat MS veel te streng is.
Het feit dat je dergelijke apps mag publiceren geeft misschien juist aan hoe soepel en open MS is.
Laat gebruikers die apps maar raten en reviewen, en op die manier andere gebruikers waarschuwen, dan reguleert het zich vanzelf.

Verwijderd @Verwijderd • 22 augustus 2014 13:52

Dat is een ander verhaal. Die apps zijn geen malware, maar zijn gewoon vrij nutteloos.

Grappig vind ik dat. Veel onderzoekers rekenen apps op Android die excessief ads pushen via notifications (meerdere malen per dag) tot malware, hoe nuttig zo'n app verder ook zou kunnen zijn voor een gebruiker.

Is het dan wel aan Google om zo'n gratis app te weren? Maar moet Microsoft niet apps weren die gewoon keihard je geld stelen, omdat ze dan wellicht te streng zijn?

Als die ads me irriteren dan gooi ik die gratis app er weer af. Of ik mijn geld terug krijg van zo'n crap app? Ik betwijfel het.

Verwijderd @Verwijderd • 22 augustus 2014 14:04

Is het dan wel aan Google om zo'n gratis app te weren?

Waarom zo zwart-wit?
Google kan gewoon regels opstellen voor hoevaak een app ads mag vertonen, en op basis daarvan apps weren die niet aan die regels voldoen (wat Google dan dus actief moet testen).

Maar moet Microsoft niet apps weren die gewoon keihard je geld stelen, omdat ze dan wellicht te streng zijn?

Stelen is niet het juiste woord. Jij gaat zelf bewust over tot de koop.
En voor zover ik kan zien, is de app-omschrijving ook niet misleidend: er staat letterlijk dat de app alleen helpt om iets als VLC of iTunes te downloaden. Als de app dat daadwerkelijk doet (en verder niets anders), dan heb jij als koper verder geen recht tot klagen.

Maar, op zich wel interessant hoe jij ernaar kijkt. Dat zegt een hoop over jou.

Verwijderd @Verwijderd • 22 augustus 2014 14:21

Google kan gewoon regels opstellen...

Waarom? Google heeft gewoon een vinkje op de app info gezet of de app notificaties mag tonen.

For example, if you search VLC, a popular media player, you will find several options, and it is not clear which app is the official product. More so, if you click on the wrong one, it will cost you $2.49 to download an 'app' that provides you with a download link to the desktop application. There is no value for this app and yet Microsoft has let it through its filters and is live in the Windows Store.

Stelen lijkt me hier een heel juist woord. Het gaat hier gewoon keihard om misleiding. Het zelfde als, in de winkel een Lumia kopen en er thuis achter komen dat het alleen een adreslijst met verkooppunten is.

En Microsoft zelf erkend ook gewoon dat het een probleem is, dus waarom probeer je het überhaupt goed te praten? Ben je er zo van overtuigd dat jij beter weet wat het probleem is dan de aanbieder zelf?

Maar, op zich wel interessant hoe jij ernaar kijkt.

Ik ontken niet dat de Play store strenger zou mogen selecteren, terwijl jij lijkt goed te praten dat oplichters actief zijn in de Windows Store.

Dat zegt een hoop over jou.

Ik zou kunnen beginnen over een spiegel, maar ik denk dat ik het hier maar bij laat.

Verwijderd @Verwijderd • 22 augustus 2014 14:35

Waarom? Google heeft gewoon een vinkje op de app info gezet of de app notificaties mag tonen.

En daar wordt misbruik van gemaakt.
Een gebruiker zal af en toe een notificatie niet erg vinden, maar constant reclameboodschappen als notificatie is wel vervelend.
Dus moet Google daar strengere regels voor maken qua inhoud en frekwentie van dergelijke notificaties.

Stelen lijkt me hier een heel juist woord.

Nee, stelen is onrechtmatig wegnemen.
Jij klikt zelf op de koop-knop, waarmee je dus jouw goedkeuring geeft, en dat is dus rechtmatig.

Het gaat hier gewoon keihard om misleiding.

Dat dan weer wel, maar misleiding is niet per definitie strafbaar.

Het zelfde als, in de winkel een Lumia kopen en er thuis achter komen dat het alleen een adreslijst met verkooppunten is.

Nee, zoals ik al zei: de beschrijving van de app was niet misleidend: die beschreef gewoon letterlijk wat de app deed. Als jij alleen op het naampje en ikoontje afgaat, en niet de beschrijving leest, dan is dat jouw probleem.
Het 'misbruik' is dus beperkt tot het gebruik van een bekend ikoon en een bekende naam, en het feit dat mensen vaak impulsief op 'kopen' klikken, ipv eerst goed lezen.

En Microsoft zelf erkend ook gewoon dat het een probleem is, dus waarom probeer je het überhaupt goed te praten?

Ik ontken niet dat het een probleem is.
Ik zeg alleen dat de oplossing erg lastig is. De apps doen in principe niet echt iets fout, ze zijn alleen nutteloos, en mensen die niet goed lezen, kopen ze dan.
En dus is het een hellend vlak als MS gaat bepalen wanneer een app wel of niet nutteloos is.

Ben je er zo van overtuigd dat jij beter weet wat het probleem is dan de aanbieder zelf?

Ah, ga je het weer persoonlijk draaien? Zegt weer veel over jou.
Maar zie eerst hierboven: probeer zaken eerst eens wat beter te scheiden. Je gooit nu al meerdere keren verschillende dingen op 1 hoop, en probeert daar dan allerlei onterechte conclusies uit te trekken.

Verwijderd @Verwijderd • 22 augustus 2014 15:11

Ah, ga je het weer persoonlijk draaien? Zegt weer veel over jou.

Sprak de pot verwijtend tot de ketel.

Ik ga dit volstrekt zinloze welles nietes spelletje afbreken.

Verwijderd @Verwijderd • 22 augustus 2014 16:00

Ik ga dit volstrekt zinloze welles nietes spelletje afbreken.

Omdat jij alles zwart-wit ziet, en verschillende onafhankelijke dingen op 1 hoop veegt, wordt alles bij jou al gauw welles-nietes.

Jivebunny @Verwijderd • 22 augustus 2014 14:49

Dat is waar, feit blijft dat het een doorn in het oog blijft voor de gebruikers, omdat er zoveel nutteloze apps naar voren komen als je naar een echte app op zoek bent, en daarmee het gebruiksgemak zeker niet ten goede komt. Ik denk dat MS er goed aan kan doen door hier wel aandacht op te leggen (waar ze dus ook mee bezig zijn).

Verwijderd @Verwijderd • 22 augustus 2014 07:50

Zoals ik al zei, het deurbeleid bij Google zou beter kunnen, dus op dat punt zijn we het eens. De rest ga ik niet op happen, want ik heb niet het gevoel dat dat zin heeft.

De kans op besmetting met malware was meen ik iets van 0.2% als je gebruik maakte van de Play store. En dat was voordat Google begon met het scannen op malware. Voor mij is dat goed genoeg.

MunkleSon @i-chat • 21 augustus 2014 17:40

Inderdaad en dan zie je toch dat een open systeem als Android niet altijd positief is voor de massa, mensen doen maar wat en letten niet op, voor je het weet liggen je gegevens op straat. Zonder een OS discussie te beginnen, zie je dat iOS daar toch wat extra bescherming biedt.

DaanHetEendje @Verwijderd • 21 augustus 2014 18:23

Eigenlijk denk ik toch dat de iOS market wel rendabel is.

Ze hebben een markt aandeel van iets van 14.7% ofzo, maar de gebruikers denken juist dat het een super ondoordringbaar veilig OS is, wat er dus voor zorgt dat dit juist rendabel is.

sun0000 @Verwijderd • 21 augustus 2014 18:55

"Niemand neemt Apple echt serieus in de normale wereld"?
Ik weet niet wat jij de "normale wereld" vindt maar wat ik vindt is dat je de plank volledig mis slaat.
Als je IOS Devices bagger vindt dan mag dat uiteraard, maar zo'n opmerking raakt kant nog wal.

Verwijderd @Padje • 22 augustus 2014 02:52

De meest waardevolle informatie van bijvoorbeeld de G7-leiders, diplomaten, ceo's, criminelen en bankiers staat als het goed is op telefoons zonder ios of android.

Verwijderd 21 augustus 2014 17:50

Heerlijk relevant artikel Tweakers, kwam me goed van pas in een reactie op dit artikel, top!

Flytezero 21 augustus 2014 17:44

Ben benieuwd of dit werkt met een andere app, zo te zien niet. Dit is meer phishing dan een andere app hacken. Bijvoorbeeld wanneer iemand de rabobank app opent en hier gegevens invult. Maar nu zijn beide apps van dezelfde maker.

sympa 21 augustus 2014 23:13

Android heeft daar wel een aparte permissie voor: "over andere apps weergeven". En er is ook "informatie opvragen over andere apps" nodig. Anders komt die PIN-popup elke keer als andere software 130 Kb aan videogeheugen alloceert

RobinJ1995

23 augustus 2014 18:15

Das best slim bedankt

wjn 21 augustus 2014 17:46

Grootste probleem van Android zijn de ontbrekende fixes / updates. 50% draait nog op de oude 2.x versie, inclusief alle gaten.

O wee als bijv. Java, Windows, OS-X een bug of gat heeft, maar bij Android neemt iedereen het voor lief.....

computerjunky @wjn • 21 augustus 2014 18:08

onzin.

http://gigaom.com/2014/08...n-is-no-longer-a-problem/

Er zijn niet veel mensen meer die 2.x draaien en degene die dat doen zijn mensen die toch geen apps installeren en dus veilig zijn en waarschijnlijk een budget toestelletje hebben onder de 4 inch en er alleen mee bellen (ouderen exclusief mijn oma haha).

Wat je nou zegt kan zo in het groepje LG maakt bagger telefoons geplaatst worden.
Het is onzin en al lang niet meer waar.

[Reactie gewijzigd door computerjunky op 27 juli 2024 05:40]

Verwijderd @wjn • 21 augustus 2014 19:07

Je hebt het waarschijnlijk verkeerd verstaan. Minder dan 15% draait nog op 2.x. Alleen al dat maakt de rest van je betoog volstrekt ongeloofwaardig.

Jorick @wjn • 21 augustus 2014 18:07

Het ligt wel iets genuanceerder dan dit hoor. Het klopt dat veel toestellen nog een oudere versie van Android draaien, echter hoeft dit niet te betekenen dat ze geen beveiligingsupdates meer krijgen. Als je Android 2.3 of hoger met Google Play Services draait (dat is zo'n 93% van de Android gebruikers) dan worden beveiligingsupdates via de Google Play Services uitgerold en ben je dus niet afhankelijk van fabrikanten die geen updates meer uitgeven voor oude toestellen.

GeoBeo 21 augustus 2014 18:10

geraffineerde phishing-aanval?! Dit is het equivalent van de > 20 jaar bestaande keyloggers op PC's.

Niet echt onder de indruk...

GeoBeo @Verwijderd • 21 augustus 2014 21:06

In gebruik werkt het hetzelfde als een keylogger: op het apparaat van het slachtoffer dient een applicatie geinstalleerd te worden en vervolgens worden daarmee inlog gegevens afgeluisterd. Dit is zelfs nog minder geavanceerd als een keylogger aangezien verschillende apps nagebootst moeten worden om de keystrokes te kunnen zien.

De implementatie is vast knap, maar de mogelijkheden in het gebruik van de "exploit" zijn nou niet echt geavanceerd.

breezie @GeoBeo • 22 augustus 2014 08:17

Een keylogger luistert gewoon naar events in het OS zoals toetsaanslagen. In Windows kun je relatief eenvoudig een applicatie injecteren die Window Events opvangt en er vervolgens iets mee doet.

Een keylogger in android zou volgens mij ook enkel maar mogelijk zijn wanneer je root access hebt of wanneer je een eigen schermtoetsenbord ontwikkelt en deze door de gebruiker laat inschakelen.

In dit proof of concept gebeurt er echter iets compleet anders. Zoals je ziet is er ook enkel maar de Internet permissie die nodig is.
Er wordt naar fluctuaties in het geheugengebruik gekeken waardoor men op het gepaste moment (wanneer de echte activity bijvoorbeeld een login activity zou tonen) een eigen activity overheen het scherm kan gooien waarmee de gebruiker-input rechtstreeks in de malafide app wordt opgevangen.

[Reactie gewijzigd door breezie op 27 juli 2024 05:40]

Verwijderd @GeoBeo • 22 augustus 2014 08:20

De implementatie is vast knap, maar de mogelijkheden in het gebruik...

Op dat punt heb je gelijk. In gebruik is het vrij simpel. Kan ook niet anders omdat het (voor zover mij bekend) nog steeds niet mogelijk is in in te breken in de sandbox van de aangevallen app. De truc zelf, van het frontje voor de login, ken ik al van het jaren 80 Unix hacking nieuws.

Het is dan ook het feit dat ze een truc hebben gevonden om om de sandbox heen te werken wat het geraffineerd maakt. Achteraf bezien had je kunnen zien aankomen dat dit zou gaan gebeuren. Een app op een telefoon draait met vaste posities op het scherm, dus is de app uit te lezen via zijn schermgeheugen. Iets wat met een windowed systeem als Windows een stuk lastiger is.

In feite zijn we het denk ik gewoon eens.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: