Kwetsbaarheid van Quadrooter: 5 dingen om te weten over deze Android-beveiligingsschrik

Inhoudsopgave:

1. Het is een ding van Qualcomm
2. Het is serieus, maar er is geen bewijs dat het in het wild wordt gebruikt
3. De kans is groot dat je niet "kwetsbaar" bent
4. Android-beveiliging is moeilijk, zelfs met maandelijkse patches
5. We zijn hier eerder geweest

Nogmaals, het is Android-beveiligingsseizoen. Vanmorgen ging het nieuws over de nieuwste verzameling kwetsbaarheden, ontdekt door beveiligingsbedrijf Check Point en gegroepeerd onder de aanstekelijke monicker "QuadRooter". Zoals gewoonlijk is de meeste rapportage gericht op worst-case scenario's en een schokkend groot aantal potentieel kwetsbare apparaten - in dit geval naar schatting 900 miljoen.

We gaan precies uitzoeken wat er aan de hand is, en hoe kwetsbaar je waarschijnlijk bent. Lees verder.

1. Het is een ding van Qualcomm

Check Point richtte zich specifiek op Qualcomm vanwege zijn dominante positie in het Android-ecosysteem. Omdat zoveel Android-telefoons Qualcomm-hardware gebruiken, vormen de stuurprogramma's die Qualcomm bijdraagt aan de software op deze telefoons een aantrekkelijk doelwit - een enkele reeks kwetsbaarheden die een groot deel van het Android-gebruikersbestand treffen. (In het bijzonder hebben de bugs invloed op netwerken, afbeeldingen en geheugentoewijzingscode.)

De chauffeurs van Qualcomm zijn een groot, aantrekkelijk doelwit.

Alle vier de exploits waaruit QuadRooter bestaat, zijn van invloed op Qualcomm-stuurprogramma's, dus als je een telefoon hebt die helemaal geen Qualcomm-hardware gebruikt - bijvoorbeeld een Galaxy S6 of Note 5 (die Samsung's eigen Exynos-processor en Shannon-modem gebruikt), worden hier niet door beïnvloed.

2. Het is serieus, maar er is geen bewijs dat het in het wild wordt gebruikt

Zoals de naam al doet vermoeden, is QuadRoot een verzameling van vier exploits in de code van Qualcomm waarmee een kwaadwillende app rootprivileges kan krijgen - dat wil zeggen toegang om vrijwel alles op uw telefoon te doen. Van daaruit kun je een willekeurig aantal nachtmerriescenario's verzinnen: aanvallers die luisteren naar telefoongesprekken, door je camera spioneren, financiële details besturen of je gegevens vergrendelen met ransomware.

Niemand heeft het nog over deze exploits die in het wild worden gebruikt, wat een goede zaak is. (Check Point schat dat de slechteriken het binnen drie of vier maanden in werkende malware zullen laten verpakken.) Gezien de uitdagingen die gepaard gaan met het updaten van de software op de miljard Android-apparaten die er zijn, hebben makers van malware echter voldoende tijd om erachter te komen een praktische toepassing.

Maar…

3. De kans is groot dat je niet "kwetsbaar" bent

QuadRooter is een van de vele Android-beveiligingsproblemen waarbij u een app handmatig moet installeren. Dat betekent handmatig naar Beveiligingsinstellingen gaan en het selectievakje "Onbekende bronnen" inschakelen.

Elke vuln die vereist dat u handmatig een app installeert, komt in twee grote wegversperringen: de Play Store en de ingebouwde "Verify Apps" -functie van Android.

Aangezien Check Point de kwetsbaarheden voor het eerst in april heeft bekendgemaakt, scant Google vrijwel zeker al geruime tijd Play Store-apps op deze exploits. Dat betekent dat het goed met je gaat als je, zoals de meeste mensen, alleen apps downloadt uit de Play Store.

En zelfs als u dat niet doet, is de functie "Apps verifiëren" van Android ontworpen om als een extra beveiligingslaag te werken en apps van externe bronnen te scannen op bekende malware voordat u deze installeert. Deze functie is standaard ingeschakeld in alle Android-versies sinds 2012 4.2 Jelly Bean, en omdat het onderdeel is van Google Play Services, wordt het altijd bijgewerkt. Vanaf de meest recente beschikbare statistieken draait op meer dan 90 procent van de actieve Android-apparaten versie 4.2 of hoger.

We hebben geen expliciete bevestiging van Google dat "Verify Apps" scant op QuadRooter, maar gezien het feit dat Google maanden geleden is geïnformeerd, is de kans groot dat het dat is. En als dat het geval is, zal Android elke QuadRooter-herbergende app als schadelijk identificeren en een groot eng waarschuwingsscherm weergeven voordat je ergens in de buurt van de installatie terechtkomt.

Update: Google heeft bevestigd dat Verify Apps QuadRooter kan detecteren en blokkeren.

Ben je in dat geval nog steeds 'kwetsbaar'? Nou technisch gezien. U kunt mogelijk naar Beveiligingsinstellingen gaan, Onbekende bronnen inschakelen en vervolgens de waarschuwing op volledig scherm negeren dat u op het punt staat malware te installeren en ergens anders een andere beveiligingsinstelling uitschakelen. Maar op dat moment is het voor een groot deel op jou.

4. Android-beveiliging is moeilijk, zelfs met maandelijkse patches

Een interessant aspect van de QuadRooter-saga is wat het ons laat zien over de Android-beveiligingsuitdagingen die nog steeds bestaan, zelfs in een wereld van maandelijkse beveiligingspatches. Drie van de vier kwetsbaarheden zijn opgelost in de laatste patches van augustus 2016, maar een is blijkbaar door de scheuren geglipt en zal niet worden opgelost tot de september-patch. Dat is reden voor terechte bezorgdheid aangezien openbaarmaking al in april plaatsvond.

Een vertegenwoordiger van Qualcomm vertelde ZDNet echter dat de chipmaker tussen april en juli eigen patches aan fabrikanten had uitgegeven, dus het is mogelijk dat bepaalde modellen buiten het patch-mechanisme van Google zijn bijgewerkt. Dit onderstreept alleen de verwarring bij het hebben van een expliciet patchniveau van Google, terwijl apparaatfabrikanten en componentenfabrikanten ook beveiligingsoplossingen bieden.

De meeste Android-telefoonfabrikanten zijn slecht in het uitgeven van beveiligingspatches. En zelfs up-to-date apparaten zullen nog geen maand meer volledig worden gepatcht.

Voorlopig is de enige manier om te weten of uw telefoon theoretisch kwetsbaar is, de QuadRoot-scanner-app van Check Point te downloaden vanuit de Play Store.

Zelfs als patches eenmaal zijn uitgegeven, moeten ze door apparaatfabrikanten en providers gaan voordat ze naar telefoons worden gepusht. En hoewel sommige bedrijven zoals Samsung, BlackBerry en (natuurlijk) Google er snel voor hebben gezorgd dat de nieuwste patches beschikbaar zijn, zijn de meeste mensen die Android-apparaten maken lang niet zo snel - vooral als het gaat om oudere of goedkopere telefoons.

QuadRooter onderstreept hoe de alomtegenwoordigheid van Qualcomm-gebaseerde Android-apparaten ze tot een aantrekkelijk doel maakt, terwijl de verscheidenheid aan hardware als geheel het bijwerken van alle apparaten vrijwel onmogelijk maakt.

5. We zijn hier eerder geweest

Catchy marketingnaam? Controleren.
Groot eng aantal "kwetsbare" apparaten? Controleren.
Gratis detectie-app verkocht door beveiligingsbedrijf met een te verkopen product? Controleren.
Geen bewijs van gebruik in het wild? Controleren.
Algemeen drukken de Play Store negeren en apps verifiëren als een wegversperring tegen app-gebaseerde exploits? Controleren.

Het is dezelfde dans die we elk jaar rond de tijd van de veiligheidsconferentie doen. In 2014 was het Fake ID. In 2015 was het Stagefright. Helaas is het begrip van Android-beveiligingsproblemen in de media jammerlijk gebleven, en dat betekent dat cijfers als de "900 miljoen" getroffen context zonder context door de echokamer stuiteren.

Als je slim bent over de apps die je installeert, is er niet veel reden om je zorgen te maken. En zelfs als u dat niet bent, is de kans groot dat Play Services en Verify Apps achter u staan.

MEER: Android Malware - moet je je zorgen maken?