Samsung Galaxy S25 Ultra: nu met upgrade voordeel tot €633

Google benadrukt beveiligingsmaatregelen en voordelen openheid Android

Sander Tuit
Sander Tuit
5 december 2013, 11:14
4 min leestijd
Google benadrukt beveiligingsmaatregelen en voordelen openheid Android

Lees verder na de advertentie.

Grote problemen?

Van de zomer kwamen twee grote beveiligingsgaten in Android in het nieuws. Door deze gaten konden kwaadwillenden installatiepakketten van Google-apps aanpassen en hun eigen code meeleveren. Hierdoor zouden ze het volledige systeem over kunnen nemen. In de praktijk bleken de gevolgen van deze lekken mee te vallen, zeker omdat Google al automatisch applicaties scant op misbruik van deze problemen op toestellen met Android 2.2 en hoger. 

Afgelopen week kwam er nog weer een nieuwe bug in het nieuws die het mogelijk maakt om Nexus-toestellen opnieuw op te starten. Ook dit lek blijkt mee te vallen in zijn ernst, maar goed voor de naam van Android zijn dit soort problemen absoluut niet. 

Op het officiële Android-weblog zet Android security engineer Adrian Ludwig een aantal beveiligingsmaatregelen voor Android op een rijtje en legt daarbij de nadruk op de voordelen van de openheid van Android.   

Beloning voor verbeteringen

Google heeft een beloningsprogramma voor beveiligingsexperts en hackers die beveiligingsverbeteringen voor een aantal open source-projecten van het bedrijf aandragen. Deze beloningen variëren tussen de 500 en 3100 dollar en worden uitgekeerd wanneer de verbetering daadwerkelijk ook wordt doorgevoerd. 

Sinds kort geldt het beloningsprogramma, dat onder de noemer ‘patch rewards’ valt, ook voor Android. Wanneer er een belangrijk lek gedicht wordt, zal een onderzoeker of hacker 3133,7 dollar krijgen. Dit is wel een stuk minder dan de potentiële opbrengsten die een kwaadwillende zou kunnen krijgen door een gevaarlijk lek te misbruiken.  

Structurele verbeteringen in Android

Naast relatief kleine verbeteringen heeft Google recentelijk ook een vrij grote, structurele aanpassing gemaakt in Android. Android-applicaties draaien in een zogenaamde sandbox (zandbak). Dat wil zeggen dat applicaties op zichzelf draaien en geen aanpassingen kunnen doen aan het systeem of aan andere applicaties.  

In Android 4.2 (Jelly Bean) werd SELinux (Security-Enhanced Linux) geïntroduceerd. Android zelf draait bovenop Linux en SELinux is hier een beveiligingsmodule van. Deze module is onder andere ontwikkeld door de, schrik niet, NSA. De Amerikaanse inlichtingendienst bracht in 2000 al de eerste versie uit van de beveiligingsmodule. De NSA is de afgelopen tijd bijna uitsluitend negatief in het nieuws geweest door de recente spionageschandalen. De broncode van SELinux is echter geheel vrijgegeven en door de zeer kritische Linux-beheerders goedgekeurd, waardoor de kans op verborgen ‘achterdeuren’ in de code niet erg waarschijnlijk zijn. 

Met Android 4.4 (KitKat) heeft Google SELinux ‘verstevigd’. In 4.2 is SELinux wel aanwezig, maar staat dit standaard niet aan. In Android 4.4 echter wel. Wat doet SELinux nu precies? Deze module is een aanvulling op het hierboven beschreven sandbox-systeem. Applicaties krijgen alleen de rechten die ze echt nodig hebben om te draaien en wanneer een applicatie zich vrijbreekt uit de virtuele ‘zandbak’, dan kunnen ze alsnog geen schade aanrichten aan het systeem of andere applicaties. 

Pwn2own Mobile 2013

Eén van de meeste interessante hackerswedstrijden is Pwn2Own. In deze wedstrijd krijgen hackers geld wanneer ze het voor elkaar krijgen om bepaalde besturingssystemen te hacken. In deze speciale mobiele variant van het evenement mochten teams van hackers zich richten op een aantal Androidtoestellen, waaronder de Samsung Galaxy S4 en de Nexus 4. In zijn blogpost laat Adrian Ludwig weten dat er geen gaten in Android gevonden waren, maar dat het beveiligingsteam toch klaar stond om in te grijpen. 

Dat er geen gaten in de beveiliging van Android gevonden zijn, blijkt niet helemaal waar te zijn. Er zijn waarschijnlijk geen gaten gevonden die nog niet opgelost waren, maar het bleek wel degelijk mogelijk om op een tweetal Androidtoestellen via de Chrome-browser root-toegang te krijgen. Het gaat om de Nexus 4 en de Samsung Galaxy S4. De ontdekker van deze lekken in Chrome is de inmiddels befaamde Pinkie Pie (van My Little Pony ja) die al een behoorlijk bedrag bij elkaar wist te verdienen met dit soort wedstrijden door het hacken van Chrome. Hij kreeg voor het ontdekken het probleem maar liefst 50.000 dollar aan prijzengeld. 

De ontdekte lekken in Chrome voor Android, die overigens al half november gedicht zijn en als update voor Chrome verspreid zijn, zullen waarschijnlijk geen invloed meer hebben gehad op Android 4.4. Vermoedelijk draaiden de Galaxy S4 en Nexus 4 beiden op Android 4.3, waarbij SELinux nog niet volledig in gebruik was. De ‘ontsnapping’ uit de sandbox waarin Chrome draait zou op 4.4 geen effect meer moeten hebben, wat waarschijnlijk is waar Ludwig op doelt al hij zegt dat er geen gaten gevonden zijn.

Lees meer over

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

4

Inloggen of registreren
om een reactie achter te laten

5 december 2013, 17:19

Je schrijft: “Dat er geen gaten in de beveiliging van Android gevonden zijn, blijkt niet helemaal waar te zijn”. Dat is onjuist, zoals je zelf ook weet. Het lek was namelijk, zoals je zelf aangaf, in Chrome. “Het lek” ja, niet, zoals je steeds schreef, “de lekken” of “de gaten”.

Door een integer overflow te veroorzaken in Chrome in combinatie met een kwetsbaarheidin Chrome wist hij (Pinkie Pie) een volledige sandbox escape te veroorzaken, oftewel, te ontsnappen uit de beveiligde sandbox omgeving.

Even voor de n00bs, vergelijk het Windows: een lek in Firefox of Outlook is geen lek in Windows.

5 december 2013, 14:13

Openheid (of open source) heeft helemaal niets met veiligheid te maken. Veiligheid heeft met ontwerp, implementatie en testen te maken en kan zowel in open source als in closed source gebeuren. Ook het argument dat open source voor iedereen beschikbaar is om door te kijken gaat niet op. Het is wel beschikbaar maar dat wil nog niet zeggen dat er daadwerkelijk meer mensen vanuit een oogpunt van beveiliging naar gekeken hebben dan bij closed source.
Het heeft vooral met procedures te maken. Is er bij het ontwerp aan veiligheid gedacht? Is er bij de implementatie aan veiligheid gedacht, en bij peer reviews en bij testen?
Bij een groot aantal open source projecten (neem bijvoorbeeld joomla) gaat het verschrikkelijk mis, maar ook bij closed source projecten (bijvoorbeeld flash). En er zijn ook open source en closed source voorbeelden waar het wel goed gaat.

5 december 2013, 12:58

En het is zeker niet mogelijk( heb wel root toegang) om selinux zelf aan te zetten in android 4.2?

5 december 2013, 12:48

Reden te meer voor fabrikanten om hun smartphones om hun producten naar de laatste versie van Android te updaten lijkt me. Dus Google: kom maar op met Kitkat voor de Galaxy Nexus!