Geen audiospeler hieronder? Luisteren direct op Soundcloud.

[MUZIEK MODEM]

EEND.  Hallo iedereen.

Welkom terug bij de Naked Security Podcast.

Doug is deze week nog steeds weg, dus ben ik het, Duck, en mijn goede vriend Chester Wisniewski weer.

Hallo, Chet.

CHET.  Hé, eend!

EEND.  Je zei dat je terug zou komen, en je bent terug!

Niets onaangenaams, of geen grote malware-catastrofe, heeft je op de pas afgestuurd.

Dus laten we meteen beginnen met het openingsverhaal van deze week, dat interessant is, en op een bepaalde manier ingewikkeld om uit te leggen...

…omdat de duivel in de details zit en de details moeilijk te vinden zijn.

En ik zal net de titel van Naked Security voorlezen: Gevaarlijke Android-telefoon 0-day bugs onthuld - patch of werk er nu omheen.

Dit heeft te maken met iets dat "de basisband" wordt genoemd.

Gevaarlijke Android-telefoon 0-day bugs onthuld - patch of werk er nu omheen!

CHET.  Welnu, deze basisbandchips in uw mobiele telefoon hebben eigenlijk hun eigen kleine besturingssysteem ...

…voor je 5G-modem, om te praten met de zendmasten, misschien de GPS-ontvanger, om je locatie-informatie te ontvangen.

EEND.  Ik heb begrepen dat de basisband niet eens wifi en Bluetooth omvat.

Die worden afgehandeld door verschillende delen van de System-on-Chip [SoC] omdat er veel strengere regels zijn voor radiotransmissies en telefoonbeschikbaarheid en dergelijke voor het mobiele netwerk dan voor zaken als Wi-Fi en Bluetooth.

CHET.  Ja, de regelgeving hiervan is vrij streng, waarschijnlijk om veiligheidsredenen, toch?

GSM is een specificatie van het European Telecommunications Standards Institute, en ik neem aan dat ze deze zeer strikt testen op precies de juiste frequentie, op precies de juiste hoeveelheid vermogen, en dat ze niet zo zijn ontworpen dat het kan verbinding maken en het netwerk weigeren, of de mogelijkheid om noodoproepen te maken verstoren, of al dat soort dingen.

Het is dus niet zoiets als een basischip waarvan 20 verschillende bedrijven in China versies van 30 cent uitpompen.

Er zijn (voor zover ik weet) maar twee fabrikanten die deze maken: Samsung en Qualcomm.

Het is dus erg moeilijk om ze te maken.

Ik bedoel, Intel probeerde een paar jaar geleden in de modem-basebandbusiness te komen, gaf miljarden dollars uit en vertrok uiteindelijk omdat ze het niet konden.

EEND.  Dus, de basisband, laten we het een chip noemen, ook al is het onderdeel van een grotere chip, die ik in het artikel beschreef als een systeem-op-chip... je kunt het zien als een "geïntegreerd geïntegreerd circuit".

Het is als een heel, heel klein moederbord, in één chippakket.

En dan is er nog dit deel dat, zo je wilt, een chip-in-een-chip is.

Het idee is dat het onafhankelijk zou moeten werken van bijvoorbeeld Android of iOS als je een iPhone hebt.

Dat betekent dat als je een bug in je basisbandfirmware hebt die bereikbaar is via internet, een boef mogelijk het mobiele netwerkcommunicatiegedeelte van je telefoon kan verstoren, zelfs als ze niet verder kunnen komen en Android daadwerkelijk overnemen. of uw apps.

En ik stel me voor dat als ze zich in uw netwerkbedrijf bevinden, dat betekent dat ze waarschijnlijk uw gegevens kunnen bespieden, uw oproepen kunnen bespieden, met uw oproepen kunnen knoeien, misschien uw oproepen kunnen blokkeren, misschien al uw sms-berichten kunnen lezen.

Dus een bug in het basisbandmodemgedeelte van je chip...

...niet alleen is het onafhankelijk van eventuele bugs in Android, het past niet eens noodzakelijkerwijs bij het telefoonmodel dat je hebt gekocht, toch?

Omdat het kan afhangen van welke chipversie toevallig in dat apparaat is geïnstalleerd, of op welke markt het is verkocht, of in welke fabriek het is gemaakt.

CHET.  Ja absoluut.

Ik bedoel, er zijn in het verleden zeker veel telefoons geweest waarbij je, afhankelijk van al die factoren die je zojuist noemde, exact dezelfde apparaten zou krijgen met verschillende modems erin.

Misschien gebruiken ze in de Verenigde Staten een andere frequentie voor 5G dan wij hier in Canada gebruiken, dus dat heeft je misschien geholpen om het ene merk chip te krijgen in plaats van het andere merk chip.

Maar als je het in de winkel koopt, is het nog steeds gewoon een "Pixel 7", of een "Samsung S21", of hoe het ook op het blik heet.

Je weet eigenlijk niet wat erin zit.

U kunt van tevoren niet zeggen: "Oh, ik koop alleen een telefoon met een Qualcomm Snapdragon-versie van de modemchip."

Ik bedoel, het is niet iets dat je echt kunt doen...

EEND.  Google ging op zoek naar bugs in dit 'baseband'-gedeelte van apparaten.

Vermoedelijk hebben ze de Samsung Exynos-modemchipcomponent gekozen, want dat is toevallig degene die ze gebruiken in hun nieuwste en beste Pixel-telefoons ... in de Pixel 6 en Pixel 7.

Maar het omvat ook een hele reeks andere apparaten: van Samsung, Vivo en zelfs sommige auto's.

En het lijkt erop dat ze 18 kwetsbaarheden zijn tegengekomen.

Maar vier van hen, zo besloten ze, waren zo ernstig dat hoewel er nu 90 dagen zijn verstreken sinds ze ze hebben gevonden en onthuld, en daarom bevinden ze zich in een positie waarin ze normaal gesproken in wezen "een 0-dag zouden laten vallen" als er was Er was geen patch beschikbaar, ze besloten dat te onderdrukken.

Ze hebben zelfs hun eigen drop-an-0-day-beleid terzijde geschoven.

CHET.  En, wonder boven wonder, treft het een van hun apparaten.

Wat een toeval, Eend...

EEND.  Ik heb begrepen dat de Pixel 6-serie en de Pixel 7-serie deze buggy-firmware hebben.

En hoewel Google trots zei: "Oh, we hebben patches bedacht voor de getroffen Pixel-apparaten"...

... op het moment dat ze dit aankondigden, toen de 90 dagen voorbij waren, hoewel ze * patches * hadden voor de Pixel 6es, hadden ze ze nog niet echt * beschikbaar * gemaakt, toch?

Dus hoewel het normaal gesproken 6 (of 5) maart is wanneer hun maandelijkse updates uitkomen, slaagden ze er op de een of andere manier niet in om updates voor de Pixel 6-serie te krijgen tot, wat was het, de 20e?

CHET.  Nou, ik heb een Pixel 5, Duck, die niet wordt beïnvloed, en toch kreeg ik mijn updates pas op de 20e.

Het lijkt er dus op dat het de werken in Mountain View heeft opgeslokt, tot het punt waarop alles - zelfs als het gerepareerd was - gewoon op de plank stond geparkeerd.

EEND.  In dit geval lijkt het te gaan om wat ze "internet-to-baseband remote code execution" noemden.

Met andere woorden, iemand die internettoegang heeft, kan op de een of andere manier je telefoon pingen, en zonder het Android-gedeelte daadwerkelijk in gevaar te brengen of je te misleiden om een ​​malafide app te downloaden, kunnen ze een soort malware op je telefoon implanteren, en je zou bijna geen manier om te weten.

Dus, wat te doen, Chester?

CHET.  Het antwoord is natuurlijk: Patch!

Afgezien daarvan is er natuurlijk heel weinig, maar er kunnen enkele instellingen op uw apparaat zijn.

Het lijkt erop dat de meest zorgwekkende van de 18 ontdekte bugs invloed heeft op wat Voice over LTE of Voice over Wi-Fi wordt genoemd.

Als je nadenkt over hoe je telefoon communiceert, gebruikte hij meestal (vroeger) een heel andere manier om je stem te verzenden, gecomprimeerd over het draadloze netwerk voor een telefoongesprek, dan om je bijvoorbeeld een sms te sturen of waardoor u toegang krijgt tot gegevens.

En de bug lijkt te zitten in de modernere manier om dingen te doen, namelijk alles als gegevens behandelen.

U laat uw spraaktelefoongesprekken pakketsgewijs in IP-pakketten gaan - Voice over IP, als u wilt, met behulp van het *data*-gedeelte van het netwerk, en niet het aangewezen spraakgedeelte van het netwerk.

Dus als je telefoon een optie heeft die zegt "Bellen via Wi-Fi inschakelen" of "VoLTE gebruiken" (wat Voice over LTE is), kun je deze dingen mogelijk uitschakelen als je nog geen patch hebt ontvangen van uw fabrikant.

EEND.  Het is een lastige, maar zeker een kwestie van "watch this space".

Laten we dus verder gaan met de volgend verhaal, Chester.

[LACHT] Het gaat om je favoriete onderwerp, en dat is natuurlijk cryptocurrency.

Het gaat om een ​​bedrijf dat Bitcoin-geldautomaten maakt die worden beheerd door een server waarmee klanten een heel netwerk van geldautomaten kunnen beheren vanuit één ding, een CAS (Core ATM-server) genoemd.

En ze hadden een bug die me gewoon doet denken aan die oude bugs waar we het vroeger over hadden in de tijd van Chet Chat, waar je een upload-plugin hebt waarmee je video's of afbeeldingen kunt uploaden...

... maar verifieert vervolgens niet dat wat is geüpload echt een afbeelding was, * en * laat het achter op een plaats waar de aanvaller het systeem kan misleiden om het uit te voeren.

Wie wist, Chester, dat geldautomaten voor cryptocurrency video-uploadfuncties nodig hadden?

Bitcoin ATM-klanten gehackt door video-upload die eigenlijk een app was

CHET.  Ik dacht meer in de trant van: "Wie denkt bij zijn volle verstand dat je een Java-runtime-omgeving op een geldautomaat wilt?"

Dus ik heb een vraag, Duck.

Ik probeer me dit in mijn hoofd voor te stellen...

Ik was bij Black Hat, goh, het moest tien of meer jaar geleden zijn, en Barnaby Jack won een geldautomaat en biljetten van $ 20 begonnen uit de geldcassette te vliegen.

En ik probeer me voor te stellen wat er gebeurt als ik een Bitcoin-geldautomaat achter de deur zet.

Wat komt er uit?

Kunnen we dit jaar een van deze winnen bij DEF CON?

En wat zou ik zien?

EEND.  Ik denk dat wat je zou kunnen zien Bitcoin-transacties zijn die de legale eigenaar van de Bitcoins, of welke cryptocurrency het ook is, niet goedkeurde.

En, blijkbaar, privésleutels die mensen hebben geüpload.

Want als u natuurlijk een "hot wallet"-scenario wilt waarbij uw cryptocoins daadwerkelijk in een oogwenk kunnen worden verhandeld door iemand anders namens u in hun gedecentraliseerde financiële netwerk...

… dan moet je ze ofwel je cryptocurrency geven (overboeken naar hun portemonnee zodat het van hen is), en hopen dat ze het teruggeven.

Of u moet ze uw privésleutel geven, zodat ze indien nodig namens u kunnen handelen.

CHET.  Elke transactie waarvoor ik, om functioneel te zijn, een privésleutel moet opgeven, betekent dat de privésleutel niet langer privé is, en dat moet daar stoppen!

EEND.  [LACHT] Ja, het is nogal vreemd.

Zoals je zegt, als het om privésleutels gaat, zit de aanwijzing in de naam, nietwaar?

CHET.  We hebben zeker niet genoeg tijd om alle redenen te bespreken waarom cryptocurrency een slecht idee is, maar voor het geval je er nog een nodig hebt, zullen we deze aan de lijst toevoegen.

EEND.  Ja, en we hebben wat advies.

Ik zal de tips die we hebben niet doornemen, maar we hebben een "Wat te doen?” sectie, zoals gebruikelijk, in het artikel over Naked Security.

We hebben enkele tips voor mensen die de producten van dit specifieke bedrijf gebruiken, maar ook algemeen advies voor programmeurs die vinden dat ze een soort online service moeten bouwen die uploads mogelijk maakt.

Er zijn lessen die we 20 jaar geleden hadden moeten leren, die we tien jaar geleden niet hadden geleerd, en blijkbaar hebben sommigen van ons dat in 2023 nog steeds niet geleerd...

…over de voorzichtigheid die je nodig hebt als je je inhoud laat geven door niet-vertrouwde mensen die je later op magische wijze verandert in iets vertrouwds.

Dus nu we het hebben over het vertrouwen van applicaties op je apparaat, Chester, laten we verder gaan met het laatste onderwerp van de week, dat een dubbel verhaal blijkt te zijn.

Ik moest schrijven twee apart artikelen op twee opeenvolgende dagen op Naked Security!

Er was een bug gevonden door enkele zeer opgewonden onderzoekers, die het "aCropalypse" noemden, omdat bugs indrukwekkende namen verdienen als ze opwindend zijn.

En ze vonden deze bug in de app op Google Pixel Phones waarmee je een screenshot kunt maken, of een foto die je hebt gemaakt, en deze kunt bijsnijden of delen ervan kunt wissen.

Het probleem is dat het bijgesneden bestand zou worden verzonden * samen met de gegevens die zich aan het einde van het originele bestand bevonden, en er niet uit werden verwijderd *.

Google Pixel-telefoons hadden een ernstige bug voor het lekken van gegevens - dit is wat u moet doen!

Dus de nieuwe gegevens werden over het oude bestand heen geschreven, maar daarna werd het oude bestand niet afgehakt op het nieuwe eindpunt.

Toen eenmaal duidelijk werd hoe deze bug is ontstaan, dachten mensen: "Hé, laten we eens kijken of er nog andere plaatsen zijn waar programmeurs een soortgelijke fout hebben gemaakt."

En kijk, in ieder geval Windows 11 Knipprogramma blijkt precies dezelfde bug te hebben...

... hoewel om een ​​heel andere reden, omdat die op Pixel Phones, geloof ik, is geschreven in Java, en die op Windows, neem ik aan, is geschreven in C ++.

als u Save het bestand, in plaats van Save As naar een nieuw bestand, schrijft het over het oude bestand, maar verwijdert het de overgebleven gegevens niet.

Hoe zit dat, Chester?

Windows 11 is ook kwetsbaar voor het lekken van "aCropalypse"-beeldgegevens

CHET.  [IRONIC] Nou, zoals je weet, hebben we altijd graag oplossingen.

Ik denk dat de tijdelijke oplossing alleen de eerste 49% van een afbeelding bijsnijdt.

EEND.  Oh, je bedoelt crop van bovenaf?

CHET.  Ja.

EEND.  Oké... dus dan krijg je de onderkant van de oude afbeelding bovenaan de nieuwe afbeelding, en je krijgt de onderkant van de oude afbeelding?

CHET.  Als u echter een handtekening onder aan het document redigeert, zorg er dan voor dat u deze eerst ondersteboven zet.

EEND.  [LACHT] Wel, er zijn nog andere oplossingen, nietwaar?

Dat wil zeggen, als u een app gebruikt met een Save As optie, waar u een nieuw bestand maakt, is er duidelijk geen inhoud die kan worden overschreven en die achter kan blijven.

CHET.  Ja.

Nogmaals, ik vermoed dat deze bugs zullen worden opgelost, en de meeste mensen moeten er gewoon voor zorgen dat ze op de hoogte blijven van Patch Tuesday, of Google Patch Day, zoals we eerder hebben besproken... welke dag het ook wordt, omdat je nooit helemaal weten.

EEND.  Het echte probleem lijkt echt te zijn (en ik heb wat hex-dumps in het Naked Security-artikel geplaatst) dat de manier waarop PNG-bestanden werken, is dat ze bijna een lading opcodes of interne kleine blokken bevatten.

En er zijn blokken die zeggen: IDAT… dus dat zijn gegevens die in het bestand staan.

En dan is er uiteindelijk een die zegt IEND, wat betekent: "Dit is het einde van de afbeelding."

Het probleem is dus dat als je een bestand bijsnijdt en het laat 99% van de oude gegevens erin, wanneer je het gaat bekijken met iets als Verkenner, of een ander programma voor het bekijken van afbeeldingen, *je het bijgesneden bestand zult zien*, omdat de PNG-bibliotheek die de gegevens teruglaadt, daar als eerste zal komen IEND tag en ga, "OK, ik kan nu stoppen."

En ik denk dat dat waarschijnlijk de reden is waarom de bug nooit is gevonden.

CHET.  Wanneer u programmatisch vergelijkingscontroles uitvoert, werkt u meestal vaak met hashes, wat anders zou zijn, toch?

Dus je moest specifiek naar de * maat * kijken, zelfs niet dat de hasj is veranderd, toch?

EEND.  Als je een programmeur bent, in feite, dit soort bug, waarbij je een bestand op de schijf overschrijft, maar vergeet of nalaat het bestand te openen in de modus waarin het wordt afgehakt waar de nieuwe gegevens loopt af…

... dit is een bug die van invloed kan zijn op heel veel programma's die er zijn.

En elk gegevensformaat met een "dit is het einde van de afbeeldingstag" in het bestand kan hier gemakkelijk kwetsbaar voor zijn.

CHET.  Ik vermoed dat er in augustus veel gesprekken zullen zijn in Las Vegas om dit in andere toepassingen te bespreken.

EEND.  Het hangt er dus allemaal vanaf hoe het bestand is geopend.

Als je een programmeur bent, ga dan op zoek naar de open modus O_TRUNC, wat betekent dat wanneer u een bestand opent om te schrijven en het bestaat al, u het bestand wilt afkappen en niet op zijn plaats wilt overschrijven.

Soms wil je dat wel doen... als je bijvoorbeeld een EXE-bestandsheader patcht om de juiste checksum toe te voegen, dan wil je het bestand natuurlijk niet op dat punt afkappen.

Maar in dit geval, vooral wanneer je een afbeelding bijsnijdt *specifiek om de onbetrouwbare delen te verwijderen* [LACHT], wil je absoluut niet dat er iets overblijft dat er niet hoort te zijn.

CHET.  Ja, dat zijn allemaal geweldige punten, Duck, en ik denk dat de bottom line is, voor nu...

... we weten dat je Windows 11 moet patchen, en je moet je Android-apparaat patchen, tenminste als het de foto-editor van Google gebruikt, wat waarschijnlijk vrijwel alleen de Pixel-telefoons zijn.

Maar we gaan waarschijnlijk meer van dit soort dingen zien, toch?

Dus blijf op de hoogte van *al* je patches!

Ik bedoel, je moet niet wachten op de Naked Security-podcast en zeggen: "Oh, ik moet de Android-fix gaan toepassen omdat Duck dat zei."

We moeten er een gewoonte van maken om deze gewoon te consumeren wanneer ze uitkomen, omdat dit niet de enige applicaties zijn die deze fouten maken; dit is niet de enige Firefox-bug die zal resulteren in een geheugenlek; deze dingen gebeuren de hele tijd.

En up-to-date blijven is in het algemeen belangrijk, niet alleen als je over een kritieke bug hoort.

EEND.  Het lijkt een beetje op het "ransomware-probleem", nietwaar?

Dat is eigenlijk het "algemene probleem met actieve tegenstanders/malware".

Focussen op een klein onderdeel ervan, alleen de ransomware, is niet genoeg.

Je hebt zowel verdediging in de breedte als verdediging in de diepte nodig.

En als het op patchen aankomt, zoals je zegt, als je altijd een nieuwswaardig excuus nodig hebt, of een bug met een mooie naam om je over de streep te trekken, ben je eigenlijk een deel van het probleem, niet een deel van de oplossing. zeg je niet?

CHET.  Ja precies!

[LACHT] Misschien als dit concept is wat nodig is, dan moeten we gewoon een Bug met een indrukwekkende naam generatortool, die we ergens op de Sophos-website kunnen plaatsen, en elke keer dat iemand een bug vindt, kunnen ze deze een naam geven...

…als dat is wat nodig is om mensen te motiveren om dit voor elkaar te krijgen.

EEND.  Ah, je bedoelt... zelfs als het geen erg gevaarlijke bug is, en het heeft een CVSS-score van -12, geef het gewoon een paar geweldige namen!

En er zijn in het verleden enkele geweldige geweest, nietwaar?

We hebben het gehad impasse, heartbleed... De lier van Orpheus, als je je die herinnert.

Die bug had niet alleen een website en een logo, hij had ook een themamelodie!

Wat dacht je daarvan?

Beveiligingslek in Windows – uitleg over de "Orpheus' Lyre"-aanval

CHET.  [LACHT] Ik heb het gevoel dat we op een MySpace-pagina terechtkomen, of zoiets.

EEND.  Natuurlijk, als je het themaliedje maakt en het vervolgens bijsnijdt tot de nette 7 seconden, moet je oppassen dat je geen ongewenste audiogegevens in het bestand hebt achtergelaten vanwege de aCropalypse-bug. [LACHT]

Uitstekend.

Heel erg bedankt, Chester, voor het invallen van Doug terwijl hij weg is, en voor het delen van je inzichten met ons.

Zoals altijd rest ons alleen nog te zeggen...

CHET.  Tot de volgende keer, blijf veilig!

[MUZIEK MODEM]