Beantwoord

[Let op] Beveiligingsprobleem Stagefright Android



Toon eerste reactie

71 reacties

Filteren jullie hangouts en whtasapp ook gelijk voor iedereen weg dan?
Ik heb geen Android telefoon en zit nu met een kreupele service. Wat is de compensatie die ik er voor krijg?
Zijn jullie van plan dit voor elk security risico te gaan doen? Dan zou ik alvast beginnen met het blokkeren van SMS diensten. Want daar zit ook een groot risico in.

Het lijkt mij voor tmobile toch niet heel moeilijk om te controleren wat voor type de ontvangende telefoon is? Bij een telefoon die geen MMS aankan krijg ik ook een linkje, dus moeten jullie ook kunnen achterhalen of de achterliggende telefoon wel/geen android is en de keuze daarop baseren.
Daarnaast is dit een wassenneus aktie. Ik denk dat de meeste mensen niet eens een mms zullen krijgen maar meestal een bericht in hangouts, email of WhatsApp en dan treedt het probleem ook op. Hoeveel MMS versturen jullie nou nog via jullie netwerk? Ik denk dat het minder dan 1% is van het dataverkeer. En daarnaast, de mensen die een mms ontvangen drukken waarschijnlijk toch op de link en dan is het probleem ook gelijk aanwezig. Dus het enige wat jullie nu doen is afstel van het probleem en een 'oh kijk ons eens goed bezig zijn'-complex voor jullie zelf creeeren.

Hoelang denken jullie trouwens dat de blokkade gaat duren? Tot alle telefoons met Android 4.4 en lager niet meer gebruikt worden? Dan gaat dit nog wel 5 jaar duren.
SunnieNL schreef:

Filteren jullie hangouts en whtasapp ook gelijk voor iedereen weg dan?


Wetgeving privacy verbiedt data verkeer te bekijken, dus dat mag T-Mobile niet en zullen ze ook niet doen. Filteren gebeurd ook niet met MMS, het gaat enkel via een website om zodoende de verspreiding te vertragen.

Ik heb geen Android telefoon en zit nu met een kreupele service. Wat is de compensatie die ik er voor krijg?


Net zoals een virus in het menselijk lichaam hoef jij niet ziek te worden terwijl je het wel verspreid. Dus dat jouw telefoon niet schade kan oplopen is mooi voor jou, maar vergoedingen voor wat? De dienst doet het en nergens is in je contract opgenomen dat dit binnen x seconden te doen moet zijn.

De huidige planning is dat honderden toestellen in de maand augustus zullen worden gepatched, de duur zal dus in maanden uitgedrukt kunnen worden.

Het gaat overigens niet om hoeveel MMS'jes nu verstuurd worden, maar het feit dat het zeer snel via MMS'jes verspreid kan worden als virus. Doordat dit zonder enige interventie kan gebeuren is het daarom de beste oplossing om er een interactie buffer tussen te zetten.

Stel, iemand ontvangt nu een MMS met virus (ongeacht via website of niet) en stuurt dan meteen 1000 MMS'jes door, dan valt dat 1 op, 2 zijn die berichten te stoppen i.p.v. dat het netwerk ze meteen aflevert en is 3 het bestand te identificeren en kan dat wel geblocked worden. Voor die acties heeft ook een p.c./server tijd nodig en die is nu ingebouwd/aan gezet.

Whatsapp/Hangouts en dergelijke vereisen dat de video wordt geopend en dit is uit te zetten als automatische functie. Dat zijn zowel diensten van derden als mede dat T-Mobile daar ook niet op kan helpen. T-Mobile heeft hun verantwoordelijkheid genomen en keurig een rem op MMS gezet.
Poco-Loco schreef:

De dienst doet het en nergens is in je contract opgenomen dat dit binnen x seconden te doen moet zijn..


De dienst doet het niet. Ik krijg immers geen MMS meer binnen, maar een SMS met een link om te lezen via een browser, zoals ze ook doen bij een telefoon die geen MMS kan ontvangen.

Poco-Loco schreef:


De huidige planning is dat honderden toestellen in de maand augustus zullen worden gepatched, de duur zal dus in maanden uitgedrukt kunnen worden.


100den van de 1000den toestellen die vatbaar zijn. Na de update van die 100den blijven er nog 1000den over die wel vatbaar zijn. De duur is eerder in jaren uit te drukken in maanden. Of gaat het alleen maar om veiligheid voor de laatste type toestellen van een half jaar oud? Dan blijft het schijnveiligheid. Toestellen die meer dan een jaar geleden zijn uitgebracht krijgen namelijk echt geen update meer. (let op: toestellen die meer dan 2 jaar geleden zijn uitgebracht, worden nu nog steeds als nieuw verkocht, terwijl een update daar hoogstwaarschijnlijk niet voor wordt uitgebracht).

Poco-Loco schreef:


Het gaat overigens niet om hoeveel MMS'jes nu verstuurd worden, maar het feit dat het zeer snel via MMS'jes verspreid kan worden als virus. Doordat dit zonder enige interventie kan gebeuren is het daarom de beste oplossing om er een interactie buffer tussen te zetten.


Onzin, wat doet een gebruiker als hij nu een bericht ontvangt dat er een MMS is? Op de link klikken in de sms. En wat doet de webbrowser vervolgens als eerste? Een initialisatie van de video-plugin en op dat moment is de bug ook gestart.

Poco-Loco schreef:


Whatsapp/Hangouts en dergelijke vereisen dat de video wordt geopend en dit is uit te zetten als automatische functie.


Lees je nog een keer in in de bug. Het probleem gebeurd al VOOR het afspelen/openen. Op het moment dat je een filmpje ontvangt gaat gelijk de onderliggende plugin aan het werk en treedt het probleem al op. De gebruiker hoeft het bericht niet eens te lezen of te openen.
Dat is ook gelijk de reden waarom schijnveiligheid is wat tmobile nu inbouwt. Een druk op de link in een sms, de webbrowser opent en het probleem treedt direct op.
Beste Mark_K , hier kunnen we wat mee. Als dit van te voren even gemeld was dat het vermoedelijk maar voor even is weet iedereen waar die aan toe is. gewoon een sms of email was voldoende geweest. Had ik op zijn minst mijn telefoon op stil gezet vannacht. (25 sms berichten voor 1 mmsje)
SunnieNL schreef:


De dienst doet het niet. Ik krijg immers geen MMS meer binnen, maar een SMS met een link om te lezen via een browser, zoals ze ook doen bij een telefoon die geen MMS kan ontvangen.


Yup, exact. MMS als service verstuurd en de ontvangst is vanwege grootschalige onveiligheid niet direct op de telefoon. Dienst werkt dus in het versturen van informatie, succes met 'vergoeding eisen'.

Toestellen die meer dan een jaar geleden zijn uitgebracht krijgen namelijk echt geen update meer. (let op: toestellen die meer dan 2 jaar geleden zijn uitgebracht, worden nu nog steeds als nieuw verkocht, terwijl een update daar hoogstwaarschijnlijk niet voor wordt uitgebracht).


Vooruitlopend op de volgende quote die ik aanhaal... Lees zelf in in de feiten, staat een paar pagina's terug een overzicht van bekende toestellen. Daarnaast staat er zeer duidelijk dat in augustus er honderden gepland staan. Dus daarna volgen er nog meer. Ga bij Drake klagen die niet een jaar zijn aandacht kon uitstellen, want dan was het niet nodig geweest om dit te doen en hadden alle 'oude' toestellen dus zonder problemen als verrassing een update gehad de komende maanden.

Drake had meer belang bij media-aandacht dan veiligheid, ongemak en risico van Android gebruikers.

Onzin, wat doet een gebruiker als hij nu een bericht ontvangt dat er een MMS is? Op de link klikken in de sms. En wat doet de webbrowser vervolgens als eerste? Een initialisatie van de video-plugin en op dat moment is de bug ook gestart.


Lees je in, zo ook bijvoorbeeld op de uitleg waarom het vertragen een bestrijdingsmethode is. Staat gelukkig niet in deze thread. Dus in plaats van klagen en snel eisen, neem even wat tijd en doe wat moeite.

Lees je nog een keer in in de bug.


En al deze feiten heb ik nooit ontkend, ga zelf lezen... een thread hier en een halve Tweakers frontpage daar (op Tweakers).



Het probleem met mensen zoals jou is dit:
Klagen omdat ze ongemak ervaren en meteen eisen dat ze vergoed worden voor een ongemak, dat hun 'gemak' onveiligheid en problemen voor miljoenen zal kunnen veroorzaken interesseert jullie niets.

Dat heet a-sociaal en egocentrisch. Het is zo ongeveer hét voorbeeld van a-sociaal zijn als mede enkel aan jezelf denken. Dat dan op een klantenforum, je weet wel, die plek waar uit sociale gedachte anderen geïnformeerd en geholpen worden zonder iets in return te krijgen.

Deze thread is dus ter informeren en o.a. al half gebruikt ter bespreken van voortgang, niet om te gaan klagen over de moeite van het klikken op een link.



@Easy,
Ja... dat is dan ongemak waar ik wel flink meeleven voor kan opbrengen. Heb om diezelfde reden zelfs een app (Android, heb jij dan niks aan). Hopelijk succesvol, alvast vannacht een fijne, onverstoorde nachtrust toegewenst!
Reputatie 3
Badge
Ugh, heb geen tijd of zin in een bar fight. T-Mobile geeft hier openheid van zaken. Ik denk dat je bij een andere operator gewoon niks te horen krijgt.

Wakker?
@Easy: waarom piept jouw telefoon wel als je een SMS binnenkrijgt maar niet bij een normale MMS. Of begrijp ik het verkeerd? En hoezo 25 x SMS in plaats van 1 normaal MMS. Iets klopt er niet.

Communicatie keuzes
T-Mobile heeft ervoor gekozen om niet aan alle klanten een SMS te sturen om mede te delen dat de MMS dienst anders is gaan werken. Veruit de meesten hebben niks aan zo'n boodschap en gebruiken MMS niet eens. Wel hebben we een nieuwsitem opgenomen in de MyT-Mobile app. En onze website en FAQ bijgewerkt met Stagefright informatie.

Nee, niet veilig
Wie mijn eerdere info heeft gelezen, snapt ook precies dat bij een evt virus een MMS bericht nog steeds niet veilig is. Dus helemaal geen wassen neus want ik heb niet beweerd dat MMS nu wel veilig zou zijn.

Laten we het omdraaien
Stel T-Mobile weet van het risico af en maar neemt geen maatregelen. (T-Mobile is verantwoordelijk voor haar eigen MMS (operator) dienst.) Vervolgens breekt ineens een Stagefright wormvirus uit. Tada: een infectiesnelheidsspel - doe met me mee. Reken in gedachten bijvoorbeeld het volgende sommetje uit: 4x4x4x4x4x4....enz. Na 9 vermenigvuldigingen zit ik al boven de 260 duizend. Als iedereen tenminste 4 personen met een Android toestel in zijn Contactenlijst heeft, krijg je dit. Je mag ook een andere cijfer kiezen, hoor. Neem cijfer 2 als je wilt, of anderhalf. In de huidige tijd met snelle netwerken en superkrachtige smartphones is het binnen 10 minuten gebeurd; Heel veel mobieltjes staan als machinegeweren berichtjes te schieten en een deel van het telecomnetwerk gaat vervolgens plat. Wellicht kun je als gebruiker op dat moment niks anders dan de batterij uit het toestel rukken omdat het zo druk is dat het niet meer naar jou luistert. Onzin? Nee, ik en mijn collega's hebben het zien gebeuren in het verleden dat er wat misging met toestellen waardoor vervolgens een deel van een netwerk plat ging.
Mocht er toch een Stagefright virus uitbreken na zoveel aandacht in de wereld, gaat iedereen zwarte pieten. Onze klanten en de media willen ons vervolgens gaan lynchen want we wisten van het gevaar af maar hebben voor de dienst in eigen beheer (MMS) geen maatregel genomen, terwijl we redelijkerwijs dat wel konden. En dus doet T-Mobile er wel wat aan.

Wanneer terug?
Dit is voor mij de komende dagen de grote vraag. Zodra er een beter alternatief is voor de huidige maatregel, nemen we die en gaan we met de MMS dienst terug naar de normale modus. Bij de afdeling techniek heeft men eea bedacht en wordt in het testlab getest. Ik verwacht dat mijn collega's in de komende dagen gaan komen met een werkend voorstel........en: I'll be back 🙂
Reputatie 1
Hoi Mark_K. Had je al ergens gelezen of gehoord dat er al weer een groot lek in android is ontdekt? Het zogeheten Certifi-gate lek. Ook al weer schadelijk voor bijna alle android telefoons. Misschien dat je daar nog een info pag. aan wil wijden. Namelijk minstens zo scadelijk als het virus waar het hier over gaat. Mvg. Passievrucht.
Certifi-Gate vereist een app dat een lek heeft om een gevaar te vormen. Wat ik erger vind is dat, net zoals Joshua Drake, dit weer een 'lek' is waar toevallig de ontdekker van profiteert met zijn app en betaalde 'beveiliging'.

http://www.zdnet.com/article/certifi-gate-big-android-security-trouble-for-hundreds-of-millions-of-users/

Legt het netjes uit als mede dat het te maken heeft met apps die gevoelig zijn.
Reputatie 1
Hoi Poco-Loco, dus als ik het goed begrijp zijn die gene die die bewuste app om je mobiel te scannen er op uit om hier een slaatje uit te slaan? Ik heb die scan app geprobeerd en inderdaad het enige wat het doet is scannen en aangeven of je mobiel gevoelig is voor dit certifi-gate bug. Wil je meer weten moet je je gegevens invullen. Daar heb ik dan weer geen trek in. Btw is het wel raak met de lekken in android telefoons. Wordt er een beetje moedeloos van. Mvg. Passievrucht.
Hey, ik kan niks bewijzen, maar als ik een 'scan'-app zie die uitsluitend mijn identiteit wil kunnen zien, als allereerste bij die scan begint met het verzenden van gegevens (want ik was wel aan het controleren wat het deed) en inderdaad enkel een rapport zal opsturen na een hoop gegevens in te vullen (waar daarna bijna de helft van de reviews van meldt dat er nooit een rapport komt). Dan heb ik genoeg 1's om een 2 te maken 😉

Dan staat er in meerdere artikelen ook dat zij een betaalde app hebben die je zal beschermen, maar ook genoemd dat niemand helemaal begrijpt hoe die app dat dan kan (gezien de lekken in de apps zitten), hou die bende dan maar.

Android is al een tijdje het mikpunt van 'oh kijk hoe onveilig het is' waar Apple net zo hard problemen heeft en van Microsoft hebben we het eigenlijk gewoon al jaren geaccepteerd. Ik geloof ook niet dat enig werkelijk lek, als het netjes gemeld is zoals wordt beweerd, niet in de updates zit. Dus dat mijn nog geen week geleden gepatchte M9 nog een lek zou bevatten die HTC wel ter info heeft gehad (stond in een artikel zelfs genoemd dat de M9 meteen mee zou gaan op de patch hiervoor), dan is mijn vertrouwen helemaal weg in de app die zegt dat ik onveilig ben.

Vulnerable, net zoals die Zimperium app die dat ook zei na mijn update. Tuurlijk...
Reputatie 3
Badge
passievrucht schreef:

Hoi Mark_K. Had je al ergens gelezen of gehoord dat er al weer een groot lek in android is ontdekt? Het zogeheten Certifi-gate lek. Ook al weer schadelijk voor bijna alle android telefoons. Misschien dat je daar nog een info pag. aan wil wijden. Namelijk minstens zo scadelijk als het virus waar het hier over gaat. Mvg. Passievrucht.



Hoi Passievrucht
ja, Certifigate is op Black Hat gepresenteerd. Dit is een andere veiligheidsrisico. In eerste instantie gaan mijn Security collega's ermee aan de slag en brengen intern advies uit.

Ik heb over Stagefright risico hier op het forum geschreven omdat T-Mobile besloot tijdelijk de MMS dienst aan te passen qua werking. Voor Certifigate schrijf ik nu niks op het forum tenzij T-Mobile de wijze waarop diensten functioneren gaat aanpassen.
@Mark, bij een sms of mms krijg ik inderdaad dezelfde melding. Maar omdat ik geen fotos ontving heeft die persoon ze nogmaals gestuurd. Uiteindelijk kreeg ik pas na een paar uur de sms melding met een mms om op te vragen. En dat vaak diverse keren, dat resulteerde dus in nachtelijke onrust. Nu krijg ik de smsjes wel sneller maar nog vaak 5x dezelfde. Hopelijk is het snel verholpen, de code knippen uit de sms tekst is ook al niet mogelijk en steeds alles overschrijven is ook geen doen.
Reputatie 3
Badge
easy12 schreef:

@Mark, bij een sms of mms krijg ik inderdaad dezelfde melding. Maar omdat ik geen fotos ontving heeft die persoon ze nogmaals gestuurd. Uiteindelijk kreeg ik pas na een paar uur de sms melding met een mms om op te vragen. En dat vaak diverse keren, dat resulteerde dus in nachtelijke onrust. Nu krijg ik de smsjes wel sneller maar nog vaak 5x dezelfde. Hopelijk is het snel verholpen, de code knippen uit de sms tekst is ook al niet mogelijk en steeds alles overschrijven is ook geen doen.



hallo Easy12
ik snap het. Op de 1e dag hadden we nog een probleem met de aflevertijd van de MMS notificatie. 's Avonds rond 18u hebben we het teruggebracht naar circa 1 min.
Reputatie 3
Badge
Hoi,

Onze technische collega's hebben afgelopen weekend hard gewerkt aan een beter alternatief waarbij normaal MMS ontvangen mogelijk is zonder het gedoe van een weblink krijgen en website bezoeken. Er is hard getest in het lab en het is gelukt 🙂

T-Mobile Tjechie gaat morgenochtend (dinsdag 11 aug) als eerste hun MMS dienst omschakelen. In dat land wordt MMS veel gebruikt. Morgenmiddag laten zij ons hun bevindingen weten. Vandaag heb ik met onze jurist overlegd of die oplossing ook in Nederland mag - het mag.

Morgenavond beslissen wij over deze oplossing en zo ja, wanneer wij gaan omschakelen.
en welke beslissing is er gisteren genomen ?
Reputatie 3
Badge
Druk dagje geweest. Alle voorbereidingen zijn getroffen. We gaan morgenochtend, donderdag 13-08, onze MMS dienst weer in 'normale' modus schakelen.
Als nieuwe maatregel laten we alleen nog MMS met een foto bijlage door. MMS met audio- of videobestanden worden voortaan geblokkeerd. Wie dit toch probeert via MMS te versturen, krijgt een foutmelding. Geblokkeerde MMS berichten worden niet in rekening gebracht.
Reputatie 3
Badge
Update 13-08-2015:

NRC benoemt T-Mobile als enige operator die maatregelen neemt tegen kwetsbaarheid van Android Stagefright. Zie hun artikel hier: http://www.nrc.nl/handelsblad/van/2015/augustus/08/internetveiligheid-fabrikanten-ondernemen-actie-te-1524287
Reputatie 3
Badge
Hoi,

Vandaag (13-08-2015 07:00 uur) heeft T-Mobile haar MMS dienst wederom aangepast. Foto's kunnen weer als vanouds worden ontvangen in de messaging app.
Wel is het zo dat we vanaf nu MMS berichten met audio- of videobijlagen blokkeren. Bij de afzender geeft dit een "Failed MMS" notificatie op de telefoon. Trouwens, mislukte MMS berichten worden niet in rekening gebracht.

Zonder twijfel is dit absoluut een opluchting voor alle fervente MMS gebruikers 🙂


=====================================================
Quote: "I like it when a plan comes together"
- the colonel 🙂
Reputatie 7
Badge +9
Ik vraag mij af, wordt MMS in dit tijdperk van Whatsapp, Facebook Messenger en Email eigenlijk nog wel gebruikt?

Gewoon nieuwsgierig, ik vraag mij altijd af waarom mensen zo vastklampen aan de oude vertrouwde methode als er betere alternatieven beschikbaar zijn, maar tot dusver heeft niemand mij dat nog met een goed argument kunnen uitleggen. 🙂

Ik snap het met classic phones. Die kunnen geen apps draaien.

Maar deze kwestie betreft Android, en alle Android versies ondersteunen messaging apps. Dus waarom is dit voor MMS eigenlijk nog een probleem? Wie zit er zo vast in 1999? :?

P.S. Mark, het is "I love it when a plan comes together" 😉
Reputatie 3
Badge
ShadowLea schreef:

Ik vraag mij af, wordt MMS in dit tijdperk van Whatsapp, Facebook Messenger en Email eigenlijk nog wel gebruikt?

Gewoon nieuwsgierig, ik vraag mij altijd af waarom mensen zo vastklampen aan de oude vertrouwde methode als er betere alternatieven beschikbaar zijn, maar tot dusver heeft niemand mij dat nog met een goed argument kunnen uitleggen. 🙂

Ik snap het met classic phones. Die kunnen geen apps draaien.

Maar deze kwestie betreft Android, en alle Android versies ondersteunen messaging apps. Dus waarom is dit voor MMS eigenlijk nog een probleem? Wie zit er zo vast in 1999? :?

P.S. Mark, het is "I love it when a plan comes together" ;)



Yep: MMS wordt nog wel gebruikt. ik mag hier geen exacte cijfers noemen. Maar inderdaad in Nederland is MMS een kleintje vergeleken met de third party messaging apps. Van mijn contacten met de andere T-Mobile bedrijven weet ik dat het in andere europese landen wel even anders ligt.

Ook wordt MMS zakelijk ingezet en ik kreeg een case van een klant die MMS inzette voor doorgifte van foto's op afstand. Dus die had de afgelopen week behoorlijk last.
Sterker nog voor mij is MMS zelfs de reden om voor t-mobile te kiezen, lekker in binnen en buitenland. Ik wil eigenlijk niks met whatsapp of whatsoever te maken hebben. Eerst choozze gehad maar die ondersteund geen MMS helaas. KPN schaft het per 2017 helemaal af, hopelijk kan ik er nu nog even gebruik van maken bij t-mobile zolang er geen alternatief is waarbij je geen 'internet' nodig hebt. Joyn is volgens mij ook geen succes geworden. Mag dan wel oud zijn maar sms/mms komt tenminste altijd gratis aan bij t-mobile, of je nu internet hebt of niet ook in het buitenland !

Reageer