Zero-day exploits gevonden in Android VoIP

Het nieuws komt slechts enkele dagen nadat we gemeld op een zero-day exploit in de Android-kernel, die kan een kwaadwillende hacker te krijgen root-toegang tot Android-telefoons.
De onderzoekers ingediende hun bevindingen aan Google, die zijn bevestigd met bug bounty awards.
De onderzoekers gesteld dat de meeste veiligheidsonderzoeken focus op netwerk-infrastructuur en apps, terwijl ze besloten om te kijken naar de Android VoIP – integratie.

  • Weigeren van gesprekken
  • Spoofen van de beller-ID
  • Het maken van ongeoorloofd bellen activiteiten
  • Het op afstand uitvoeren van code

Wat ze gevonden werden gebreken waardoor een kwaadwillende gebruiker:
Ze ontdekt dat de problemen waren aanwezig vanaf Android versie 7.0 naar de meer recente 9.0, twee-derde van die kunnen worden benut door een netwerk-kant tegenstander vanwege onverenigbare verwerking tussen VoIP en PSTN-gesprekken.
Volgens de onderzoekers, de beveiliging gevolgen van de kwetsbaarheden zijn “ernstig”, maar Google is binnenkort verwacht dat het vrijgeven van een patch. De fouten werden ontdekt door een nieuwe combinatie van on-device Opzet/API fuzzing, netwerk-kant pakket fuzzing, en gerichte code auditing.
Het probleem voor gebruikers is dat Google Threat Analysis Group (TAG) bevestigd dat dit lek al toegepast in de echte wereld aanvallen. Echter, het vereist een kwaadaardige app al geïnstalleerd en draait op de telefoon van de gebruiker.
Deze kwetsbaarheid werd gepatcht in Android kernel versies 3.18, 4.14, 4.4 en 4.9, maar niet in meer recente datum.

Android beveiliging ellende

Via ZDNet
De belangrijkste problemen waren de VoLTE en VoWiFi functies van Android.
Echter, het is niet de eerste keer VoIP kwetsbaarheden in het nieuws de afgelopen weken. Een verslag vorige maand vond dat de telecom-reus Avaya had gefaald om het toepassen van een patch naar een bekende kwetsbaarheid in zijn eigen telefoon systeem, zelfs als het was 10 jaar geleden.
Chinese onderzoekers hebben niet minder dan negen zero-day kwetsbaarheden in hoe Android handgrepen VoIP in de meer recente versies.