Hulp gevraagd bij inventarisatie Android wifi-beveiliging - Privacy en beveiliging

maandag 16 december 2024 07:24

Acties:

0 Henk 'm!

Topicstarter

Beste Tweaker. Ik zou je hulp graag gebruiken om een beeld te krijgen bij de grootte van een beveiligingsprobleem. Ik kan deze gegevens goed gebruiken om organisaties ervan te overtuigen dat ze het beveiligingsprobleem moeten oplossen, aangezien de urgentie soms niet wordt gezien.

Zou je op je Android telefoon kunnen kijken of de optie "CA niet valideren" beschikbaar is in de wifi instellingen? Ik zal hieronder uitleggen waar je die optie zou kunnen vinden. Zou je daarnaast kunnen aangeven welk merk en versie van Android je gebruikt, en wanneer de telefoon ongeveer (nieuw) gekocht is?

Je kan de optie hier vinden:

1. Ga naar de instellingen van je wifi
2. Tap onderaan de lijst van netwerken op "Netwerk toevoegen" of een soortgelijke optie
3. Tap op "Geavanceerd"
4. Bij beveiliging, kies voor "WPA/WPA2-Enterprise"
5. Bij "EAP methode", kies voor "PEAP"
6. Kijk nu bij de opties bij "CA certificaat". Zie je daar de optie "Niet valideren" staan?

Zou je dus kunnen aangeven welk merk en versie van Android je gebruikt, en wanneer de telefoon ongeveer (nieuw) gekocht is, en duidelijk kunnen aangeven of je de optie "niet valideren" ziet (bijvoorbeeld: "ik zie de optie wel" of "ik zie de optie niet", om dubbele ontkenningen te vermijden)?

Bedankt!

Afbeeldingslocatie: https://tweakers.net/i/sFnYl520QocxuISSyiuT9Mz9enU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/dYw5aODVSYdOPP3BwMMQOkyz.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sFnYl520QocxuISSyiuT9Mz9enU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/dYw5aODVSYdOPP3BwMMQOkyz.png?f=user_large

Wat achtergrond: de optie "niet valideren" is een zeer onveilige manier van verbinding maken met wifi. Een aanvaller kan de verbinding in een actieve aanval overnemen, en soms zelfs de authenticatiegegevens achterhalen. Helaas is deze manier van verbinding maken wijdverspreid in het geval van Android en Chromebooks. In Android 11 zijn er wijzigingen gemaakt zodat deze optie niet meer beschikbaar is, maar volgens mij is het bij een aantal merken nog steeds mogelijk om te kiezen voor "niet valideren". Dat zou ik graag nagaan.

Deze onderzoeksvraag is in overleg geplaatst.

vrijdag 20 december 2024 15:00

Acties:

0 Henk 'm!

kodak

FP ProMod

In Android 11 zijn er wijzigingen gemaakt zodat deze optie niet meer beschikbaar is

Er zijn toen wijzigingen gemaakt dat de optie niet meer via de gui zichtbaar is. Zonder controle over de apparatuur die wil verbinden kun je dus niet met deze zichtbaarheid 'meten' stellen dat de risico's van die optie aantoonbaar weg zijn.

Als je hier de vraag moet stellen of de optie nog zichtbaar is dan heb je waarschijnlijk (nog) geen controle over de apparatuur die in de praktijk van het netwerk gebruik gaat maken. Bijvoorbeeld door toestaan van byod of het hebben van een inkoop met zeer gebrekkige eisen over de te leveren software. Dan is er de keuze om net te doen alsof alleen het niet zien van de optie alle risico's genoeg beperkt. Maar dat is heel wat anders dan genoeg controle over die risico's hebben. Omdat je geen controle hebt of een persoon of malware die optie alsnog gebruikt. Security by obscurity is hopen dat je genoeg macht over anderen hebt, maar wie daarvoor kiest zal zelf moeten aantonen dat dit realistisch de risico's weg neemt. Maar dat zal dan ook moeten voor de situaties dat een persoon of malware van de andere mogelijkheden gebruik maakt. Het hopen dat verbergen effectief is gaat namelijk alleen om het gebruik van een specifieke gui, niet om het stoppen of voorkomen van de andere mogelijkheden.

vrijdag 20 december 2024 15:58

Acties:

0 Henk 'm!

Dalitso

Topicstarter

kodak schreef op vrijdag 20 december 2024 @ 15:00:
[...]

Als je hier de vraag moet stellen of de optie nog zichtbaar is dan heb je waarschijnlijk (nog) geen controle over de apparatuur die in de praktijk van het netwerk gebruik gaat maken.

Ik stel de vraag omdat ik veel organisaties zie, voornamelijk in het domein van educatie waar BYOD de standaard is, die in hun handleidingen voor Android "Niet valideren" aanraden. Ik stel de vraag niet voor mijn eigen organisatie (dat staat overigens duidelijk in de OP).

Ik wil graag aan die organisaties laten weten hoe groot het probleem is. Daarom wil ik weten hoeveel mensen deze (in mijn ogen foutieve) handleiding kunnen volgen en via de GUI kunnen kiezen voor de optie "Niet valideren", zelfs op Android 11 en hoger.

Dat men geen PEAP moet gebruiken is wat mij betreft helder, maar dit komt echt nog heel veel voor helaas.

Ik ben alleen bang dat ik hier niet veel respons ga krijgen. Ik had de post liever in het Android subforum geplaatst, maar dat wil men daar niet.

[ Voor 9% gewijzigd door Dalitso op 20-12-2024 16:01 ]

zaterdag 21 december 2024 16:39

Acties:

+2 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik kan je niet direct helpen omdat mijn telefoons LineageOS draaien en dat is niet echt representatief.

Ik kan je wel zeggen dat je gelijk hebt dat hier een groot probleem zit dat nog niet voldoende erkenning krijgt.

Omdat je aangeeft dat je in de educatieve sector zit wil ik je even wijzen op de Eduroam App van SURF.
https://eduroam.org/geted...ected-quickly-and-safely/

In die app kun je aangeven wat de juiste configuratie is voor jouw instituut en dan wordt het bij alle gebruikers vanzelf goed gezet. Zaak is wel om nieuwe gebruikers die app op dag 1 te laten installeren. Als ze eenmaal toegang tot wifi hebben (met wat voor configuraitie dan ook) is de kans klein dat ze later die app nog installeren.

Als je in de juiste positie zit (IT security of iets dergelijks) zou je kunnen overwegen een demonstratie te geven met een WIFI Pineapple. https://www.wifipineapple.com
Daarmee onderschep je dit soort onveilige netwerken. Vervolgens voer je het verkeer door een proxy dat er "iets" mee doet om aan je publiek duidelijk te maken dat je volledige toegang hebt. In mijn demonstraties vervang ik de plaatjes van websites.
PAS OP: het is verboden om zo iets te doen zonder toestemming. Doe het alleen als je in een positie bent dat je die toestemming hebt en doe het zeer gericht. Geef dus bv een demonstratie aan de directie waarbji je van te voren aankondigd dat je ze gaat hacken.

This post is warranted for the full amount you paid me for it.

zaterdag 21 december 2024 16:47

Acties:

+1 Henk 'm!

boschhd

Samsung A52s, Android 14\OneUI 6.1, heeft inderdaad 'niet valideren' als optie.
Lijkt me stug dat dat op andere Samsung telefoons anders is.

zaterdag 21 december 2024 19:06

Acties:

0 Henk 'm!

kodak

FP ProMod

@Dalitso Organisaties willen overtuigen kan ook betekenen dat je er klant, deeltijd-medewerker of zelfs tijdelijke inhuur bent en je vaak met dit probleem te maken hebt zonder dat het je lukt ze te overtuigen.

Hoe dan ook, als je zelf geen controle over andermans beveiliging hebt dan gaat net zo goed op dat je een ander niet zomaar met een selectieve meting toont dat je gelijk hebt dat ze te veel risico nemen.

Je schrijft dat organisaties zelfs adviseren om een certificaat maar niet te valideren. Stel je krijgt je gewenste aantal reacties waarvan ook de verantwoordelijken van die netwerken het representatief vinden. Dan is de uitkomst een aantal met en zonder mogelijkheid tot zomaar accepteren via de gui. En voor zover ik weet is met iedere versie na android 10 het mogelijk die validatie toch niet te (laten) doen. Het meten geeft aantallen die jou of mij vervolgens wel of niet kan bevallen. Maar als ze het kennelijk accepteren dat iedereen de controle zal negeren kom je hooguit met een aantal tonen dat alle of minder gebruikers dat kunnen doen. Je toont er op die manier niet duidelijk een groter of belangrijker risico mee aan.

Wat je zonder meting kan proberen te achterhalen is bij wie ze de verantwoordelijkheid leggen als een gebruiker geen of een verkeerde validatie doet. En waaruit gebruikers kunnen opmaken welke verantwoordelijkheid dan bij hun ligt.

Het valideren gaat er minimaal om dat wie een certificaat accepteert vertrouwen in de communicatie via een access point heeft, niet slechts enkele services via een acces point. Dus als men daar vanaf wijkt lijkt mij dat het voor de gebruikers heel duidelijk moeten zijn waarin het advies niet te valideren afwijkt van de bedoeling een certificaat te valideren en vertrouwen.

zaterdag 21 december 2024 19:08

Acties:

+1 Henk 'm!

Ramon 73

Ik zie geen keuze "niet valideren"
Pixel 7 pro, januari 2023. Android 15.

[ Voor 8% gewijzigd door Ramon 73 op 21-12-2024 19:10 ]

zaterdag 21 december 2024 20:42

Acties:

0 Henk 'm!

Dalitso

Topicstarter

kodak schreef op zaterdag 21 december 2024 @ 19:06:
Hoe dan ook, als je zelf geen controle over andermans beveiliging hebt dan gaat net zo goed op dat je een ander niet zomaar met een selectieve meting toont dat je gelijk hebt dat ze te veel risico nemen. (...) Je schrijft dat organisaties zelfs adviseren om een certificaat maar niet te valideren. Stel je krijgt je gewenste aantal reacties waarvan ook de verantwoordelijken van die netwerken het representatief vinden. (...) Je toont er op die manier niet duidelijk een groter of belangrijker risico mee aan.

Je kan met de telefoons die hier gemeld worden in combinatie met objectieve markaandeelgegevens best veel duidelijk krijgen. Als het inderdaad klopt wat @boschhd zegt (dank daarvoor!) dat alle Samsung telefoons deze optie bieden, dan is het probleem tenminste ongeveer x% gebruikers op basis van die gegevens.

Verder is deze meta-discussie ietwat offtopic. Toch een reactie: ik zie niet zo goed waarom dit onderzoek representatief zou moeten zijn, en waarom ik geen biased onderzoek zou kunnen / mogen presenteren om iets af te raden dat overduidelijk een ernstig beveiligingsrisico is. Elke onveilige gebruiker is er één, en diens wachtwoord dat waarschijnlijk elders hergebruikt wordt ligt op deze manier op straat. Lijkt me bovendien een meldingsplichtig datalek. Daar is geen ruimte voor een risicoafweging of geneuzel over representativiteit.

Je lijkt ook te redeneren alsof organisaties bewust voor deze verkeerde beveiliging gekozen hebben en dat ze de risico's kennen en hebben afgewogen. Ik weet vrij zeker dat dat niet zo is. Veel onderwijsinstellingen en leveranciers doen maar wat: als het primaire doel werkt (toegang tot internet), omzet genereert en de boel niet onmiddellijk ontploft zal het ze een zorg zijn dat het (subtiel) misbruikt kan worden. Zeker als het alternatief tijd, moeite en geld kost, en het niet zichtbaar actief misbruikt wordt.

[ Voor 13% gewijzigd door Dalitso op 21-12-2024 20:54 ]

zaterdag 21 december 2024 20:55

Acties:

+1 Henk 'm!

davegriffejoen

Afbeeldingslocatie: https://tweakers.net/i/9Go_E-iOlX3z5w-TZyY8gP8WPrs=/x800/filters:strip_icc():strip_exif()/f/image/y0Wq4fZHVRRz6nScadd5Uay0.jpg?f=fotoalbum_large

Samsung S23 met Android 14 en One UI 6.1

dinsdag 24 december 2024 12:46

Acties:

0 Henk 'm!

kodak

FP ProMod

ik zie niet zo goed waarom dit onderzoek representatief zou moeten zijn, en waarom ik geen biased onderzoek zou kunnen / mogen presenteren om iets af te raden dat overduidelijk een ernstig beveiligingsrisico is.

Ik stel op geen enkele manier dat je dat niet zou mogen.

Maar het protocol is niet ontworpen om te doen alsof het veilig is door simpel maar op een gui of advies van een organisatie te vertrouwen. Daarom wijs ik er ook op dat in android die controle hoe dan ook uit te schakelen is en vragen om redenen belangrijk is.

Als je urgentie risico op man-in--the-middle is dan gaat het er ook om dat je blijk geeft dat het protocol en organisaties opzettelijk ook verantwoordelijkheid bij de gebruikers leggen. Zoals Android dat doet met het niet standaard maken van het niet valideren. Zoals organisaties dat doen als het valideren geen verplichting is.

Natuurlijk zijn er veel mensen, dus ook bij die organisaties, die zich niet zomaar bewust zijn van de mogelijke gevolgen van een advies om niet te valideren. Maar als het in handleidingen staat, of als de netwerken niet gemaakt zijn om te valideren, dan gaat het niet zomaar meer om gebrek aan bewustzijn. Dan gaat het ook om bewuste keuzes. Of dat als je hun wel bewust maakt van de risico's ze net zo goed meer belang kunnen zien in verantwoordelijkheid bij de gebruikers leggen, in plaats van zelf te willen of kunnen veranderen. Ze hoeven immers andermans selectieve meting, andermans grenzen aan percentages, andermans mening of ze het onbewust doen enz niet zomaar te accepteren.

vrijdag 24 januari 2025 08:28

Acties:

0 Henk 'm!

HollowGamer

Dalitso schreef op vrijdag 20 december 2024 @ 15:58:
[...]

Ik stel de vraag omdat ik veel organisaties zie, voornamelijk in het domein van educatie waar BYOD de standaard is, die in hun handleidingen voor Android "Niet valideren" aanraden. Ik stel de vraag niet voor mijn eigen organisatie (dat staat overigens duidelijk in de OP).

Ik wil graag aan die organisaties laten weten hoe groot het probleem is. Daarom wil ik weten hoeveel mensen deze (in mijn ogen foutieve) handleiding kunnen volgen en via de GUI kunnen kiezen voor de optie "Niet valideren", zelfs op Android 11 en hoger.

Dat men geen PEAP moet gebruiken is wat mij betreft helder, maar dit komt echt nog heel veel voor helaas.

Ik ben alleen bang dat ik hier niet veel respons ga krijgen. Ik had de post liever in het Android subforum geplaatst, maar dat wil men daar niet.

Heb je Reddit geprobeerd?

Verder mis ik iets meer uitleg. Tenzij ik eroverheen lees.

Ik kan mij voorstellen dat deze optie handig is bij een selfsigned certificaat. Uiteraard niet in een bedrijf of uni, maar om te testen of thuis(?) zou het mogelijk nog kunnen.

Het ontgaat mij even wat je zou kunnen doen. Er gaat veel verkeer overheen, helaas nog genoeg onversleuteld, maar dit lijkt met hetzelfde als je met een tool als Wireshark kunt. Gewoon je auto parkeren aan de straat, Wifi netwerk opzetten met dezelfde naam, en wachten wat je terugkrijgt.

Alleen zit je dan wel met encryptie in de app laag. Een goede beheerder maakt ook zijn lokale portals over TLS, en email gaat tegenwoordig ook versleuteld. Alle andere services precies hetzelfde verhaal.

Kun je aangeven waar hier precies het probleem in kan zitten? Of voorbeelden geven?

[ Voor 30% gewijzigd door HollowGamer op 24-01-2025 08:36 ]

vrijdag 24 januari 2025 08:40

Acties:

0 Henk 'm!

HollowGamer

kodak schreef op dinsdag 24 december 2024 @ 12:46:
[...]
Ik stel op geen enkele manier dat je dat niet zou mogen.

Maar het protocol is niet ontworpen om te doen alsof het veilig is door simpel maar op een gui of advies van een organisatie te vertrouwen. Daarom wijs ik er ook op dat in android die controle hoe dan ook uit te schakelen is en vragen om redenen belangrijk is.

Als je urgentie risico op man-in--the-middle is dan gaat het er ook om dat je blijk geeft dat het protocol en organisaties opzettelijk ook verantwoordelijkheid bij de gebruikers leggen. Zoals Android dat doet met het niet standaard maken van het niet valideren. Zoals organisaties dat doen als het valideren geen verplichting is.

Natuurlijk zijn er veel mensen, dus ook bij die organisaties, die zich niet zomaar bewust zijn van de mogelijke gevolgen van een advies om niet te valideren. Maar als het in handleidingen staat, of als de netwerken niet gemaakt zijn om te valideren, dan gaat het niet zomaar meer om gebrek aan bewustzijn. Dan gaat het ook om bewuste keuzes. Of dat als je hun wel bewust maakt van de risico's ze net zo goed meer belang kunnen zien in verantwoordelijkheid bij de gebruikers leggen, in plaats van zelf te willen of kunnen veranderen. Ze hoeven immers andermans selectieve meting, andermans grenzen aan percentages, andermans mening of ze het onbewust doen enz niet zomaar te accepteren.
toon volledige bericht

Het probleem lijkt hier te zijn dat het standaard op die optie staat. Dat is zeker een probleem.

Liever wil je de strengste optie als eerste, en dan pas dat je die optie kunt kiezen. In (stock) Android kan dit dacht ik alleen als je de ontwikkelaar opties aanzet, en daarna vervolgens een toggle op aan zet.

Het probleem lijkt dat andere deze optie wel laten zien zonder dat je ontwikkelaar bent (mogelijk). Maar aan de andere kant kun je ook gewoon een certificaat installeren. Ik dacht alleen dat dit een soort sleutel is dat je op het juiste SSID zit, verder kan je er dacht ik niet veel mee?

[ Voor 4% gewijzigd door HollowGamer op 24-01-2025 08:44 ]

vrijdag 24 januari 2025 09:06

Acties:

0 Henk 'm!

Dalitso

Topicstarter

HollowGamer schreef op vrijdag 24 januari 2025 @ 08:28:
[...]

Kun je aangeven waar hier precies het probleem in kan zitten? Of voorbeelden geven?

Een WPA2 Enterprise verbinding met PEAP en MSCHAPv2 zonder het CA certificaat te valideren, zorgt ervoor dat in een actieve aanval, een aanvaller eenvoudig het gebruikersnaam en wachtwoord van de gebruiker kan achterhalen.

Want omdat gebruikers het CA-certificaat van het wifi niet valideren, is het eenvoudig om een nep-accesspoint op te zetten met hetzelfde SSID ("eduroam"). Bij een sterker wifi-signaal dan het echte netwerk zullen mobiele telefoons dit nep-accesspoint gebruiken, dus ook buiten een plek waar het netwerk normaal beschikbaar is. Vervolgens wordt de MSCHAPv2 handshake naar de aanvaller gestuurd omdat het certificaat niet gevalideerd wordt.

MSCHAPv2 is een ontzettend oud en onveilig wachtwoord-protocol. Het maakt gebruik van encryptie die 12 jaar geleden definitief gekraakt is, en van NTLM hashes die al veel langer kapot zijn. Het hasht wachtwoorden per 7 karakters, waardoor bruteforcen triviaal is.

Een aanvaller kan met deze wachtwoorden in naam van de gebruiker met Eduroam verbinden. Maar aangezien mensen vaak wachtwoorden hergebruiken, zal het voor een aanvaller vaak mogelijk zijn om ook op andere accounts van de gebruiker in te loggen. Dat kan natuurlijk ernstige gevolgen hebben.

vrijdag 24 januari 2025 11:10

Acties:

+1 Henk 'm!

lordgandalf

Ik heb een oppo find x3 heb hem een jaar of twee geleden gekocht en hij heeft de optie nog heb android 14 als ik me niet vergis.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

Pagina: 1

Reageer