Inderdaad. Het is veel veiliger als alle applicaties hun eigen lekken hebben ipv iets wat op 1 plek gefixt kan worden!

Dat zo iemand zichzelf nog expert durft te noemen...

Ah, ik begrijp dat mijnheer Chou, mede oprichter van Coverity, een bedrijf dat tools levert voor code analysis, een product wil verkopen! Jammer dat hij dat er zelf niet bij zegt...

Misschien moet je het eerder zo zien: de meeste smartphones hebben lekke software en geen standaard infrastructuur voor het patchen daarvan. Opensource houdt in, dat het makkelijker is om naar lekken te zoeken in de source. Dus makkelijker vinden en niet patchen = meer kans op succes bij het binnendringen.

Closedsource is evengoed niet ideaal, want ook daar kan het patchen een probleem zijn. Maar zonder de source zou het vinden een groter probleem horen te zijn.

Wat een verwrongen samenvatting en kop weer. Het gesprek gaat over de veiligheid van mobiele toestellen in het algemeen en Android in het bijzonder. Daar zijn uitdagingen mee op het gebied van veiligheid. Net zoals bij andere software, maar over die andere software gaat dit gesprek niet echt. Dat betekend niet dat veiligheidsproblemen bij andere software minder complex is of dat gebruik van Linux de veiligheid compliceert. Dat je beveiligingspatches van software van derden die je op je platform gebruikt ook verder moet distribueren naar de eindgebruikers van je platform geld niet alleen voor open source software. Alle software bevat fouten en zal onderhouden moeten worden. Wat wel aangegeven wordt is dat bepaalde open source software in zoveel producten gebruikt wordt dat een fout daar in een grote impact kan hebben. Net zoals een fout in Windows een grote impact heeft omdat het op zo veel systemen draait.
Google zou een software updater voor Android verplicht moeten stellen (waarbij je die dan bijvoorbeeld in kan stellen om alleen updates te doen als er een WiFi verbinding is).

Wat een onzin! (kwam eerst een ander woord bij me op...., drie letters, eerste en laatste zijn dezelfde ;-).

Controleren jullie wel op antecedenten, security.nl?

Hij bedoeld waarschijnlijk dat hij helemaal niks van Linux weet...

Klopt helemaal, Microsoft heeft dit jaren met (enig) succes gedaan. Gelukkig zijn ze inmiddels van de kaart geveegd, al blijft het afwachten hoe het straks met Nokia zal gaan.

Laat ik maar even inhoudelijk reageren.

1. De echte aanvallen zullen zeker bij targetted attacks plaats vinden op applicaties. Juist omdat deze vaak het slechtst beveiligd zijn in vergelijking met een OS. Bovendien is een local exploit OS vaak realistischer / makkelijker zeker als je een slecht beveiligde app kan overnemen. Een remote OS exploit zal vaak toch wat minder makkelijk zijn omdat dat deel vaak heftig gefuzzed en gepentest wordt... Men leert soms nog wel eens iets van het verleden... :)

2. Het argument dat fouten in de code van een applicatie het grootste gevaar zijn is onzin juist omdat de het security model van android applicaties zoveel mogelijk van elkaar en het OS scheid door het gebruikte sandbox en permissie model. Een goede applicatie zou dus minder risico moeten lopen in een dergelijk model. Zolang het OS niet gecompromiteerd is. Wat juist vaak weer snel en volledig gebeurd bij rooted smartphones met onveilige apps. Dus zolang je niet zelf allerlei zaken open zet en onveilig maakt door bijvoorbeeld delen van de security te omzeilen c.q. uit te schakelen is het veel veiliger. iets wat je kan bereiken door third party software die checked op verschillende manieren op rooten / jailbraken van smartphones. Eventueel aangevuld met traffic analyzers/IDS/IPS op VPN tunnels van smartphones.

3. Ik vraag me trouwens af of Google daadwerkelijk allerlei code gebruikt zonder dat men checked of er iets mee is. Als men dat constateert lijkt het me dat men ingrijpt. Maar mischien kan iemand die bij Google werkt iets hierover roepen als dat kan/mag of een persvoorlichter hier laten reageren?

4. De suggestie dat open source code inferieur zou zijn aan commercieel ontwikkelde code is ronduit lachwekkend. Het gebrek aan formele vereisten zoals dat gesteld wordt is naar mijn mening juist minder van toepassing omdat een release van een nieuwe versie van een applicatie in de open source wereld meestal geschied op basis van gehaald maturity level van de afgesproken functionaliteiten. Niet op basis van wat een sales manager heeft beloofd aan zijn klanten in de roadmap. Beetje onzin dus.

5. Het uitgangspunt van deze meneer is dat hackers achter een breed publiek aan gaan om maar zoveel mogelijk slachtoffers te maken. Iedereen met recente criminologische en forensische ervaring weet dat dat niet meer de trend is. Sphear phising ( gericht op 1 organsisatie) neemt steeds meer toe. vaak ook met targetted malware.

6. Niemand patched het OS zelf. Hmm...

Google has responded quickly to Coverity, reportedly preparing over-the-air fixes that will be delivered by January at the latest. Coverity is holding off on releasing details of the vulnerabilities until those fixes are delivered. Over-the-air fixes are one reason some security experts say Android's security is superior to that of the Apple iPhone (iOS does not have over-the-air OS updates).

Bron: http://www.dailytech.com/88+Serious+Security+Bugs+Identified+in+Android+22+Froyo/article20060.htm

My two cents...

HAHA. Chou is zeker de leukste thuis. :p