image

Nieuwste Androidversie zal standaard encryptie inschakelen

vrijdag 19 september 2014, 09:45 door Redactie, 9 reacties

De nieuwste Androidversie die volgende maand verschijnt zal voor de eerste keer standaard encryptie inschakelen. Android biedt gebruikers al enige tijd de mogelijkheid om de gegevens op hun toestel te versleutelen, maar niet veel gebruikers zouden de beveiligingsmaatregel inschakelen.

Voor nieuwe Androidtoestellen zou Google de activatieprocedure zo hebben ontworpen dat de versleuteling automatisch plaatsvindt. Alleen door het invoeren van het juiste wachtwoord is het volgens de Washington Post mogelijk om toegang tot de gegevens te krijgen. De aankondiging volgt nadat Apple eerder deze week had laten weten dat met iOS 8 ook de data op iOS-toestellen automatisch worden versleuteld.

De nieuwste Androidtoestellen met Android-L, zoals de nieuwste versie van het besturingssysteem heet, zullen waarschijnlijk na oktober verschijnen. Het kan echter nog jaren duren voordat alle Androidgebruikers encryptie standaard hebben ingeschakeld, aangezien niet alle Androidgebruikers naar het nieuwe besturingssysteem kunnen upgraden omdat de fabrikant van de telefoon dit niet aanbiedt of de hardware het niet aankan.

Reacties (9)
19-09-2014, 10:20 door Erik van Straten
In https://www.security.nl/posting/402527/privacy+%26+update+Samsung+GSM#posting402663 heb ik informatie over oudere Android versies gepost dat de lezer mogelijk zal interesseren, o.a. dat op dit moment nog veel nieuwe smarphones met verouderde Android versies worden verkocht.

Naast het standaardiseren van USB stekkers zou de Europese Commissie (en/of -parlement) kunnen vereisen dat verkochte producten met software/firmware aan boord, afhankelijk van de typische levensduur van het product, een X aantal jaren verplicht door de leverancier tijdig van beveiligingsupdates moeten worden voorzien. Een uitbreiding van de garantievoorwaarden dus. En als dat niet kan (faillissement fabrikant bijvoorbeeld), de verplichting dat de verkoper de klant kostenloos een vervangend gelijkwaardig device verstrekt.

Wat "tijdig" en "beveiligingsupdates" zijn moet goed worden gespecifieerd. M.i. vallen functionaliteitswijzigingen (zoals de door Redactie genoemde), die bijv. door een meerderheid van onafhankelijk deskundigen wordt aanbevolen, hier ook onder.

Anders blijven we met grote hoeveelheden lekke devices zitten, die vaak afhankelijk blijven van compleet verouderde protocollen en algoritmes (dit geldt niet alleen voor Android: denk aan het gebruik van SHA1 en zelfs nog accepteren van MD5 in Microsoft Windows, terwijl SHA256 nog niet volledig wordt ondersteund door Windows 7 en ouder).

Tot nu toe zijn we er goed mee weggekomen, zelfs Heartbleed heeft niet tot masaal misbruik en ontwrichting van de samenleving geleid. Maar als we als maatschappij veel te lang op bewezen verouderde concepten blijven hangen, is het wachten tot dit een keer goed misgaat en cybercriminelen of een vijandige natie de lachtende derde zijn.

Als je als koper een redelijke levensduur van een product mag verwachten, betekent dat ook dat het product daadwerkelijk bruikbaar moet blijven voor het doel waarvoor het werd aangeboden. Dat betekent dus ook dat je er, na verloop van tijd, geen onredelijke risico's mee gaat lopen.
19-09-2014, 11:39 door Anoniem
Mooie reactie Erik maar wel een beetje het verhaal van een security manager/officer met heel veel angst in zijn voorstel:
'Tot nu toe zijn we er goed mee weggekomen, zelfs Heartbleed heeft niet tot masaal misbruik en ontwrichting van de samenleving geleid'

Ontwrichting van de samenleving...klinkt wel erg als al die Hollywood films, theoretisch mogelijk, maar of het ook zo erg was met Heartbleed?
Ja het was erg, misschien wel erger dan we ons kunnen voorstellen maar tot nu toe heb ik geen 'ontwrichte samenleving'-en gezien nav een it security probleem.

Wat mij betreft gaan die makers van toestellen met Cyanogenmod of dergelijke in zee zodat klanten lang support krijgen.
4.3.3 draait OK (niet super snel) op een Samsung Galaxy S.

Ik vraag me alleen dan af of het zin heeft om ook nog encryptie aan te zetten, het is lekker beveiligd maar je telefoon kan amper nog reageren.
Kan je beter je telefoon in de sloot gooien..
19-09-2014, 12:13 door johanw
Ik hoop dat dat geen problemen oplevert voor backup tools. Het enige dat ik er tot nu toe over lees gaat over antieke Android versies waar het wel problemen geeft.
19-09-2014, 12:38 door Anoniem
Door Erik van Straten:Naast het standaardiseren van USB stekkers zou de Europese Commissie (en/of -parlement) kunnen vereisen dat verkochte producten met software/firmware aan boord, afhankelijk van de typische levensduur van het product, een X aantal jaren verplicht door de leverancier tijdig van beveiligingsupdates moeten worden voorzien. Een uitbreiding van de garantievoorwaarden dus. En als dat niet kan (faillissement fabrikant bijvoorbeeld), de verplichting dat de verkoper de klant kostenloos een vervangend gelijkwaardig device verstrekt.

Ik heb bij ACM een klacht ingediend over de oude, onveilige toestellen die verkocht worden. Volgens ACM is de leverancier verplicht om minimaal gedurende de garantieperiode te zorgen voor een veilig product. Dat is onafhankelijk of het een kofiezetapparaat of een telefoon is. Als ze dat niet doen, zijn ze strafbaar. ACM heeft echter meer klachten nodig om tegen specifieke bedrijven op te kunnen treden.

Peter
19-09-2014, 13:22 door Anoniem
Door Erik van Straten: In https://www.security.nl/posting/402527/privacy+%26+update+Samsung+GSM#posting402663 heb ik informatie over oudere Android versies gepost dat de lezer mogelijk zal interesseren, o.a. dat op dit moment nog veel nieuwe smarphones met verouderde Android versies worden verkocht.

Naast het standaardiseren van USB stekkers zou de Europese Commissie (en/of -parlement) kunnen vereisen dat verkochte producten met software/firmware aan boord, afhankelijk van de typische levensduur van het product, een X aantal jaren verplicht door de leverancier tijdig van beveiligingsupdates moeten worden voorzien. Een uitbreiding van de garantievoorwaarden dus. En als dat niet kan (faillissement fabrikant bijvoorbeeld), de verplichting dat de verkoper de klant kostenloos een vervangend gelijkwaardig device verstrekt.

En anders moeten de kopers eens leren te stemmen met hun portemonnee. Iedereen die dit belangrijk vindt, zou die smartphones gewoon niet meer moeten kopen. Iedere fabrikant en/of provider die zich dan niet aan het tijdig updaten houdt, blijft dan met zijn spullen zitten en heeft de keuze tussen meedoen of failliet gaan.
19-09-2014, 15:47 door mcb
Door Anoniem 13:22:
En anders moeten de kopers eens leren te stemmen met hun portemonnee. Iedereen die dit belangrijk vindt, zou die smartphones gewoon niet meer moeten kopen. Iedere fabrikant en/of provider die zich dan niet aan het tijdig updaten houdt, blijft dan met zijn spullen zitten en heeft de keuze tussen meedoen of failliet gaan.
Er is alleen 1 probleem.
Je hoeft op deze site bijna niemand dit te vertellen (was ook 1 van mijn criteria), maar de gemiddelde smartphone gebruiker wil alleen dat zijn telefoon werkt en dat de gewenste apps er op kunnen draaien.
Hun pc's zullen redelijk beveiligd zijn maar over telefoons ("is immers geen pc, toch...") denken ze niet na.
En de groep vaste security.nl-bezoekers (en andere gerelateerde sites) is niet dusdanig groot dat fabrikanten dit in hun statistieken gaan merken.
19-09-2014, 17:03 door Anoniem
Gaat deze versie ook nog op de Samsung Galaxy s4 komen?.
19-09-2014, 19:50 door KwukDuck
Ik hoop dat dit met import/export opties van de keys komt, nu een encrypted systeem full wipe doen of reinstall van de rom is alle data weg. Recovery/Restore functie is wel essentieel, zeker als het standaard wordt.
22-09-2014, 11:49 door johanw
Door Anoniem:Ik heb bij ACM een klacht ingediend over de oude, onveilige toestellen die verkocht worden.
Tamelijk zinloos natuurlijk. Die toestellen zijn niet onveilig in de zin van "fysiek gevaar voor de gebruiker opleverend". Computers met XP worden ook nog 2e hands verkocht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.