image

87% Android-apparaten onveilig door lakse fabrikanten

vrijdag 9 oktober 2015, 14:04 door Redactie, 14 reacties

Bijna alle Android-apparaten die de afgelopen vier jaar in omloop waren hadden met beveiligingslekken te maken waardoor ze kwetsbaar voor kwaadaardige apps waren. En de schuld ligt bij de fabrikanten van de toestellen, die niet tijdig met beveiligingsupdates komen, zo stellen onderzoekers (pdf).

De onderzoekers van de Cambridge Universiteit ontdekten dat gemiddeld 87% van de Android-apparaten in de afgelopen vier jaar onveilig was, omdat er geen beveiligingsupdates beschikbaar waren. Sommige fabrikanten doen het echter beter dan andere. Zo blijkt dat de Nexus-toestellen van Google zelf het beste scoren, gevolgd door LG en Motorola. Toch scoren ook deze apparaten een onvoldoende.

De onderzoekers maakten een formule waarbij er werd gekeken naar het aantal toestellen zonder bekende kritieke beveiligingslekken, het aantal toestellen dat de laatste versie gebruikte en het aantal kwetsbaarheden dat de fabrikant in nog geen enkel toestel had opgelost. In totaal waren er 10 punten te halen. Google eindigt bovenaan met een 5,2. Samsung (2,7), Sony (2,5), HTC (2,5) en Asus (2,4) zetten van de bekende merken de laagste score neer, zo blijkt uit het overzicht op Androidvulnerabilities.org.

Volgens de onderzoekers is het gebrek aan updates voor Android-toestellen een algemeen bekend probleem. Recentelijk hebben zowel Google als Samsung aangekondigd om elke maand beveiligingsupdates uit te brengen. Door de prestaties van elke fabrikant te publiceren willen de onderzoekers de problematiek inzichtelijk maken en zo consumenten helpen als ze een toestel willen kiezen. Dit moedigt vervolgens de fabrikanten weer aan om tijdig updates uit te brengen.

Verder stellen de onderzoekers dat Google goed werk heeft geleverd door veel van de risico's te verhelpen. Gebruikers krijgen daarnaast het advies om alleen apps uit Google Play te downloaden, aangezien de apps daar worden gecontroleerd. "Google kan echter niet alles doen, en recente Android-beveiligingsproblemen hebben duidelijk gemaakt dat dit niet voldoende is om gebruikers te beschermen. Apparaten hebben updates nodig van fabrikanten en de meeste toestellen krijgen die niet", aldus onderzoeker Alastair Beresford.

Reacties (14)
09-10-2015, 14:29 door [Account Verwijderd]
[Verwijderd]
09-10-2015, 15:20 door rsterenb
CM is inderdaad een aardige manier om je toestel up-to-date te krijgen, en was ene criterium toen ik m'n telefoon kocht. Ik zie alleen steeds minder recente/nieuwe high-end telefoons in de devicelist van CM staan...
09-10-2015, 17:14 door Anoniem
Door Muria: Balen hoewel er blijkbaar (nog) niet zoveel in the wild mee gebeurt.

CyanogenMod erop zetten is een goede manier om de beveiliging helemaal up-to-date te krijgen.


Daarmee breng je de Android software inderdaad up-to-date. En dat geldt zelfs voor behoorlijk oude toestellen.

Maar: Je moet het toestel rooten. En dat maakt het toestel er toch onveiliger op. Dat is een belangrijk nadeel van deze oplossing.
09-10-2015, 17:20 door Anoniem
Zie ik het verkeerd als ik stel : Dit is echt een bom onder het hele Androïd platform. Of kan het de meeste mensen gewoon niks schelen dat ze met een onveilige telefoon rondlopen ?
09-10-2015, 17:30 door Anoniem
Door Anoniem:
Maar: Je moet het toestel rooten. En dat maakt het toestel er toch onveiliger op. Dat is een belangrijk nadeel van deze oplossing.
Iedere applicatie die root rechten wil moet je daarvoor toestemming geven. Daarnaast kan je er ook voor kiezen om root toegang voor apps en/of ADB helemaal uit te schakelen. Ik dacht zelfs dat dit tegenwoordig de standaard instelling is.
09-10-2015, 19:09 door Anoniem
Zie ik het verkeerd als ik stel : Dit is echt een bom onder het hele Androïd platform. Of kan het de meeste mensen gewoon niks schelen dat ze met een onveilige telefoon rondlopen ?

Is het dan beter geregeld bij andere platformen ? Lakse providers spelen in deze problematiek overigens ook een grote rol, die rollen updates immers vaak veel te laat, of helemaal niet uit. Wat dat betreft ligt de oplossing niet alleen bij de fabrikanten.

Verder zouden gebruikers wel in staat gesteld moeten worden om, zonder het toestel te jailbreaken, zelf ook in staat te zijn om beveiligings updates van de fabrikant te installeren op hun toestel. Het is belachelijk dat je hiervoor afhankelijk bent van je telco.
09-10-2015, 20:13 door [Account Verwijderd]
[Verwijderd]
09-10-2015, 20:25 door Anoniem
Als een site "statistiek" bedrijft, en niet aangeeft in welke firmware een beveiligingslek is verholpen...

Hoe serieus moet je de bewuste site nemen?
09-10-2015, 22:03 door Anoniem
Door Anoniem: Zie ik het verkeerd als ik stel : Dit is echt een bom onder het hele Androïd platform. Of kan het de meeste mensen gewoon niks schelen dat ze met een onveilige telefoon rondlopen ?
Nee,je ziet het niet verkeerd,je hebt gelijk.De meeste mensen weten n iet wat ze moeten doen,ze wachten,veelal vergeefs op de updates/upgrades voor hun toestel(besturingssysteem).Ze hebben een android toestel,mischien net gekocht (mischien wel voor een paar honderd euro)of verkregen door het aangaan van een duur 2 jarig abonnement,wat moeten ze dan doen? De smartphone maar meteen in de vuilnisbak gooien?Het is gewoon een vorm van oplichting,wel toestellen verkopen,met lekken in het OS en dan te beroerd zijn om updates/patches te verstrekken.Eigenlijk zou de EU zich hierover moeten buigen,en mischien ook wel Justitie.Kunnen we (massaal) onze smartphones retourneren en ons geld terugkrijgen of van dat dure abonnement af komen nu blijkt dat vrijwel alle android smartphones die beveiligingslekken bevatten!? Nee,waarschijnlijk niet.En waar blijven de Nederlandse en Europese Consumentenbond,zij zouden hier voor de consumenten moeten opkomen.
09-10-2015, 23:18 door Anoniem
Even over providers, hoe zit het dan met simlock vrije toestellen en toestellen uit een ander land? Zo heeft mijn moeder en Tsjechisch toestel voor de provider o2. Er zit en prepaid kaartje van KPN in. Toestel is hier in Nederland gewoon nieuw gekocht bij een kleine zelfstandige die zelf inkoopt en dus geen officiële dealer is.Verder gewoon legaal en staat al jaren goed bekend in de regio. Is mijn moeder dan afhankelijk van KPN, o2 of Samsung als het gaat om updates uitrollen?

Ik koop zelf ook altijd mijn toestel los.
10-10-2015, 11:16 door Anoniem
Is het dan beter geregeld bij andere platformen ? Lakse providers spelen in deze problematiek overigens ook een grote rol, die rollen updates immers vaak veel te laat, of helemaal niet uit. Wat dat betreft ligt de oplossing niet alleen bij de fabrikanten.
Ja, Apple en Microsoft doen het veel beter.
1) Toestellen krijgen tegelijk dezelfde update aangeboden, direct vanuit de fabrikant (Apple) of met een kleine vertraging (Microsoft).
2) Met name Apple (en in mindere mate Microsoft) trekt zich geen klap aan van wat providers vinden. De updates worden centraal door hen aangeboden en ook staan zij geen branded crapware toe. Vooral dat laatste maakt het updateproces veel makkelijker.
3) Apple (en in mindere mate Microsoft) laten zich niet in met Chineese OEMs. Ook dat maakt centraal updaten veel makkelijker, aangezien custom aanpassingen op OS niveau gewoon niet zijn toegestaan.
11-10-2015, 10:10 door [Account Verwijderd]
[Verwijderd]
11-10-2015, 15:00 door Anoniem
Ik flash mijn Nexus 5 en Nexus 7 zelf naar de nieuwste versie van Android. Ik download de Factory images voor mijn Toestellen, en via een handleiding die te vinden is op de site waar ik de factory images download flash ik ze zelf op mijn toestellen. Ik heb geen zin om te wachten tot de update Via OTA wordt uitgerold voor mijn toestellen.
12-10-2015, 18:22 door Anoniem
Door Muria:
Door Anoniem:
Is het dan beter geregeld bij andere platformen ? Lakse providers spelen in deze problematiek overigens ook een grote rol, die rollen updates immers vaak veel te laat, of helemaal niet uit. Wat dat betreft ligt de oplossing niet alleen bij de fabrikanten.
Ja, Apple en Microsoft doen het veel beter.
1) Toestellen krijgen tegelijk dezelfde update aangeboden, direct vanuit de fabrikant (Apple) of met een kleine vertraging (Microsoft).
2) Met name Apple (en in mindere mate Microsoft) trekt zich geen klap aan van wat providers vinden. De updates worden centraal door hen aangeboden en ook staan zij geen branded crapware toe. Vooral dat laatste maakt het updateproces veel makkelijker.
3) Apple (en in mindere mate Microsoft) laten zich niet in met Chineese OEMs. Ook dat maakt centraal updaten veel makkelijker, aangezien custom aanpassingen op OS niveau gewoon niet zijn toegestaan.

Wat Android updates betreft zou Google hier inderdaad wat van kunnen leren!

Dat ligt niet aan Google. Die komen regelmatig met updates. Het probleem dat de fabrikanten die android telefoons maken geen updates meer beschikbaar stellen voor iets oudere toestellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.