image

Kritieke Androidlekken tijdens maandelijkse update gedicht

dinsdag 8 december 2015, 15:17 door Redactie, 7 reacties

Tijdens de maandelijkse patchronde voor de Androidversie op Nexus-toestellen heeft Google 16 kwetsbaarheden verholpen, waarvan er vier als kritiek zijn aangemerkt. Via kritieke beveiligingslekken kan een aanvaller op afstand code op smartphones en tablets uitvoeren.

Ook is het mogelijk om het toestel permanent onbruikbaar te maken of permanent te compromitteren. De kritieke kwetsbaarheden bevinden zich in de mediaserver, skia, kernel en display-driver. Tevens zijn er verschillende fouten in de bluetooth- en wifi-onderdelen gepatcht, alsmede de Stagefright-bibliotheek waar in het verleden ook al grote problemen zijn ontdekt. De meeste kwetsbaarheden vallen in de 'high' categorie. Hierdoor kan een kwaadaardige app willekeurige code uitvoeren of is het mogelijk om op afstand een tijdelijke Denial of Service te veroorzaken, zoals het vastlopen of herstarten van het toestel.

Volgens Google beschikt Android over verschillende beveiligingsmaatregelen die de kans verkleinen dat Androidlekken succesvol kunnen worden aangevallen. Zo zijn er anti-exploitmaatregelen aan nieuwere Androidversies toegevoegd. Daarnaast zoekt het Android Security Team via Verify Apps en SafetyNet naar potentieel schadelijke applicaties. Verder sturen Google Hangouts en Messenger niet automatisch media door naar processen zoals mediaserver.

Als reactie op de Stagefrightlekken die eerder dit jaar werden onthuld komt Google elke maand met beveiligingsupdates, net als Microsoft doet. Het gaat in dit geval om updates voor Nexus-toestellen. De updates worden over-the-air (OTA) aangeboden en zijn ook als firmware-download verkrijgbaar. Wanneer de nu uitgebrachte updates voor de Android-toestellen van andere fabrikanten verschijnen is onbekend.

Reacties (7)
08-12-2015, 16:41 door Anoniem
Wanneer de nu uitgebrachte updates voor de Android-toestellen van andere fabrikanten verschijnen is onbekend.

Omdat dit echt wel een lange tijd op zich zal laten duren als het aan de fabrikanten ligt, heeft het fixen ban bugs ook maar een kleine impact op het probleem.

@Redactie: ik stel een andere titel voor

[Google dicht kritieke lekken in Android, de fabrikanten (nog) niet

dat geeft een veel eerlijker beeld van de werkelijkheid.
08-12-2015, 21:45 door [Account Verwijderd] - Bijgewerkt: 08-12-2015, 21:49
Door Anoniem:
Wanneer de nu uitgebrachte updates voor de Android-toestellen van andere fabrikanten verschijnen is onbekend.

Omdat dit echt wel een lange tijd op zich zal laten duren als het aan de fabrikanten ligt, heeft het fixen ban bugs ook maar een kleine impact op het probleem.

Zo'n beetje alle Android-telefoons worden al na 1 tot 2 jaar niet meer geupdated, en dan mag je nog blij zijn. Wat jij zegt geldt dus voor +/- 75% van alle telefoons in omloop.

Consumentenbond: Android-smartphones onveilig door gebrekkige updates
http://www.ad.nl/ad/nl/1100/Consument/article/detail/4092410/2015/07/02/Consumentenbond-Android-smartphones-onveilig-door-gebrekkige-updates.dhtml
09-12-2015, 00:05 door Anoniem
Waarom wordt in het artikel alleen verwezen naar de eerder gevonden Stagefright lekken en niet naar een bron voor de overige lekken? Ik neem aan dat het artikel een bron heeft op basis waarvan het is geschreven.
09-12-2015, 09:17 door Anoniem
Maandelijkse update?
Die maandelijkse update vind voor de meeste mensen nooit plaats.
Het Android updatesyseem is zo lek als een mandje...
09-12-2015, 09:56 door rsterenb
Door Rotsmoel:Zo'n beetje alle Android-telefoons worden al na 1 tot 2 jaar niet meer geupdated, en dan mag je nog blij zijn. Wat jij zegt geldt dus voor +/- 75% van alle telefoons in omloop.

Koop dan een telefoon waar een alternatieve ROM voor beschikbaar is, zet die erop, en doorgaans heb je dan nog een hele tijd een recente Android, met fixes, en zonder al die leverancier bloatware (zonder dingen als een FM radio als je telefoon dat nog heeft, maar dat is dan maar zo). Ik kies m'n telefoon en tablet daar op uit: geen alternatieve ROM beschikbaar voor het ding? Dan is het geen optie.
Ik bedoel, kijk eens op: http://wiki.cyanogenmod.org/w/Devices#cmversions=%2212.1%22;
Daar zie je een hele stapel oude, slome apparaten staan waar zelfs een CM12.1 (Android 5.1) voor is. Ik kan je uit ervaring vertellen dat het qua snelheid niet optimaal is, maar het werkt wel.

Overigens, een smartphone die 2 jaar oud is, is ook verouderd. Het lijkt dat 'ie nog zou moeten voldoen want het ding is "pas" 2 jaar oud. Maar we hebben nou eenmaal geen Nokia 3310 meer waarvan de accu een week lang niet opgeladen hoefde te worden, en we willen meer en meer, sneller en sneller.. Daardoor voldoet 'ie na 2 jaar niet meer aan de gebruikers verwachting en kopen we massaal een nieuwe smartphone. Dus op zich... kan ik begrijpen dat het na 2 jaar ophoud met updates. Hoewel ik 3 jaar redelijker zou vinden.
09-12-2015, 11:06 door Anoniem
Koop dan een telefoon waar een alternatieve ROM voor beschikbaar is
Nee, koop gewoon een telefoon van een fabrikant die wel snapt dat Long Term Support belangrijk is. Zover ik het zie is het bij Apple's iOS en Windows Phone goed geregeld op dit gebied (updates worden voor vrijwel alle toestellen *gelijktijdig* uitgerold).
Overigens, een smartphone die 2 jaar oud is, is ook verouderd.
Dat kan wel zijn, maar dat is geen reden om er geen support meer op te leveren. Voor mijn 20 jaar oude auto kan ik ook nog onderdelen krijgen. Mijn 10+ jaar oude laptop kan ik ook nog patchen. Mijn laatste iPhone heeft zelfs 5,5 jaar in de volle support gezeten, daar kunnen de andere fabrikanten een voorbeeld aan nemen.
Maandelijkse update?
Die maandelijkse update vind voor de meeste mensen nooit plaats.
Het Android updatesyseem is zo lek als een mandje...
Nu is dit voor veel mensen nog een 'ver van mijn bed' probleem. Dat zal echter snel veranderen als bepaalde apps zullen worden teruggetrokken (of worden beperkt) vanwege het gebrek aan security (banking apps, bedrijfsapplicaties enz) en wanneer providers dergelijke toestellen actief gaan weren op hun netwerk. Dat laatste omdat gecompromiteerde toestellen ook voor dDOS-achtige zaken kunnen worden ingezet. Je krijgt dan én een overbelast netwerk, én heel veel extra werk voor de klantenservice (= kosten).
Ik ben heel benieuwd wat de toekomst ons gaat brengen, want die ziet er voor Android vrij slecht uit, ondanks de hoge afzetaantallen. Google moet de touwtjes strakker aanhalen en OEM's veel meer eisen opleggen.
09-12-2015, 11:30 door Anoniem
Overigens, een smartphone die 2 jaar oud is, is ook verouderd. Het lijkt dat 'ie nog zou moeten voldoen want het ding is "pas" 2 jaar oud. Maar we hebben nou eenmaal geen Nokia 3310 meer waarvan de accu een week lang niet opgeladen hoefde te worden, en we willen meer en meer, sneller en sneller.. Daardoor voldoet 'ie na 2 jaar niet meer aan de gebruikers verwachting en kopen we massaal een nieuwe smartphone. Dus op zich... kan ik begrijpen dat het na 2 jaar ophoud met updates. Hoewel ik 3 jaar redelijker zou vinden.

Dit is primair een ding van de leveranciers (telco's). Die geven een contract met toestel van 2 jaar, en daarna mag de klant (bij verlenging) een nieuw toestel kiezen.
De klant denkt er dus niet of nauwelijks bij na.

Koop dan een telefoon waar een alternatieve ROM voor beschikbaar is, zet die erop, en doorgaans heb je dan nog een hele tijd een recente Android, met fixes, en zonder al die leverancier bloatware (zonder dingen als een FM radio als je telefoon dat nog heeft, maar dat is dan maar zo).

Niet ierdeen is zo vaardig om een toestel te rooten, en een CM-versie erop te zetten. Veel van de beschikbare handleidingen zijn verder ook nog eens door vak-idioten geschreven die (voor hun logische) stappen overslaan. Dat is dus geen oplossing voor een leek.

Naar mijn mening ligt de bal bij Google (en de fabrikanten)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.