Beveiligingslekken in miljoenen Androidtoestellen ontdekt
In miljoenen Androidtoestellen met Qualcomm-chips hebben onderzoekers vier kwetsbaarheden ontdekt waardoor aanvallers roottoegang kunnen krijgen en toestellen volledig kunnen overnemen. Volgens beveiligingsbedrijf Check Point, dat de problemen ontdekte (pdf), zijn 900 miljoen toestellen kwetsbaar.
De beveiligingslekken zijn aanwezig in de softwaredrivers van Qualcomm die met de chips van het bedrijf geleverd worden. Deze drivers, die de communicatie tussen de onderdelen van het toestel regelen, worden door fabrikanten zoals Samsung en LG aan hun Androidversie toegevoegd. De kwetsbaarheden zijn via een kwaadaardige app uit te buiten. Deze kwaadaardige app vereist echter geen speciale permissies om de beveiligingslekken aan te vallen.
In april van dit jaar werd Qualcomm over de problemen ingelicht en de chipfabrikant stuurde vervolgens beveiligingsupdates naar fabrikanten. Het is echter onduidelijk welke fabrikanten inmiddels beveiligingsupdates voor de problemen hebben uitgerold, als dat al het geval is. De cve-nummers waarmee de kwetsbaarheden worden aangeduid leveren namelijk amper hits op en zijn ook niet in de beveiligingsbulletins van Google terug te vinden.
Mochten de updates beschikbaar worden dan krijgen gebruikers het advies die zo snel als mogelijk te installeren. Check Point waarschuwt in het onderzoeksrapport voor de problematiek rondom het updaten van Androidtoestellen, waardoor sommige apparaten nooit updates zullen ontvangen en permanent kwetsbaar blijven.
Het is alleen triest dat bijna geen enkel device de update kan ontvangen door het Android update problem.
Eigen eerder het leverancier en provider update problem... Die updaten de toestellen niet.
Android zelf zijn wel updates voor.
Hierdoor zal het lang een probleem blijven.
Erger nog, er worden nog toestellen (voornamelijk budget) in de winkels verkocht met Android 4.4, welke ook nooit een update gaan krijgen.
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.
Ik heb zitten zoeken maar kom nergens iets tegen.
Ik heb zo'n Acer iconia One tablet Quad core 1,3 GHz.
Wel kernel-versie, verkoper van CPU, MTK blijkt dat te zijn maar iets over drivers kan ik niet vinden.
Draait perfect.
Nee hoor, Windows gebruikers zijn gewend aan werkende updates, ook voor de mobiele variant. Dat geeft een veiliger gevoel dan een android, die of wel, of niet update.
Ik heb zitten zoeken maar kom nergens iets tegen.
Ik heb zo'n Acer iconia One tablet Quad core 1,3 GHz.
Wel kernel-versie, verkoper van CPU, MTK blijkt dat te zijn maar iets over drivers kan ik niet vinden.
Gewoon een custom ROM gebruiken zodat in ieder geval de standaard meuk niet meer beschikbaar is en het beheer van machtigingen iets makkelijker wordt.
Zodra consumenten daar duidelijke en harde eisen aan gaan stellen, ipv alles accepteren als je maar hot bent met je toestel?
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.
Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.
Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.
Qualcomm is niet open source, en omdat er 1 bug/lek/backdoor zit in een stukje open source software wil niet zeggen dat er geen 600 in jouw closed-source hoopje ellende zit.
Ik weet in ieder geval zeker dat wanneer mensen mee (kunnen) kijken, mensen 'netter' werk afleveren.
Dat varieert van bagagemedewerkers die ineens tassen LEGGEN op de rolband ipv 4 meter afstand gooien tot code monkeys die code aan het kloppen zijn in New Delhi.
Dit ging puur om het feit dat software waar meer mensen naar kunnen kijken (alle hardware boeren) een bug/NSA backdoor heeft en dat het risico op zulke dingen in software naar niemand naar kan/mag kijken dus vele malen groter is.
Simpelweg omdat mensen die niet denken dat ze bekeken worden hele andere dingen doen... Doe daar nog maar eens over nadenken de eerst volgende keer dat je een hamburger eet in een drive...
WiKo met android 6
Willyfox met cyanogenmod 13.
Beide toestellen ontvingen na aankoop beiden 1 update.
Dat was een maand geleden.
Daarna werden voor beide toestellen alleen de apen geupdate.
Ik vraag mij echt af of er ooit nog een update komt voor beide toestellen.
Draait perfect.
Met security gaat het er om:
- de gewenste functionaliteit niet te beschadigen.
Ja de gebruiker de "het werkt toch" zegt geeft een compliment als het een hardened omgeving is. Alleen wel jammer dat hij het verschil niet doorziet en niet kan doorzien. Hij zal het maar lastig vinden dat kostbare dichttimmeren
- onbedoelde functionaliteit onmogelijk te maken. Ja die was onbedoeld en als goed is niet gebruikt.
Helaas je kan niet alles weten/ Je weet niet wat je niet weet. Wat wordt er gemist?
Het gaat om kernel drivers geleverde door het handjevol fabrikanten dat nog bestaat. Een zeer grote kans dat die fouten op veel meer plaatsen zit dan nu bekend gemaakt is. Het bewijs leveren dat er niets fout op jouw toestel is, is vrijwel onmogelijk.
Megabedrijven zijn primair bezig met winst maximalisatie. En dan al die after-sales poespas draagt daar gewoon negatief aan bij. Enige wat over blijft is gewoon dwingen met regelgeving. Mooi iets voor Europa, net als met de universele oplader.
cve-2016-2059
cve-2016-2504
cve-2016-2503
cve-2016-5340
2504 zit in de update van augustus
2503 zit in de update van juli
5340 is nog niet gepatched
2059 kan ik niet vinden maar een check op mijn telefoon geeft aan dat hij niet kwetsbaar is.
Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.
Ach jee, weer een anonimus die denk logisch te kunnen redeneren. Wanneer het gevolg (consequentie) van een oorzaak (antecedent) in een implicatie (open source leidt tot betere programmatuur) niet waar is, betekent dat nog niet dat de implicatie onwaar is. (in formulevorm: als P => Q <==> ¬P V Q, onjuist is P => Q <==> ¬Q => ¬P)
Vervelend dat wel, maar veiliger dan welke updates of scanners dan ook.
Ja idd neem de google rommel, privacy maakt toch niet meer uit. Gewoon updates verplicht stellen, is inherent aan het product. Net zoals wettelijk bepaalde garanties etc etc.
Bedrijfsleven heeft echt niet als eerste prioriteit het beste voor de kudde.
Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.
Ach jee, weer een anonimus die denk logisch te kunnen redeneren. Wanneer het gevolg (consequentie) van een oorzaak (antecedent) in een implicatie (open source leidt tot betere programmatuur) niet waar is, betekent dat nog niet dat de implicatie onwaar is. (in formulevorm: als P => Q <==> ¬P V Q, onjuist is P => Q <==> ¬Q => ¬P)
:) er is MSCE logica!
Nee hoor, Windows gebruikers zijn gewend aan werkende updates, ook voor de mobiele variant. Dat geeft een veiliger gevoel dan een android, die of wel, of niet update.
HAHAHAHAHA. Windows and werkende updates. Google eens naar "windows update hangs at 99%" en scroll pagina na pagina na pagina...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.