Nieuws

Androidtoestellen kwetsbaar voor aanval met PNG-afbeelding

dinsdag 5 februari 2019, 16:39 door Redactie, 20 reacties

Een beveiligingslek in Android maakt het mogelijk voor een aanvaller om via een kwaadaardige PNG-afbeelding willekeurige code op toestellen uit te voeren. Google heeft een beveiligingsupdate ontwikkeld, maar niet alle toestellen zullen de patch ontvangen.

Elke maand komt Google met een patchronde om kwetsbaarheden in het Androidplatform te verhelpen. Deze maand gaat het om 42 beveiligingslekken die zijn gedicht. Elf van de kwetsbaarheden zijn als ernstig omschreven en bevinden zich in het Android-framework, de Android-library, Android-system en onderdelen van Nvidia en Qualcomm.

De gevaarlijkste kwetsbaarheden die Google deze maand heeft verholpen zijn volgens de internetgigant aanwezig in het Android-framework en zorgen ervoor dat een aanvaller op afstand via een kwaadaardig PNG-bestand willekeurige code kan uitvoeren in de context van een geprivilegieerd proces. Google meldt dat deze beveiligingslekken, alsmede andere kwetsbaarheden die deze maand zijn verholpen, nog niet worden aangevallen.

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2019-02-01' of '2019-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit. Vorig jaar maakte Google bekend dat één miljard Androidtoestellen in 2017 geen beveiligingsupdates hadden ontvangen.

Microsoft waarschuwt voor beveiligingslek in Exchange Server

Google reset hergebruikte wachtwoorden van 110 miljoen mensen

Reacties (20)

05-02-2019, 18:38 door Anoniem

Tsss... wat een drama. Eén miljard toestellen lek en de gebruikers hebben geen mogelijkheid om dat te repareren, anders dan door een nieuw toestel aan te schaffen.

Obsolesence by software is de natte droom van elke fabrikant. Dat de gebruiker dat pikt is onbegrijpelijk.

05-02-2019, 19:18 door Anoniem

Zeker niet als je een samsung telefoon hebt van vodafone dan zijn de kwartaal updates eigenlijk halfjaarlijkse updates en verkocht als zijnde 'krijgt twee jaar updates'... echter niet als ze nog een half jaar geldig zijn op het moment dat vodafone dit soort toestellen verkoopt, 'omdat de klant het wil'. Nee dat wou ik niet.

05-02-2019, 23:18 door Anoniem

Door Anoniem: Tsss... wat een drama. Eén miljard toestellen lek en de gebruikers hebben geen mogelijkheid om dat te repareren, anders dan door een nieuw toestel aan te schaffen.

Obsolesence by software is de natte droom van elke fabrikant. Dat de gebruiker dat pikt is onbegrijpelijk.

Wat moet men anders? Apple kopen (wat maar een paar jaar langer support geeft in de regel dan Android One), iedereen een andere phone kopen als updates stoppen, custom rom? Geloof mij 90% van de mensen die niets met ICT doet boeit het niet. Ga maar eens bij je non-ICT vrienden langs, en vraag op welke Androidversie en security datum ze zitten. Gros weet het niet waarschijnlijk.

06-02-2019, 00:03 door [Account Verwijderd]

Het updatebeleid van Android toestellen is om te janken, en daarmee dus ook de veiligheid. Veiligheidsissues, privacy-issues... ik vind het te schandalig voor woorden. Ik kan niet wachten op de levering van de door mij bestelde Librem toestel. Eindelijk van dat gezeik af.

06-02-2019, 02:36 door Anoniem

Door Unix4: Het updatebeleid van Android toestellen is om te janken, en daarmee dus ook de veiligheid. Veiligheidsissues, privacy-issues... ik vind het te schandalig voor woorden. Ik kan niet wachten op de levering van de door mij bestelde Librem toestel. Eindelijk van dat gezeik af.

Kun je wat meer over dat toestel vertellen? Wat zijn de voor- en nadelen?

06-02-2019, 03:30 door Anoniem

Heeft er al eens iemand van gedroomd om software te maken die nooit ge-update HOEFT te worden?

06-02-2019, 08:07 door Anoniem

Het is niet het updatebeleid van 'Android' toestellen wat een probleem is. Android wordt zelfs veel gebruikt, waardoor veel kwetsbaarheden ontdekt worden. Google lost deze altijd snel op en bied deze aan, dus met de veiligheid van Android zit het volgens mij wel op een acceptabel niveau.

Het is aan de leverancier!!!! om deze updates beschikbaar te stellen voor zijn toestellen. En daar zit inderdaad het probleem. Hoewel er hard gewerkt wordt om het beter te doen met bijv. initiatieven als Android One.

06-02-2019, 08:34 door Anoniem

Dus geen risicovolle dingen op een android-toestel doen (zoals bv bankieren) totdat leveranciers wel langdurig updates leveren of Google dit naar zich toe trekt.

06-02-2019, 08:52 door Anoniem

Ja leuk, maar hoe zit het met Whatsapp, Facebook en andere digitale sociale zaken? Ik ben juist gestopt met Windows Phone omdat het simpelweg leeg liep. De apps van mijn banken stopte ermee, eigenlijk alles begon te toeteren dat het einde nabij was en nu ook Microsoft. Dus noodgedwongen toch maar een Android One toestel genomen en eigenlijk heb ik nu ook niets te klagen wat betreft updates en zo.

06-02-2019, 09:54 door Anoniem

Oudere apple iOS toestellen krijgen ook geen updates meer.
Als er voor de iphone 5 nu iets gevonden zou zijn, betwijfel ik of je hier een patch voor zal krijgen - denk et niet.

06-02-2019, 09:55 door Anoniem

Door Anoniem:

Kun je wat meer over dat toestel vertellen? Wat zijn de voor- en nadelen?

https://puri.sm/products/librem-5/

06-02-2019, 11:16 door Anoniem

Er wordt ook *nooit* grootschalig misbruik van gemaakt, dáárom boeit het mensen niet. Stagefright niet en dit ook niet. Blijkbaar krijgen de malware schrijvers het niet voor elkaar om één exploit te schrijven die op alle kwetsbare devices werkt. Problemen met verschillende Android kernels, andere skins, andere CPU's, andere onboard hardware en radio's enz enz. Het grootste probleem van Android, namelijk de fragmentatie, is ook meteen zijn kracht; de leveranciers krijgen daardoor het patchen niet voor elkaar en de criminelen krijgen het grootschalige misbruik erdoor niet van de grond.

06-02-2019, 11:31 door Anoniem

Door Anoniem:

misschien gewoon geen facebook gebruiken, wel zo verstandig om je data te beveiligen. en bank apps? waarom zou je, je kunt gewoon internet bankieren, werkt simpel zat. en als je verder echt zo graag android apps wilr draaien, dan kan ik je zeggen dat ze bezig zijn met android app ondersteuning, deze is niet aanwezig in de eerste release, maar komt met een latere software update.

06-02-2019, 11:46 door Eric-Jan H te D

Door Anoniem: Heeft er al eens iemand van gedroomd om software te maken die nooit ge-update HOEFT te worden?

Een soort zelf dichtende autoband ;-)

06-02-2019, 15:23 door Anoniem

Door Anoniem:

Kun je wat meer over dat toestel vertellen? Wat zijn de voor- en nadelen?

https://puri.sm/products/librem-5/

Dat is een eenzijdig Amerikaanse stijl verkoopverhaal, ik wil graag technische feiten horen en de voor- en nadelen.

06-02-2019, 16:25 door Happy Linux User

Door Anoniem:

Kun je wat meer over dat toestel vertellen? Wat zijn de voor- en nadelen?

Kijk hier eens voor een overzicht
https://itsfoss.com/librem-linux-phone/

06-02-2019, 19:02 door Anoniem

Hoppa des te meer een reden om als iemand hier toestellen met Android die niet gepatcht worden, zakelijk gebruikt.

Direct maar dan ook direct hiermee te stoppen.

Afgezien vd vraag of je dat uberhaupt had moeten doen.

06-02-2019, 22:06 door [Account Verwijderd]

Door Anoniem:
Het is aan de leverancier!!!! om deze updates beschikbaar te stellen voor zijn toestellen.

Dat weet ik, dus ik bedoelde het gehele updatebeleid van dat platform. En het maakt me niet uit de schuld ligt bij Google of de telefoonbouwer, het is gewoon niet in orde! En dat bedoelde ik....

06-02-2019, 22:11 door [Account Verwijderd]

Door Anoniem:
Dat is een eenzijdig Amerikaanse stijl verkoopverhaal, ik wil graag technische feiten horen en de voor- en nadelen.

Ja, maar wacht even... je vraagt erom, iemand geeft je een link waar je informatie kan vinden, maar je weigert even zelf op onderzoek uit te gaan? Die informatie is gewoon via deze website te vinden. Beetje lompe reactie dus, en ook ondankbaar. Maar prima, in dat geval ga ik het ook niet meer voor je voorkauwen. Gezien je inborst kun je maar beter geen interesse tonen. Librem 5 is niet voor luie mensen die alles voorgekauwd willen krijgen. Neem (of blijf) lekker bij Android. Past beter bij je, geloof me!

06-02-2019, 22:20 door [Account Verwijderd]

Door Anoniem:
Dus geen risicovolle dingen op een android-toestel doen (zoals bv bankieren) totdat leveranciers wel langdurig updates leveren of Google dit naar zich toe trekt.

Ik kijk wel uit. Ik gebruik mijn foon alleen om te bellen, te SMS'en en om muziek te luisteren. Voor de rest doe ik er niks mee. Bankieren doe ik op mijn laptop of computer thuis, websites lezen idem dito, en aan social media doe ik al helemaal niet (ondanks de groepsdruk van mijn omgeving en zelfs mijn baas die me aan WhatsApp probeert te krijgen). Maar bottom line is dat ik er niet aan begin. Ik ga nog steeds (heel ouderwets, ik weet het) gewoon op visite bij mijn vrienden voor een goed gesprek. ;-)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Androidtoestellen kwetsbaar voor aanval met PNG-afbeelding

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren