Androidlek kan aanvaller op afstand code laten uitvoeren
Google heeft tijdens de patchcyclus van maart 71 beveiligingslekken in Android verholpen, waaronder een ernstige kwetsbaarheid waarmee het mogelijk was om Androidtoestellen via een speciaal geprepareerd bestand op afstand over te nemen. Ook zijn er lekken opgelost die het mogelijk maakten om toestellen via een "speciaal gemaakt usb-apparaat" te compromitteren.
Van de 71 kwetsbaarheden die Google deze maand patchte bevinden zich er veertig in "closed-source" onderdelen van chipfabrikant Qualcomm. Zestien van deze beveiligingslekken zijn als ernstig aangemerkt, maar voor verdere details wijst Google naar de beveiligingsbulletins van Qualcomm. In de eigen kwetsbare Androidonderdelen vallen verschillende kwetsbaarheden op.
Het gaat als eerste om een ernstige kwetsbaarheid in het Media-framework. Via een speciaal geprepareerd bestand kan een remote aanvaller willekeurige code uitvoeren in de context van een geprivilegieerd proces. Verschillende kwetsbaarheden in het Android-system en FPC-onderdelen maken het mogelijk voor een kwaadaardige app om zonder interactie van gebruikers aanvullende permissies te krijgen.
Daarnaast zijn er meerdere kwetsbaarheden in de Androidkernel gepatcht. Die maken het mogelijk voor een lokale aanvaller om via een speciaal gemaakt usb-apparaat willekeurige code uit te voeren in de context van een geprivilegieerd proces.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2020-03-01' of '2020-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
De naam WhatsApp fraude doet vermoeden dat de fraude door fouten in WhatsApp veroorzaakt wordt wat uiteraard niet klopt. De slachtoffers hadden net zo goed op een andere manier slachtoffer kunnen worden. Heeft niets met wat voor hard- of software dan ook te maken.
Ik volg ook nu weer deze redenatie van Karma4 niet.
WhatsApp is een multi-platform toepassing, en draait dus op iOS, Android, WindowsPhone, Blackberry, Symbian.Windows. MacOS.
https://nl.wikipedia.org/wiki/WhatsApp
Dus WhatsApp fraude heeft niets te maken met het OS, zoals Karma4 beweert.
Karma4 waar lees je dat (bron?)
Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
https://e.foundation
https://download.lineageos.org/
WhatsApp is een multi-platform toepassing, en draait dus op iOS, Android, WindowsPhone, Blackberry, Symbian.Windows. MacOS. https://nl.wikipedia.org/wiki/WhatsApp
Dus WhatsApp fraude heeft niets te maken met het OS, zoals Karma4 beweert.
Karma4 waar lees je dat (bron?)
Ik volg de kromme redenering van onze OSS en Linux evangelisten dat alles aan het OS zou liggen.
Dat klopt van geen meter. Het werd wel zo ingezet met de microsoftscam en andere zaken door dit soort OSS figuren.
Informatieveiligheid risicomanagement Is een andere manier van denken. risico's impact scheiding van functies taken en veel meer. Dat gedoe van evangelisten is storend om daar wat gedagen te kunnen krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.