image

Google dicht Androidlekken die aanvaller op afstand code laten uitvoeren

dinsdag 7 april 2020, 09:29 door Redactie, 7 reacties

Google heeft tijdens de patchcyclus van april 55 beveiligingslekken in Android gepatcht, waaronder meerdere ernstige kwetsbaarheden waardoor een aanvaller op afstand code op toestellen kan uitvoeren. Vier van deze ernstige beveiligingslekken bevinden zich in Android-system. Door een "speciaal geprepareerd" bestand te versturen kan een remote aanvaller willekeurige code uitvoeren in de context van een geprivilegieerd proces, aldus de omschrijving van Google.

Naast deze vier kwetsbaarheden in Android heeft Google ook patches toegevoegd voor negen ernstige kwetsbaarheden in onderdelen van chipgigant Qualcomm. Het gaat onder andere om de WLAN-software. Een kwaadaardig access point zou via wifi een "out of bound write" kunnen veroorzaken en zo code op het toestel kunnen uitvoeren. Verdere details over de ernstige kwetsbaarheden zijn zowel door Google als Qualcomm niet gegeven.

De overige beveiligingslekken maakten het onder andere mogelijk voor kwaadaardige apps om zonder interactie van gebruikers aanvullende permissies te krijgen of code in de context van een geprivilegieerd proces uit te voeren. Verder zijn er drie kwetsbaarheden in de Androidkernel gepatcht waardoor een aanvaller met fysieke toegang via een "speciaal geprepareerd usb-apparaat" willekeurige code op toestellen kan uitvoeren.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2020-04-01' of '2020-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (7)
07-04-2020, 10:37 door [Account Verwijderd] - Bijgewerkt: 07-04-2020, 10:37
Lekker belangrijk zeg.

De meeste van ons (tenminste die zo denken als ik) hebben een telefoon van 3+ jaar omdat het ding moet bellen en SMS'en en geen renderjobs of zware games moet draaien. Maar het niet willen meedoen aan de laatste hypes wordt bestraft want je loopt gewoon met een gatenkaas rond na een jaar of 2.

Niet dat we de fabrikant massaal laten vallen die het verrekt z'n rotzooi dicht te houden zodra je hebt betaald. Nee! Het Nedervee bestelt zich gewoon een nieuwe. En daarmee blijft dit verdienmodel in stand en lopen we allemaal met een lekke telefoon rond.

Jullie (ik heb geen Android meer) zijn het zelf schuld. Zit maar lekker op de blaren!
07-04-2020, 13:25 door Anoniem
Ik dacht in januari nog, laat ik eens een nieuw toestel kopen, dan ben ik voorlopig altijd up to dat.
Een Motorola Moto E6 Play met android 9 er op, uitgekomen in +/- november 2019
Dus voorlopig wordt deze wel bijgehouden met allerlei belangrijke updates, dacht ik nog.
Tot op de dag van vandaag heb ik hier nog enkel beveiliging update gehad, op bij gewerkte versie uit google play na.
Wat voel ik mezelf bekocht/ opgelicht hiermee.
Als ik dat van tevoren had geweten, dan was het nooit een Motorola geworden.
07-04-2020, 14:31 door Anoniem
Toevallig zelf een Google Pixel telefoon, vanochtend de april 2020 security update gehad. Dat is dan weer het voordeel zonder tussenpartijen.
07-04-2020, 17:30 door [Account Verwijderd]
Door Rexodus: Lekker belangrijk zeg.

De meeste van ons (tenminste die zo denken als ik) hebben een telefoon van 3+ jaar omdat het ding moet bellen en SMS'en en geen renderjobs of zware games moet draaien. Maar het niet willen meedoen aan de laatste hypes wordt bestraft want je loopt gewoon met een gatenkaas rond na een jaar of 2.

...

Jullie (ik heb geen Android meer) zijn het zelf schuld. Zit maar lekker op de blaren!

De meeste mensen hebben geen alternatief, niet voor iedereen is het weggelegd om over te stappen op Apple of een custom rom te installeren. Het is de wetgever die de consument niet tot onvoldoende beschermd tegen dit absurde systeem. Vermoedelijk wordt er achter de schermen ruim aan verdiend d.m.v. "lobby werk".

Door Anoniem: Ik dacht in januari nog, laat ik eens een nieuw toestel kopen, dan ben ik voorlopig altijd up to dat.
Een Motorola Moto E6 Play met android 9 er op, uitgekomen in +/- november 2019
Dus voorlopig wordt deze wel bijgehouden met allerlei belangrijke updates, dacht ik nog.
Tot op de dag van vandaag heb ik hier nog enkel beveiliging update gehad, op bij gewerkte versie uit google play na.
Wat voel ik mezelf bekocht/ opgelicht hiermee.
Als ik dat van tevoren had geweten, dan was het nooit een Motorola geworden.

Schandalig inderdaad! Je hebt het miserabele recht op 2 jaar updates na release en zelfs dat word je ontnomen.

Door Anoniem: Toevallig zelf een Google Pixel telefoon, vanochtend de april 2020 security update gehad. Dat is dan weer het voordeel zonder tussenpartijen.

Heb een Mi A3 met Android One erop. Ik krijg updates maar pas aan het einde van de maand, letterlijk de laatste dag van de maand. Klaarblijkelijk is er een goedkoper pakketje gekocht door de Chinezen...
07-04-2020, 17:33 door Anoniem
Motorola G6 Plus is van 2018 , ik krijg nog steeds automatisch veiligheids- updates.
09-04-2020, 16:36 door Anoniem
Vandaag de maart veiligheids update gehad voor mijn Motorola G6 plus
10-04-2020, 10:10 door Anoniem
Achja een europa heet dat toch.
niks krijgen ze daar voor elkaar, ze verdienen knaken in brussel en dat is genoeg.
Ohhh pietje ik heb geen zin vandaag, teken jij ff voor mij dan strijk ik toch geld op.
Ja tuurlijk jantje, wij in brussel besodemieteren de zaak wel, en dat over de rug van gewone mensen.
Dus maak je geen illusie,die natnekken in brussel doen echt niets om een beter update beleid te maken cq verplichten.
Nee kom op zeg ze krijgen allemaal hun foontje gratis van de fabrikanten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.