Nieuws
image

Google verhelpt 54 kwetsbaarheden in Android met nieuwste update

woensdag 5 augustus 2020, 12:16 door Redactie, 3 reacties

Google heeft een nieuwe beveiligingsupdate voor Android uitgebracht waarmee 54 kwetsbaarheden in het besturingssysteem worden verholpen. 31 van de beveiligingslekken bevinden zich in onderdelen van chipfabrikant Qualcomm, terwijl er zeventien specifiek in Android zaten.

Een kwetsbaarheid in het Android Framework (CVE-2020-0240) is volgens Google het gevaarlijkst. Hierdoor kan een aanvaller via een speciaal geprepareerd bestand op afstand willekeurige code uitvoeren in de context van een geprivilegieerd proces. De overige Androidlekken maken het mogelijk voor malafide applicaties om zonder interactie van gebruikers aanvullende permissies te krijgen.

Bij de beoordeling van de impact van verholpen beveiligingslekken kijkt Google alleen naar de eigen Androidlekken. In het geval van kwetsbaarheden in de onderdelen van andere fabrikanten laat het de impactbeoordeling over aan de betreffende fabrikant. Dan blijkt dat Qualcomm verschillende beveiligingslekken als kritiek heeft beoordeeld. Die bevinden zich onder andere in de wifi-firmware.

Het gaat om CVE-2020-11116 en CVE-2020-3667. De eerste kwetsbaarheid zorgt voor een buffer overflow wanneer er een bepaalde response van de host wordt ontvangen. Het tweede lek leidt ook tot een buffer overflow, alleen dan bij het opzetten van een WPA-handshake. Wat verder opvalt aan de Qualcomm-fixes die Google in de nieuwste Android-update heeft doorgevoerd is dat het onder andere om kwetsbaarheden gaat die uit 2018 en 2019 stammen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2020-08-01' of '2020-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (3)
06-08-2020, 06:35 door Anoniem
Wel geinig maar ik wil de default apss verwijderen en dat kan niet.

Die updates zijn eigenlijk een wassen neus zijn omdat de default apps te veel rechten hebben die ik niet kan intrekken laat staan de default apps verwijderen.
06-08-2020, 09:56 door Anoniem
Door Anoniem: Wel geinig maar ik wil de default apss verwijderen en dat kan niet.

Die updates zijn eigenlijk een wassen neus zijn omdat de default apps te veel rechten hebben die ik niet kan intrekken laat staan de default apps verwijderen.

Als je de Google en fabrikant-specifieke apps weg wilt hebben, kan ik je LineageOS aanraden. Dat is een custom Android ROM gebaseerd op het Android Open Source Project zonder die apps en zonder het Google Services Framework (ofwel Google Play Services). Ook zeker aan te raden als je een oudere telefoon hebt die geen updates van de fabrikant meer krijgt, wellicht wordt hij dan nog ondersteund door LineageOS.
07-08-2020, 14:44 door linux4
Door Anoniem: Wel geinig maar ik wil de default apss verwijderen en dat kan niet.

Die updates zijn eigenlijk een wassen neus zijn omdat de default apps te veel rechten hebben die ik niet kan intrekken laat staan de default apps verwijderen.

Koop een Android One telefoon en je kunt de default apps wel weghalen. Ligt niet aan Google, wel aan b.v. Samsung...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search