image

Androidtoestellen kwetsbaar voor permanente dos-aanval

dinsdag 5 januari 2021, 14:27 door Redactie, 13 reacties

Androidtoestellen bevatten een kwetsbaarheid waardoor een aanvaller een permanente denial of service kan veroorzaken, zodat het toestel niet te gebruiken is. Ook is het mogelijk voor aanvallers om Androidtelefoons en -tablets op afstand over te nemen. Google heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen.

Met de eerste patchronde van 2021 verhelpt Google in totaal 43 beveiligingslekken in Android. Twee beveiligingslekken in Android zelf zijn door Google als kritiek bestempeld. Het gaat om een kwetsbaarheid in het Android Framework waardoor een aanvaller via een "speciaal geprepareerde transmissie" willekeurige code in de context van een geprivilegieerd proces uit te voeren. Zo kan een aanvaller het toestel overnemen.

Verdere details over dit beveiligingslek, aangeduid als CVE-2021-0316, worden niet gegeven. De omschrijving die Google heeft is in het verleden ook gebruikt voor kwetsbaarheden in onder andere bluetooth. Verder is een kwetsbaarheid in het Android Framework als kritiek aangemerkt. Het gaat om CVE-2021-0313 die een permanente dos-aanval mogelijk maakt.

Google verhelpt met de maandelijkse beveiligingsupdates niet alleen kwetsbaarheden in de eigen Androidcode, maar ook in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het onder andere om twee kritieke kwetsbaarheden in de software van chipgigant Qualcomm. Specifiek in de wifi-firmware en code die video's verwerkt. Door de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren. Beide kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld.

Verder valt op dat Google met de eerste patchronde van 2021 een beveiligingslek in Android heeft verholpen dat al in 2016 aan Red Hat was gerapporteerd. Volgens Google maakt CVE-2016-6328 het mogelijk voor een aanvaller om door middel van een speciaal geprepareerd bestand willekeurige code in de context van een geprivilegieerd proces uit te voeren.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2021-01-01' of '2021-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (13)
05-01-2021, 16:02 door Anoniem
Weet er hier iemand hoe je Linux op je Android toestel kan zetten?
Of waar je deze info kan vinden.
Zijn er misschien bedrijven die dit voor je kunnen oplossen tegen een redelijke vergoeding.
Of is dit eventueel zelf te doen. Als het niet al te moeilijk is.
Ik ben daar niet zo heel erg handig in maar kan het altijd uitproberen op oudere toestellen.
05-01-2021, 16:54 door Anoniem
https://e.foundation/

En voor de rest zelf even duckduckgo'en.
05-01-2021, 17:04 door Anoniem
Android 7 is van 22 aug 2016 Android 8 is van maart 2017.

Android 7 wordt al niet meer gepatched dus een OS van nog geen 4 jaar oud wordt al niet meer onderhouden door Google.
Dus een toestel van 800 euro heeft bij Samsung een levensduur van nog geen 4 jaar.
05-01-2021, 17:56 door spatieman
nu afwachten wanneer andere droid bakkers de boel doenj updaten, oh wacht, koop maar een nieuw toestel, dat gaan we patchen
05-01-2021, 18:39 door Anoniem
Door spatieman: nu afwachten wanneer andere droid bakkers de boel doenj updaten, oh wacht, koop maar een nieuw toestel, dat gaan we patchen
Ik heb het je al eens eerder gezegd: koop dan een toestel waar wel updates binnenkomen.

Is dat soms zo lastig?
05-01-2021, 19:21 door Anoniem
Door Anoniem:
Door spatieman: nu afwachten wanneer andere droid bakkers de boel doenj updaten, oh wacht, koop maar een nieuw toestel, dat gaan we patchen
Ik heb het je al eens eerder gezegd: koop dan een toestel waar wel updates binnenkomen.

Is dat soms zo lastig?

Gezien de reactie van @17:04 kom je dan bij Apple uit.
05-01-2021, 19:35 door Anoniem
Smart producent, domme consument.
05-01-2021, 20:50 door Briolet
Door Anoniem: Android 7 wordt al niet meer gepatched dus een OS van nog geen 4 jaar oud wordt al niet meer onderhouden door Google. Dus een toestel van 800 euro heeft bij Samsung een levensduur van nog geen 4 jaar.

Dat verbaasde mij ook. Voor mijn gevoel is mijn toestel met Android 7 nog vrij nieuw. De hardware van mijn S6 voldoet aan alle kanten nog aan de eisen die ik aan mijn telefoon stel. Ik heb nog niet bewust gemerkt dat de accu slechter wordt. (Ik heb een toestel waarvan je de accu alleen kunt omwisselen als je eerst het display verwijderd, zodat je hem zult moeten opsturen).

De volgende zal toch van Apple zijn. Die lijkt duurder bij de aanschaf, maar is per jaar gebruik uiteindelijk goedkoper door de langere ondersteuning.
05-01-2021, 21:59 door Anoniem
e.foundation is geen puur Linux maar een ont-Googelde Android versie. Er bestaan wel Linux versies voor Android telefoons maar de bruikbaarheid daarvan is nog niet altijd optimaal. Toevallig pas eens even in verdiept.
Soms werken bepaalde zaken nog niet goed zoals de camera bijvoorbeeld. Voorbeelden van Linux voor de telefoon zijn Ubuntu Touch en Sailfish OS. En het is meestal niet op alle toestellen zomaar te installeren. Als je een beetje gangbaar toestel hebt dan kan je misschien beter eens zoeken naar een LineageOS rom of een AOSP rom. Dit zijn alternatieve Android versies, meestal ontdaan van alle overbodige rommel. Wil je een echte Linux versie draaien dan heb je met de LG Nexus 5, de Pine Phone of de Librem 5 de beste kans.
06-01-2021, 07:54 door spatieman
Door Anoniem:
Door Anoniem:
Door spatieman: nu afwachten wanneer andere droid bakkers de boel doenj updaten, oh wacht, koop maar een nieuw toestel, dat gaan we patchen
Ik heb het je al eens eerder gezegd: koop dan een toestel waar wel updates binnenkomen.

Is dat soms zo lastig?

Gezien de reactie van @17:04 kom je dan bij Apple uit.

apple lacht zich kapot dan, mja, niet erg, een up2date droid ding kost al bijna netzoveel als een iphone.
06-01-2021, 10:16 door Anoniem
Ik kocht een Samsung S8 met twee jaar updates, na 1 jaar en 10 maanden stopten ze ermee. Met een beetje mazzel worden het kwartaal updates. Dus idd Apple............
06-01-2021, 18:30 door Anoniem
Door spatieman:
Door Anoniem:
Door Anoniem:
Door spatieman: nu afwachten wanneer andere droid bakkers de boel doenj updaten, oh wacht, koop maar een nieuw toestel, dat gaan we patchen
Ik heb het je al eens eerder gezegd: koop dan een toestel waar wel updates binnenkomen.

Is dat soms zo lastig?

Gezien de reactie van @17:04 kom je dan bij Apple uit.

apple lacht zich kapot dan, mja, niet erg, een up2date droid ding kost al bijna netzoveel als een iphone.

Een up2data droid ding zoals Apple deze support is niet te koop.
Mijn 5S kreeg onlangs nog gewoon een update (niet verwarren met een upgrade), toestel is uitgekomen in September 2013.

Even in herinnering;
2013 is het jaar dat Nelson Mandela overleed, de aanslag op de Boston marathon plaats vond en Koningin Beatrix aftrad.
06-01-2021, 20:12 door Anoniem
Door Anoniem: e.foundation is geen puur Linux maar een ont-Googelde Android versie. Er bestaan wel Linux versies voor Android telefoons maar de bruikbaarheid daarvan is nog niet altijd optimaal. Toevallig pas eens even in verdiept.
Soms werken bepaalde zaken nog niet goed zoals de camera bijvoorbeeld. Voorbeelden van Linux voor de telefoon zijn Ubuntu Touch en Sailfish OS. En het is meestal niet op alle toestellen zomaar te installeren. Als je een beetje gangbaar toestel hebt dan kan je misschien beter eens zoeken naar een LineageOS rom of een AOSP rom. Dit zijn alternatieve Android versies, meestal ontdaan van alle overbodige rommel. Wil je een echte Linux versie draaien dan heb je met de LG Nexus 5, de Pine Phone of de Librem 5 de beste kans.

Android is een verGoogelde Linux versie dus wat hou je over als je daar Google weer uithaalt? ;-)

Maar ik snap je opmerking en ben het met je eens dat echte Linux telefoons nog niet hard van de grond komen. Er zijn wat initiatieven maar ook wat mislukkingen te noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.