image

Androidtelefoons door kritieke kwetsbaarheid op afstand over te nemen

dinsdag 8 juni 2021, 17:39 door Redactie, 20 reacties

Een kritieke kwetsbaarheid in Android maakt het mogelijk voor aanvallers om toestellen op afstand over te nemen. Google heeft inmiddels een beveiligingsupdate uitgebracht om het probleem te verhelpen. Tijdens de patchcyclus van juni zijn er in totaal 41 beveiligingslekken in het besturingssysteem gepatcht.

Twee kwetsbaarheden in Android-system zijn door Google als kritiek aangemerkt. Het gaat om CVE-2021-0507 en CVE-2021-0516. Via CVE-2021-0516 kan een aanvaller of een malafide app zijn rechten op het toestel verhogen. Het gevaarlijkste beveiligingslek is echter CVE-2021-0507. Via een "speciale transmissie" kan een aanvaller willekeurige code in de context van een geprivilegieerd proces uitvoeren.

Behalve het label "remote code execution" geeft Google geen verdere details. In het verleden is de term "speciale transmissie" echter gebruikt bij bluetooth-kwetsbaarheden. Naast de kritieke kwetsbaarheden in Android zijn er ook drie kritieke lekken in de software van Qualcomm verholpen. Het gaat om een bluetooth-kwetsbaarheid en twee beveiligingslekken in de datamodem.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juni-updates ontvangen zullen '2021-07-01' of '2021-06-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juni aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (20)
08-06-2021, 18:04 door Anoniem
De bug heeft de naam 'Android'.
08-06-2021, 18:35 door Anoniem
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Google: Kijk niet naar ons, dit is een S.E.P. (somebody else's problem)

Conclusie: Android is "flawed by design". En daar zou Google wel op aangesproken moeten worden.
08-06-2021, 19:16 door Hyper
Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.
08-06-2021, 20:14 door Anoniem
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Je kunt ook overstappen naar een alternatief merk; bijvoorbeeld een 2e-hands iPhone voor 100 Euro.
08-06-2021, 21:07 door Anoniem
Er komt een moment dat deze luie opstelling Android niet ten goede komt.

En dan doen verschillende Android telefoon leveranciers huilie huilie.

En dat is een natuurwet. Het is allemaal te groot en deze beperkte ondersteuning van patches gaat op den duur tegen de zin van de massa werken en dan krabben ze zich op hun hoofd hoe dit had kunnen gebeuren.

Zo hebben we heel wat grote namen falliet zien gaan. Het is zo jammer dat ze het licht maar niet zien.
Counting down

It will happen.
08-06-2021, 22:27 door Anoniem
Door Anoniem:
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Google: Kijk niet naar ons, dit is een S.E.P. (somebody else's problem)

Conclusie: Android is "flawed by design". En daar zou Google wel op aangesproken moeten worden.
Mensen zouden massaal terug moeten gaan naar de verkoper met hun onveilig geworden Android-telefoon. Aangezien je recht hebt op een deugdelijk product. De verkoper moet dit probleem oplossen.
Tot die tijd gaat er niks veranderen, de consument is machtig heel machtig, alleen wordt dat vaak niet beseft.

Zelf schaf ik sowieso nooit meer iets aan met Android. iOS te duur en beperkt. Overige (nog) te lastig.
08-06-2021, 23:14 door [Account Verwijderd] - Bijgewerkt: 08-06-2021, 23:15
Snap maar niet dat argeloze miljoenen over de hele wereld hun hoofd maar in dat wespennest blijven steken genaamd: smartphone. Alleen de naam is al beledigend want het suggereert dat je dom mag blijven als gebruiker van dat ding. Het zal de fabrikanten Apple en Samsung worst zijn, zolang de dollars maar met scheepsladingen vol blijven binnenstromen.

De mens wil bedrogen worden. Octavianus buitte die wetenschap al 'tot de max uit'. (Rome's eerste keizer van 27 v.Chr.-14 n.Chr.)
09-06-2021, 08:23 door Anoniem
Door Anoniem:
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Je kunt ook overstappen naar een alternatief merk; bijvoorbeeld een 2e-hands iPhone voor 100 Euro.
Door Anoniem:
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Je kunt ook overstappen naar een alternatief merk; bijvoorbeeld een 2e-hands iPhone voor 100 Euro.

Mijn 5s kreeg afgelopen week nog een update.
09-06-2021, 08:40 door Anoniem
Ondertussen pushen banken en overheden ons om alles via de mobiel te moeten gaan doen. Als het onderliggend platform zo lek als een mandje is dan maakt het geen ene hol meer uit of de app erop wel veilig zou zijn. Als jouw telefoon is overgenomen dat boeit die app beveiliging ook niet meer.
Je gaat geen huis op drijfzand bouwen maar dat is wel hetgeen we met de mobiele platformen de afgelopen jaren gedaan hebben, en ook nog steeds doen.
09-06-2021, 09:49 door Anoniem
De reden waarom er goede concurrentie moet komen voor Android. Google kan zich bijna alles permitteren en merken ook zeker bij de goedkopere toestellen? Klanten kunnen nergens heen? Harmony als derde partij zou de boel op scherp kunnen zetten?
09-06-2021, 11:09 door [Account Verwijderd] - Bijgewerkt: 09-06-2021, 11:11
Het is toch compleet van de pot gerukt hoe de mensen besodemietert worden met Android toestellen.
Na 1,5 - 2 jaar wordt er verwacht dat je een goed werkend toestel vervangt voor een nieuwer model om een beetje veilig te kunnen blijven werken.
Voor mij ook geen nieuw toestel meer over een tijdje en blijf 'm dan wel voor wat basis dingetjes gebruiken.
Maar zeker niet voor allerlei app die ze ons willen opdringen.
Veilig bankieren is al een gok met zo'n toestel.
Ik heb het nou 1x geprobeerd met een Motorola van 100 euro.
Werkt hartstikke leuk allemaal maar gaat met een beetje mazzel nog een half jaar mee.
09-06-2021, 13:50 door Hyper
Door Anoniem:
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Je kunt ook overstappen naar een alternatief merk; bijvoorbeeld een 2e-hands iPhone voor 100 Euro.

Apple is te veel een 'walled garden' voor mijn smaak. Ik wil graag zelf mijn apps kunnen installeren (vanaf .apk files) en zelf mijn app winkel kunnen installeren.
09-06-2021, 13:53 door Hyper
Door Anoniem: Ondertussen pushen banken en overheden ons om alles via de mobiel te moeten gaan doen. Als het onderliggend platform zo lek als een mandje is dan maakt het geen ene hol meer uit of de app erop wel veilig zou zijn. Als jouw telefoon is overgenomen dat boeit die app beveiliging ook niet meer.
Je gaat geen huis op drijfzand bouwen maar dat is wel hetgeen we met de mobiele platformen de afgelopen jaren gedaan hebben, en ook nog steeds doen.

Financiële- en overheidsapps gebruik ik daarom alleen op mijn Windows apparaat. Je kunt kritiek genoeg hebben op de veiligheid van Windows maar MS heeft wel een betrouwbaar updatebeleid. En de bank kan niet zeggen dat ik mijn apparaat niet beveiligd had als ik Windows draai met updates, antivirus en firewall.
09-06-2021, 17:15 door Anoniem
Door Hyper:
Door Anoniem:
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Je kunt ook overstappen naar een alternatief merk; bijvoorbeeld een 2e-hands iPhone voor 100 Euro.

Apple is te veel een 'walled garden' voor mijn smaak. Ik wil graag zelf mijn apps kunnen installeren (vanaf .apk files) en zelf mijn app winkel kunnen installeren.

Koop een Pinephone.
09-06-2021, 20:07 door Anoniem
Gebruik al 6 jaar mijn android phone. En Ja.. Updates zijn er niet.
10-06-2021, 10:06 door Anoniem
Het mooie van Android is, dat je ook zelf je OS kunt installeren.
Bij PCs doen we toch ook niet anders?

Alleen zo jammer dat je dan volledig afhankelijk bent van de voorkeuren en tijd van een enkeling/klein team om jouw specifieke model up to date te houden. Het afdwingen dat na verlopen van de update-periode vanuit de leverancier de firmware en software vrij gegeven *moet* worden om zo gebruikers in staat te stellen het zelf te doen, zou daar zeker kunnen helpen.
10-06-2021, 12:02 door Anoniem
Door Anoniem: De bug heeft de naam 'Android'.

Goh, wat weer een goede inhoudelijk onderbouwde reactie.
11-06-2021, 09:05 door Anoniem
Door Hyper:
Door Anoniem: Ondertussen pushen banken en overheden ons om alles via de mobiel te moeten gaan doen. Als het onderliggend platform zo lek als een mandje is dan maakt het geen ene hol meer uit of de app erop wel veilig zou zijn. Als jouw telefoon is overgenomen dat boeit die app beveiliging ook niet meer.
Je gaat geen huis op drijfzand bouwen maar dat is wel hetgeen we met de mobiele platformen de afgelopen jaren gedaan hebben, en ook nog steeds doen.

Financiële- en overheidsapps gebruik ik daarom alleen op mijn Windows apparaat. Je kunt kritiek genoeg hebben op de veiligheid van Windows maar MS heeft wel een betrouwbaar updatebeleid. En de bank kan niet zeggen dat ik mijn apparaat niet beveiligd had als ik Windows draai met updates, antivirus en firewall.
Het gaat niet om het OS maar om de leverancier. Google patcht ook.
11-06-2021, 14:50 door Anoniem
Door Hyper: Sony vindt het al ruim een jaar niet nodig om mijn toestel van updates te voorzien en Google/Android zelf heeft ook geen updater voor mijn toestel en ik heb de vaardigheden niet om ze er op te krijgen.

Is ook ruk geregeld. Tijd voor de EU om met regelgeving te komen.
12-06-2021, 20:46 door Anoniem
Wie durft er hier bankieren met zijn smartphone? Ik vraag aan mijn bank om dat expliciet uit te schakelen - en dat kunnen ze gewoon niet. Ze weigeren wel om dat risico zelf te dragen - nu ze hebben pech. Want ik heb de verantwoordelijkheid als eerste bij hen gelegd! Idem dito mogen ze niks met mijn biometrie - ik heb hen dat gewoon expliciet in alle vormen van opslag, verwerking of verificatie gewoon botweg verboden. Het is van mij - dus ik beslis en ik ben altijd en overal de baas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.