image

Kritiek beveiligingslek in Android kan smartphones onbruikbaar maken

woensdag 8 september 2021, 16:22 door Redactie, 17 reacties

Google heeft tijdens de patchcyclus van september een groot aantal kwetsbaarheden in Android verholpen, waaronder een kritiek beveiligingslek dat smartphones onbruikbaar kan maken. Deze kwetsbaarheid maakt volgens Google een "permanente denial of service" mogelijk.

In totaal zijn er met de september-updates veertig beveiligingslekken in het besturingssysteem verholpen. Via de lekken kan onder andere een kwaadaardige app zonder interactie van gebruikers aanvullende permissies krijgen en afgeschermde data van andere applicaties benaderen.

De gevaarlijkste kwetsbaarheid in de Androidcode is volgens Google CVE-2021-0687. Dit lek is aanwezig in het Android Framework en zorgt ervoor dat een aanvaller op afstand door middel van een speciaal geprepareerd bestand een permanente denial of service kan veroorzaken. Verdere details zijn niet door Google gegeven.

Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek, Unisoc en Qualcomm.

Zes van de kwetsbaarheden in software van Qualcomm zijn als kritiek aangemerkt. Vier daarvan zijn alleen lokaal door een malafide app op het toestel te misbruiken, maar twee kunnen op afstand worden misbruikt. Het gaat om CVE-2021-1933 en CVE-2021-1946 die aanwezig zijn in de software voor de datamodem en een aanvaller in het ergste geval willekeurige code laten uitvoeren. De impact van deze lekken is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2021-09-01' of '2021-09-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (17)
08-09-2021, 19:58 door Anoniem
Linux gebaseerd, kan niet anders fan fout gaan. Een spaghetti aan code.
08-09-2021, 22:29 door [Account Verwijderd]
Als het de smartphones zijn van 'verkeersdeelnemers' die sch**t hebben aan de wegenverkeers wetgeving waar het gebruik van smartphones in het verkeer ter sprake komt heb ik daar ab-so-luut geen bezwaar tegen. Integendeel: dan juich ik het zelfs toe.

Lange leve de ongepatchte Androïd die zoveel mogelijk smartphones van dat volk (m/v) naar de Filistijnen jaagt.
Hoe destructiever.... hoe liever.


Is bekend of de rook eruit slaat? Dan geniet ik 100%. Puur leedvermaak... Verrukkelijk!

P.s
Ik kan niet wachten op Malware die hetzelfde flikt bij Apple telefoons!
09-09-2021, 01:14 door Anoniem
Door Anoniem: Linux gebaseerd, kan niet anders fan fout gaan. Een spaghetti aan code.
Als je niet weet waar je het over hebt, zeg dan liever niks.
Linux is geen spaghetti aan code, maar een verzameling van diverse packages die veelal door anderen onderhouden worden..
En dan kan er wel eens een bugje in sluipen.
09-09-2021, 08:11 door Anoniem
"Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit."


Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.

Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...

Maar op dit moment is dit "patch probleem" bij Android erger dan bij Microsoft Windows, waarbij Microsoft zelf voor het OS de updates verzorgt ongeacht welke hardware het geinstalleerd is, dus niet hardware leverancier afhankelijk.


Weet iemand hoe dit zit bij ChromeOS op ChromeBooks? Is het daar wel beter geregeld?
09-09-2021, 08:25 door [Account Verwijderd] - Bijgewerkt: 09-09-2021, 08:48
Door Anoniem: Linux gebaseerd, kan niet anders fan fout gaan. Een spaghetti aan code.

Je kan wel zoiets roepen (barstend van de taalfouten...), maar je demonstreert, net zoals een coronawappie, alleen maar je onbegrip met lekenpraat. Want Linux (en Android) is juist een voorbeeld van non-spaghetticode:

- de GUI code is netjes gescheiden van de rest in een GUI-laag;
- het hele besturingssysteem is netjes gelaagd opgezet (haar geslaagde architectuur is als de schillen van een ui [1], het is gewoon prachtig);
- Android is een laag bovenop Linux, die zelfs is geschreven in een andere programmeertaal! (Java);
- de verschillende onderdelen van de systeem- en applicatiesoftware zijn netjes gescheiden in pakketten, die je naar believen wel of niet installeert (je bepaalt zelf wat je systeem nodig heeft en wat niet; een server bv., is geen desktop en heeft geen GUI of printer software nodig, dus waarom zou je het aanvalsoppervlak onnodig vergroten met dergelijke functionaliteit).

[1] https://samuelarogbonlo.medium.com/onion-leaves-understanding-linux-22ab2a3e77ed

Door MacDylan: Als het de smartphones zijn van 'verkeersdeelnemers' die sch**t hebben aan de wegenverkeers wetgeving waar het gebruik van smartphones in het verkeer ter sprake komt heb ik daar ab-so-luut geen bezwaar tegen. Integendeel: dan juich ik het zelfs toe.

Lange leve de ongepatchte Androïd die zoveel mogelijk smartphones van dat volk (m/v) naar de Filistijnen jaagt.
Hoe destructiever.... hoe liever.

Apple fan? Maarre: Android (en) of Androïde (nl) --know thy enemy [2].

[2] https://www.goodreads.com/author/quotes/1771.Sun_Tzu#:~:text=%E2%80%9CIf%20you%20know%20the%20enemy,will%20succumb%20in%20every%20battle.%E2%80%9D

Door MacDylan: P.s
Ik kan niet wachten op Malware die hetzelfde flikt bij Apple telefoons!

Ho, wacht even, smartphone hater? [Update] Oh nee, ik zie het al, telefoon-in-het-verkeer hatert.
09-09-2021, 08:53 door Anoniem
Door Anoniem: Linux gebaseerd, kan niet anders fan fout gaan. Een spaghetti aan code.
Zou je dit kunnen staven met bronnen en voorbeelden? Klinkt zo als ouderwetsch roeptoeteren vanaf een zeepdoos.
09-09-2021, 09:06 door Anoniem
Wederom dezelfde standaard pro vs con gasten hier. Maar niemand die ingaat op het probleem dat er is. Het probleem is dat er een serieuze bug is in Android. Een serieuze!
09-09-2021, 09:46 door [Account Verwijderd] - Bijgewerkt: 09-09-2021, 10:11
Door Anoniem: Wederom dezelfde standaard pro vs con gasten hier.

Dat is hiermee begonnen (een gefrustreerde windowswappie):
Door Anoniem: Linux gebaseerd, kan niet anders fan fout gaan. Een spaghetti aan code.

On topic:
Door Anoniem: Maar niemand die ingaat op het probleem dat er is. Het probleem is dat er een serieuze bug is in Android. Een serieuze!

Zo klinkt het wel maar er geldt nog steeds:

THREAT INTELLIGENCE:

There are currently no reports of these vulnerabilities being exploited in the wild.

Successful exploitation of the most severe of these vulnerabilities could allow for remote code execution within the context of a privileged process. Depending on the privileges associated with this application, an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. If this application has been configured to have fewer user rights on the system, exploitation of the most severe of these vulnerabilities could have less impact than if it was configured with administrative rights.

(Blijkbaar is het zelfs met deze kwetsbaarheden ontzettend moeilijk om een robuust systeem als Android daardwerkelijk het vuur aan de schenen te leggen).

en:

Actions:
- After appropriate testing, immediately apply updates by Google Android or mobile carriers to vulnerable systems.
- Remind users to only download applications from trusted vendors in the Play Store.
- Remind users not to visit un-trusted websites or follow links provided by unknown or un-trusted sources.
- Inform and educate users regarding threats posed by hypertext links contained in emails or attachments, especially from un-trusted sources.

https://its.ny.gov/security-advisory/multiple-vulnerabilities-276

Dus het zal mij benieuwen.
09-09-2021, 10:40 door Anoniem
Door Anoniem:
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.

Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...

Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.

Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
09-09-2021, 10:43 door Anoniem
Door Toje Fos:
Actions:
- Remind users not to visit un-trusted websites or follow links provided by unknown or un-trusted sources.
- Inform and educate users regarding threats posed by hypertext links contained in emails or attachments, especially from un-trusted sources.
Dit staat er natuurlijk alleen voor de vorm bij, in werkelijkheid heb je echt HELEMAAL NIETS aan zo'n advies.
Hoe kan een eindgebruiker nou weten of een website of link "trusted" is....
(trusted in de zin dat die de gebruiker niet zal gaan voorzien van malware)
09-09-2021, 13:04 door Anoniem
Het bizare is dat mijn samsung TV uit 2016 nog steeds smarthub updates krijgt, terwijl samsung volkomen faalt met zijn mobieltjes en tablets
09-09-2021, 13:26 door walmare
Door Anoniem:
Door Anoniem:
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.

Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...

Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.

Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
Windows is gesloten software en een monocultuur. Vandaar. Microsoft staat ook geen leverancier mirror toe. CI/CD is welhaast onmogelijk vandaar al die vele patches op patches en dat komt niet alleen door de spaghetti code.
09-09-2021, 13:37 door Anoniem
Door walmare:
Door Anoniem:
Door Anoniem:
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.

Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...

Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.

Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
Windows is gesloten software en een monocultuur. Vandaar. Microsoft staat ook geen leverancier mirror toe. CI/CD is welhaast onmogelijk vandaar al die vele patches op patches en dat komt niet alleen door de spaghetti code.
Ik weet dat jij bij het woord Microsoft meteen je standaard riedel gaat afdraaien, maar let nog even goed op: het
is in dit geval bij Microsoft VEEL BETER geregeld dan bij Google/Android. Die kunnen daar nog een voorbeeld
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.
10-09-2021, 08:55 door [Account Verwijderd] - Bijgewerkt: 10-09-2021, 08:59
Door Anoniem: ..: het
is in dit geval bij Microsoft VEEL BETER geregeld dan bij Google/Android. Die kunnen daar nog een voorbeeld
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.

Natuurlijk heeft Microsoft onder druk van haar klanten het beschikbaar maken van updates goed geregeld! Dat is ook wel nodig want hun spaghetticodebouwwerk stort bijna in elkaar en heeft belachelijk veel updates nodig om überhaupt in de lucht te kunnen blijven. En de ene update veroorzaakt de andere omdat aanpassingen in de software onverwachte problemen veroorzaken op andere plekken (kenmerk van spaghetticode). En helaas voor de gebruiker is het updatemechanisme op de computer brak, traag en is continu rebooten nodig (file locking issues).

Hoe anders is het bij Android telefoons, ondanks het soort kwetsbaarheden die het onderwerp van dit topic zijn. Wanneer is jouw Android telefoon voor het laatst gegijzeld of ken je iemand waarbij dit is gebeurd? Wanneer zijn de data van jouw telefoon gestolen? Wanneer had je voor het laatst een virus op je telefoon? Weet je überhaupt nog wanneer je jouw telefoon voor het laatst opnieuw hebt opgestart? De antwoorden op bovenstaande vragen geven het verschil aan tussen robuuste software, die weinig kwetsbaar is, zelfs als er onvermijdelijke fouten in zitten en een brak spaghetticodebouwwerk als Microsoft Windows.

Inderdaad, het heeft dus niets met populariteit te maken, zoals de Windows adepten graag mogen suggereren (of denk je dat er meer Windows dan Android wordt gebruikt?)
10-09-2021, 10:51 door Anoniem
Als er.elke drie jaar een nieuwe smartphone moet worden aangeschaft, ga je dit probleem niet snel oplossen.
Net als de laag op laag beveiliging, gaatjes stoppen in een lekke emmer. Of het werkt of werkt niet, zo zou het moeten zijn.
10-09-2021, 21:22 door Anoniem
Het probleem is dat je afhankelijk bent van de maker van je smartphone. Dat heeft Google al sedert versie 1.0 compleet verprutst!
14-09-2021, 13:49 door mrunix
het is in dit geval bij Microsoft VEEL BETER geregeld dan bij Google/Android. Die kunnen daar nog een voorbeeld
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.

VEEL BETER .... lmho...

dat mag ook wel, aangezien ze elke 10 dagen een anoniem , remote exploiteerbare kwetsbaarheid hebben....

Maar serieus nu even:

anno 2021 roepen dat microsoft het goed heeft geregeld,
terwijl ze nog steeds unsalted passwords en hashes hebben als onderbouwing van het lekkende schip ,....... ???
really ?? Serieus ??
en dan nog denken dat je serieus met security bezig bent ... ??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.