image

Informatie op Androidtelefoons via kritieke kwetsbaarheid op afstand te stelen

woensdag 8 december 2021, 09:33 door Redactie, 19 reacties
Laatst bijgewerkt: 08-12-2021, 11:41

Een kritieke kwetsbaarheid maakt het mogelijk voor aanvallers om op afstand informatie van Androidtelefoons te stelen. Google heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Het komt zelden voor dat kwetsbaarheden die alleen het stelen van informatie mogelijk maken als kritiek worden bestempeld.

Tijdens de laatste patchronde van dit jaar verhielp Google in totaal 49 beveiligingslekken in Android. De gevaarlijkste kwetsbaarheid bevindt zich in het Media Framework van Android en maakt "remote information disclosure" mogelijk, zonder dat een aanvaller aanvullende permissies nodig heeft. Verder is er een kwetsbaarheid in Android System verholpen waardoor een aanvaller code op Androidtelefoons kan uitvoeren.

Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek en Qualcomm. Eén van de kwetsbaarheden in de software van Qualcomm zorgt voor een klassieke buffer overflow bij het afspelen van audiobestanden. Dit beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 met een 9,8 is beoordeeld, is op afstand door aanvallers te misbruiken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2021-12-01' of '2021-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 9, 10, 11 en 12.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (19)
08-12-2021, 09:46 door Anoniem
Heet die 'kritieke kwetsbaarheid' niet gewoon 'google'?
08-12-2021, 10:29 door Anoniem
Door Anoniem: Heet die 'kritieke kwetsbaarheid' niet gewoon 'google'?

En Microsoft, Apple, Facebook, overheden, etc, etc ,etc

Het is ondertussen een lang lijstje van alle organisaties die je in de gaten kunnen houden of data van je verzamelen.

En organisaties als banken willen dan vervolgens "veilig" hun apps op dat soort kwetsbare platformen draaien.
08-12-2021, 10:41 door Anoniem
Mijn A71 wordt door Samsng sinds 01-08 met de nek aangekeken.
De behoefte om een iode of e-phone te kopen wordt steeds groter.
08-12-2021, 10:43 door Anoniem
13 jaar Android. En nog steeds maandelijks kritieke kwetsbaarheden. Ergens is iets grondig misgegaan...
08-12-2021, 11:28 door Anoniem
Tot zover de eventuele 2fa die op brede schaal op afstand omzeild kan zijn.
08-12-2021, 11:54 door Anoniem
Zou er nergens een lampje aan gaan (een anologe) dat digitalisatie geen doel is?

Maar goed niet iedereen heeft AMBI I1 gedaan lol.
08-12-2021, 13:19 door Anoniem
Door Anoniem:
Door Anoniem: Heet die 'kritieke kwetsbaarheid' niet gewoon 'google'?

En Microsoft, Apple, Facebook, overheden, etc, etc ,etc

Het is ondertussen een lang lijstje van alle organisaties die je in de gaten kunnen houden of data van je verzamelen.

En organisaties als banken willen dan vervolgens "veilig" hun apps op dat soort kwetsbare platformen draaien.

De security op smart phones is vele malen beter dan de meeste andere apparaten door middel van sandboxing etc.
08-12-2021, 13:33 door Anoniem
Nee, deze ga ik niet meer binnen krijgen.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.
08-12-2021, 14:51 door Anoniem
Door Anoniem: Nee, deze ga ik niet meer binnen krijgen.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.

En het was nog een ontzettend goedkoop model ook van 99 euro nieuw.
Een Moto E6 Play met Android 9.
08-12-2021, 15:11 door Anoniem
Door Anoniem: 13 jaar Android. En nog steeds maandelijks kritieke kwetsbaarheden. Ergens is iets grondig misgegaan...

Ja, dat Google de uitrol van security patches overgelaten heeft aan de leveranciers en telco's, die er soms ook nog eerst even hun sausje overheen willen gieten.
08-12-2021, 15:36 door Anoniem
Door Anoniem:
Door Anoniem: Nee, deze ga ik niet meer binnen krijgen.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.

En het was nog een ontzettend goedkoop model ook van 99 euro nieuw.
Een Moto E6 Play met Android 9.

Weet je dat heel zeker?

Ik heb zelf recent de Motorola e6i aangeschaft, geüpdatet naar Android 10 en laatste Android/beveiligingspatch op 5 oktober.

Dit toestel is nog niet EOL hoop ik.
08-12-2021, 16:41 door Anoniem
@ Vandaag, 15:36 door Anoniem,

Ik heb het nog even na gekeken, 6 november. De laatste beveiliging update.
Raar dat dat bij andere modellen anders verloopt.
Je zou toch verwachten dat ze dan dat voor ieder model gelijk updaten.

En wat is EOL?
08-12-2021, 16:53 door Anoniem
@ Vandaag, 15:36 door Anoniem,

Dat model van jou is ook onder de 100 euro zie ik. Maar wel een verouderd model.
Android 12 hebben we inmiddels.
https://www.bol.com/nl/nl/p/motorola-moto-e6i-32gb-grijs/9300000032306660/?bltgh=lt4aAd5jvaqoO4SCuOlEjA.2_13.14.ProductTitle

Dus daar kan het verschil niet in zitten.
Mijn volgende telefoon is weer een Motorola, Als ik er 1 aanschaf.
08-12-2021, 17:30 door Anoniem
Door Anoniem: @ Vandaag, 15:36 door Anoniem,
En wat is EOL?
End Of Life
08-12-2021, 17:57 door Anoniem
Door Anoniem: En wat is EOL?

End Of (commercial) Life
08-12-2021, 19:57 door Anoniem
het valt mij op dat de android tv versies nooit gepatcht worden.
08-12-2021, 20:29 door Anoniem
Door Anoniem: het valt mij op dat de android tv versies nooit gepatcht worden.

Daarom zal ik nooit van mijn leven ook nooit zo'n internet tv aanschaffen.
Het was eerder bekend dat daar vrijwel niets meer aan updates kreeg.
Daar zijn een hoop mensen in gestonken in dat verkoop praatje.
Ik prik er dan wel zo'n google chrome cast kastje in of sluit een pc op mijn tv aan via HDMI.
08-12-2021, 20:37 door Anoniem
Ja toch wel,met firmwareupdates ik zag uiteindelijk dat mijn tv android met de patch van november was bijgewerkt van dit jaar dus vrij recent.
08-12-2021, 23:52 door Anoniem
Door Anoniem: het valt mij op dat de android tv versies nooit gepatcht worden.
Heb je een of andere rip-off TV dan ofzo? Mijn TV krijgt om de paar maanden en Android update.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.