image

Androidtelefoons door kritiek beveiligingslek op afstand over te nemen

dinsdag 7 juni 2022, 12:29 door Redactie, 22 reacties

Tijdens de maandelijkse patchcyclus voor Android heeft Google meerdere kritieke kwetsbaarheden verholpen waardoor het mogelijk is om Androidtelefoons op afstand over te nemen. De beveiligingslekken, aangeduid als CVE-2022-20130 en CVE-2022-20127 bevinden zich in het Android framework en system en laten een aanvaller op afstand code op telefoons uitvoeren zonder dat hier verdere uitvoerrechten voor zijn vereist.

Verdere details over beide beveiligingslekken, zoals hoe er misbruik van kan worden gemaakt, zijn niet door Google gegeven. In totaal heeft Google deze maand voor 41 kwetsbaarheden in Android updates uitgerold. Daarnaast is het bedrijf met updates voor de eigen Pixel-telefoons gekomen. In de modemsoftware van deze toestellen bevinden zich vier kritieke kwetsbaarheden die remote code execution mogelijk maken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juni-updates ontvangen zullen '2022-06-01' of '2022-06-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juni aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (22)
07-06-2022, 12:34 door Anoniem
Elke week.
07-06-2022, 12:50 door Anoniem
Dat we met zijn allen nog Android-en Apple telefoons willen blijven gebruiken.
Het is toch eigenlijk bedroevend en bedreigend al die lekken?
Je zult toch eem phone hebben die toevallig niet meer wordt geupdated?
Kun je toch allemaal niet meer bijhouden.
Regeringen doe iets,meer dan nu gebeurt.
07-06-2022, 13:12 door Anoniem
Door Anoniem: Dat we met zijn allen nog Android-en Apple telefoons willen blijven gebruiken.
Het is toch eigenlijk bedroevend en bedreigend al die lekken?
Je zult toch eem phone hebben die toevallig niet meer wordt geupdated?
Kun je toch allemaal niet meer bijhouden.
Regeringen doe iets,meer dan nu gebeurt.

Welk OS stel jij dan voor?

Ikzelf gebruik LineageOS, hetgeen Android is, en dus ook gepatched zal worden.
07-06-2022, 13:51 door Anoniem
Nou heb ik een Android van 2 jaar geleden, maar updates krijg ik niet meer.
Ik ga over op een iPhone. Die wordt gewoon veel langer ondersteund.
07-06-2022, 13:56 door Anoniem
Je zult maar een Smartphone hebben van een kleine speler.... die updaten dan niet meer.
Zoals mijn Samsung A6+ uit 2018...
07-06-2022, 14:07 door Anoniem
De NSO weet er wel raad mee.
07-06-2022, 14:26 door Anoniem
Door Anoniem:
Regeringen doe iets,meer dan nu gebeurt.
Ik vermoed dat de regeringen het wel goed vinden zo. Nu is er altijd wel een zeroday beschibaar zodat ze met pegasus of iets anders elke telefoon kunnen overnemen,,,
07-06-2022, 14:33 door Anoniem
Door Anoniem:
Welk OS stel jij dan voor?

Ikzelf gebruik LineageOS, hetgeen Android is, en dus ook gepatched zal worden.
Nadeel is wel dat LineageOS altijd een aantal weken achterloopt. Pas als de source van de fix beschikbaar is kan LineageOS ermee aan de slag. En verder weten we niet hoeveel zero days er nog in android verstopt zitten. Gezien het feit dat er maandelijks wel een aantal gepatcht worden ben ik bang dat het er nog wel honderden zijn.
07-06-2022, 14:40 door Anoniem
Door Anoniem: Je zult maar een Smartphone hebben van een kleine speler.... die updaten dan niet meer.
Zoals mijn Samsung A6+ uit 2018...

Ja, Samsung is echt een kleine speler in deze industrie ?
Updates van Samsung: <https://security.samsungmobile.com/workScope.smsb>. Ik zie de A6+ daar tussen staan bij de halfjaarlijkse updates.

Die andere kleine leverancier ondersteund ook maar 4 releases <https://support.apple.com/en-gb/guide/iphone/iphe3fa5df43/ios>,

Maar gelukkig kun je, als je wilt, je Android telefoon's bootload vrijgeven en dan er zelf een volledig up to date versie van Android op zetten <https://forum.xda-developers.com/t/rom-unofficial-lineageos-16-0-galaxy-a6-plus-arm-arm64.4019619/>. Helaas niet de officiele, maar er *is* tenminste keuze.
07-06-2022, 15:18 door Hyper
Mijn Sony Xperia XZ1 Mini krijgt sinds 1 september 2019 geen updates meer, dus deze verwacht ik ook niet.
Ik vind het jammer dat ik de updates niet direct van Google kan laten installeren net zoals Microsoft dit doet met Windows Update.
07-06-2022, 16:27 door Anoniem
Smart product? Domme consument.
07-06-2022, 18:44 door Anoniem
Iemand ervaring met een Fairphone?
Hoe is het met updates geregeld voor deze smartphone?
Graag info. Vast dank voor de moeite!
07-06-2022, 19:24 door Anoniem
Als je handig bent met het rooten van telefoons,kan je langer ergens updates op zetten.
Net als dat je op een computer die wat ouder is bijvoorbeeld Linux kan gebruiken om hem sneller te houden.
07-06-2022, 21:57 door Anoniem
Door Hyper: Mijn Sony Xperia XZ1 Mini krijgt sinds 1 september 2019 geen updates meer, dus deze verwacht ik ook niet.
Ik vind het jammer dat ik de updates niet direct van Google kan laten installeren net zoals Microsoft dit doet met Windows Update.
Het gaat over het Android framework. Microsoft update werkt niet.
08-06-2022, 08:54 door Anoniem
Door Anoniem: Iemand ervaring met een Fairphone?
Hoe is het met updates geregeld voor deze smartphone?
Graag info. Vast dank voor de moeite!
Dan moet je even zoeken op hun website naar 'software'.
Maart dit jaar heeft de Fairphone 2 Android 10 gekregen. Geen idee wanneer deze telefoon op de markt is gekomen, maar een review stamt uit 2015. Verder zag ik een oude blog van hun dat ze proberen om zo lang mogelijk de telefoons te updaten.

Er wordt niet specifiek gerept over security updates, maar dat zal vast wel meegenomen worden.

Ik vind ze prijzig, maar je krijgt volgens mij wel wat voor terug.

Heb ongeveer 2 jaar geleden een refurbished Samsung S9 voor heel weinig gekocht, goede hardware, helaas qua updates is het al afgelopen. Had gehoopt dat Samsung nog even security updates gingen uitdelen, maar is dus niet zo.
08-06-2022, 09:32 door Anoniem
Daar ben ik dan met mijn OP6T die geen security updates meer ontvangt. De EU moet de wet en regelgeving aanpassen die ervoor zorgt dat fabrikanten verplicht zijn om security updates blijven uitrollen voor alle apparaten die met het internet verbonden zijn. Dit moet echt eens een keer veranderen.
08-06-2022, 10:19 door Anoniem
Door Anoniem: Daar ben ik dan met mijn OP6T die geen security updates meer ontvangt. De EU moet de wet en regelgeving aanpassen die ervoor zorgt dat fabrikanten verplicht zijn om security updates blijven uitrollen voor alle apparaten die met het internet verbonden zijn. Dit moet echt eens een keer veranderen.

Dus mijn oude telefoon uit 2005 die ook met het internet kan verbinden moet ook nog updates krijgen? Je moet toch ergens een grens trekken, en ik vind een jaartje of 4-5 meer dan genoeg. Dan nog kun je ook last hebben van hardware lekken wat niet zo valt op te lossen met een simpele update.
08-06-2022, 11:25 door Anoniem
Door Anoniem: Iemand ervaring met een Fairphone?
Hoe is het met updates geregeld voor deze smartphone?

Dat is heel goed geregeld.

Mijn "oude" Fairphone 2, die als werktelefoon dient, draait momenteel Android 10. Het actuele niveau van de Android beveiligingspatch daarvan is van 5 april 2022 (dus heel recent). Sinds ik hem begin 2018 nieuw kocht, toen nog met Android 7, is Android bijna ieder kwartaal geheel bijgewerkt. Eén keer heb ik een defect LCD scherm zelf vervangen.

Zoek op "Release Notes" en je vindt de actuele gegevens over het Android security patch level van de Fairphones:

https://support.fairphone.com
08-06-2022, 12:09 door Anoniem
Door Anoniem: ... dit jaar heeft de Fairphone 2 Android 10 gekregen. Geen idee wanneer deze telefoon op de markt is gekomen, maar een review stamt uit 2015.

De Fairphone 2 kwam in december 2015 op de markt, toen met Google Android 5.1. Tegenwoordig draait dezelfde FF2 hardware zonder problemen Android 10. De vervangende of reparatie FF2 onderdelen zijn ook nog steeds te koop.

Door Anoniem: Er wordt niet specifiek gerept over security updates, maar dat zal vast wel meegenomen worden.

FF2 Fairphone OS 22.04.0-rel.1
Android 10 - May 17 2022
2022-04-05 security patch level

https://support.fairphone.com/hc/en-us/articles/360019515018


In plaats van Google Android kan met als alternatief ook Ubuntu Touch, LineageOS of /e/OS op een Fairphone zetten.
08-06-2022, 19:16 door Anoniem
Beste mensen,
Hartelijk dank voor jullie reacties m.b.t. mijn vragen over de Fairphone. Ik ga met jullie input aan de slag!
09-06-2022, 09:31 door Anoniem
Ik had tot vorig jaar een android.
Op een gegeven moment, ik deed er niets mee, hij zat gewoon in mijn broekzak, startte hij vanzelf opnieuw op.
Daarna gebeurde er vreemde dingen op mijn “smartphone”.
Ben maar op iPhone overgestapt.
Ook niet 100% safe maar het voelt wel beter.
10-06-2022, 19:07 door Anoniem
Door Anoniem:
Door Anoniem: Daar ben ik dan met mijn OP6T die geen security updates meer ontvangt. De EU moet de wet en regelgeving aanpassen die ervoor zorgt dat fabrikanten verplicht zijn om security updates blijven uitrollen voor alle apparaten die met het internet verbonden zijn. Dit moet echt eens een keer veranderen.

Dus mijn oude telefoon uit 2005 die ook met het internet kan verbinden moet ook nog updates krijgen? Je moet toch ergens een grens trekken, en ik vind een jaartje of 4-5 meer dan genoeg. Dan nog kun je ook last hebben van hardware lekken wat niet zo valt op te lossen met een simpele update.

Hoezo 4-5 jaar, als je het 10 jaar maakt, is dat de helft minder afval. We moeten eens af van die bedrijven die continu forceren opnieuw rommel te kopen.
tav. open hardware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.