image

Miljoenen Androidtelefoons kwetsbaar voor aanval via bluetooth

dinsdag 2 augustus 2022, 14:48 door Redactie, 20 reacties

Miljoenen Androidtelefoons zijn kwetsbaar voor een aanval via bluetooth waarbij een aanvaller het toestel op afstand kan overnemen. Volgens Google gaat het om een kritiek beveiligingslek. Het techbedrijf heeft beveiligingsupdates voor Android 12 en 12L uitgebracht om het probleem te verhelpen.

Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de patchronde van augustus zijn er in totaal 37 kwetsbaarheden in het platform verholpen. Eén van deze beveiligingslekken, in Android System, is aangemerkt als kritiek. Het gaat om een kwetsbaarheid aangeduid als CVE-2022-20345 die "remote code execution" via bluetooth mogelijk maakt, waarbij een aanvaller geen aanvullende uitvoerrechten nodig heeft.

Verdere details over de kwetsbaarheid, zoals hoe een aanvaller er precies misbruik van kan maken en in welke Androidversies het probleem aanwezig is, zijn niet door Google gegeven. Het lek is verholpen in Android 12 en 12L. De overige 36 kwetsbaarheden hebben een lagere impact en maken het mogelijk voor malafide apps en aanvallers met toegang tot het systeem om hun rechten te verhogen of op afstand informatie te stelen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2022-08-01' of '2022-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (20)
02-08-2022, 15:39 door Anoniem
Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
02-08-2022, 16:02 door spatieman
goh, niets nieuws onder de zon dus...
02-08-2022, 16:28 door Anoniem
Door Anoniem: Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Ja, bij mij ook. Ik denk dat we even een paar weken moeten wachten voor deze patch.
02-08-2022, 16:29 door Anoniem
Zelf heb ik een Samsung Galaxy A22 5G. Dus voorlopig even Bluetooth niet gebruiken (uitzetten).
02-08-2022, 16:36 door Anoniem
Geen last van updates problemen en stress
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.

The Matrix
02-08-2022, 17:24 door Anoniem
Door Anoniem: Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.

Duurt minstens 2 maanden voordat Samsung een update goedkeurt voor release.
Als ze hem uitbrengen en hij bijt is de wereld ook te klein, dus Samsung doet dit meestal in kleine stappen.
Dus deze update van 01-08-2022 DMY zul je waarschijnlijk pas op z'n vroegst 1 september zien maar meer waarschijnlijk op 1 october.
02-08-2022, 17:29 door Anoniem
Door Anoniem:
Door Anoniem: Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Ja, bij mij ook. Ik denk dat we even een paar weken moeten wachten voor deze patch.

Vreemde is dat "op updates zoeken" moest drukken om de Juli 2022 update te krijgen.
Dit ondanks automatisch updaten ingeschakeld is, dus ondank automatisch updaten aan staat, liep ik al 2 maanden achter...
Door handmatige actie loop ik 1 maand achter.
02-08-2022, 18:30 door Anoniem
Door Anoniem: Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.

Ik heb ook dit toestel.
De update van 1 juli werd meen ik anderhalve week geleden pas aangeboden.
Helaas, die van augustus zullen we pas over een week of wat krijgen.
02-08-2022, 18:38 door Anoniem
Door Anoniem: Samsung Galaxy S21 FE, redelijk nieuw toestel, nog geen jaar in bezit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022

Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)

Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Je hebt recht op een deugdelijk product. Dien een klacht in bij de verkoper en eis (lees: vraag lief naar) een compensatie.
02-08-2022, 18:49 door Anoniem
Samsung S9 een van de laatst verkochte denk ik. Zal wel geen beveiliging update meer krijgen ben ik bang.
Bluetooth verbinding nodig voor mijn Samsung Fit 2.
02-08-2022, 19:07 door Anoniem
Ik denk dat de bug voortkomt uit de 'misbruik' van de bluetooth door de corona app/pas. Ik stel dus dat alleen gevaccineerden, met de corona app, last hebben van de aanvalsvector bluetooth.
02-08-2022, 22:09 door Anoniem
En zo mag Google binnen nog geen half jaar weer eens hun woorden gaan inslikken die ze zo graag verkondigen over security mythes en andere volgens hun verkeerd begrepen processen.
https://blog.google/technology/safety-security/security-myth-busting-and-spring-cleaning/

In ieder geval als het aankomt op bluetooth veiligheid deze keer. Al weet ieder met beetje IT kennis dat niks ooit dat werkt met connecties veilig beschouwd kan worden wat een bedrijf ook beweerd.


En wat is het toch met bedrijven die zo nodig CVE nummers moeten verkondigen om vervolgens deze niet naar de correcte standaard te vermelden in de databases *voor* algemene publicatie. Heeft iemand al de exacte CVSS 2, 3 vector vemeldt gezien? Wat in godsnaam hebben we aan een critical tag als we de breakdown niet hebben voor goede risk assesment en patching strategy.
03-08-2022, 00:11 door Anoniem
Door Anoniem: Geen last van updates problemen en stress
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.

The Matrix

++ :)


Al die smartphones zijn bij voorbaat lek door al die default apps die je niet kan verwijderen.

En dit zal wel weer tot een storm van reacties opleveren. Maar sorry het is nou eenmaal zo.
03-08-2022, 06:25 door Anoniem
Door Anoniem: Geen last van updates problemen en stress
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.

The Matrix

Ook geen 3G of 4G ondersteuning? Ik heb ook een dumb phone, maar ik verwacht weinig last te krijgen van het verdwijnen van 2G. Misschien ander abonnementje nemen of een nieuwere dumb phone?
03-08-2022, 09:42 door Anoniem
Maar ehhh, is dit alleen de android stack?
Of kan ik straks ook de vibrator van mijn buurvrouw pwnen.
03-08-2022, 09:56 door Anoniem
Zie hier het belang van snel patchen. Welke telefoons worden snel gepatcht? In welke hoek moet ik dat zoeken?
03-08-2022, 10:53 door Anoniem
En dit zal wel weer tot een storm van reacties opleveren. Maar sorry het is nou eenmaal zo.
Normaal reageer ik hier niet op om dat ik het met je eens ben, als je dan naar het aantal reacties kijkt die je
krijgt blijkt dat misschien wel dat er veel meer wel met jou eens zijn.
03-08-2022, 10:55 door Anoniem
Door Anoniem: Maar ehhh, is dit alleen de android stack?
Of kan ik straks ook de vibrator van mijn buurvrouw pwnen.

Kom van die zolderkamer af, en ga een kopje suiker lenen ;)
05-08-2022, 16:13 door johanw
Door Anoniem:
Al die smartphones zijn bij voorbaat lek door al die default apps die je niet kan verwijderen.

Je bedoelt dat JIJ ze niet kan verwijderen. Met adb, of desnoods met root, is dat simpel genoeg. Ik heb mijn Samsung flink opgeruimd.
05-08-2022, 16:16 door johanw
Door Anoniem: Geen last van updates problemen en stress
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.

The Matrix

Ga naar KPN, die houden 2G vo0orlopig in de lucht omdat veel moeilijk vervangbare industriele apparatuur dat nog gebruikt. Ze gooien wel 3G eruit.

Overigens zijn dumbphones juist extreem onveilig, de overheid kan alles afluisteren want versleutelde chat en voip apps kun je er niet op draaien dus ben je op het onveilige gewoon bellen en sms aangewezen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.