image

Androidtelefoons kwetsbaar omdat fabrikanten lek in GPU-driver niet patchen

donderdag 24 november 2022, 11:32 door Redactie, 12 reacties

Androidtelefoons van onder andere Google, Samsung, Xiaomi, Oppo en andere fabrikanten zijn kwetsbaar voor aanvallen omdat bekende kwetsbaarheden in de kerneldriver van de grafische processor (GPU) van de toestellen nog altijd niet zijn verholpen. Daarvoor waarschuwt beveiligingsonderzoeker Ian Beer van Google Project Zero.

Begin dit jaar werd bekend dat aanvallers misbruik maakten van een zerodaylek in de kerneldriver van de ARM Mali GPU van Google Pixel-telefoons. Chipfabrikant ARM had op 6 januari een update voor de kwetsbaarheid uitgebracht. Via het beveiligingslek kan een malafide app of lokale gebruiker rootrechten krijgen. Vorig jaar werd de Mali GPU ook al het doelwit van zeroday-aanvallen.

Het Androidlandschap is erg versnipperd doordat fabrikanten hun eigen hardware en Androidversies gebruiken, wat het lastig voor aanvallers maakt om een kwetsbaarheid te vinden die tegen meerdere toestellen kan werken. Veel Androidtelefoons maken echter gebruik van dezelfde GPU plus driver, waardoor aanvallers zich op dit onderdeel richten.

Naar aanleiding van de zeroday-aanval op Pixel-telefoons eerder dit jaar besloot Google een onderzoek naar de Mali GPU-driver uit te voeren. Dat leverde vijf kwetsbaarheden op waardoor een malafide app of gebruiker met toegang tot het toestel volledige controle over het systeem kan krijgen. Een dergelijke kwetsbaarheid kan bijvoorbeeld worden gecombineerd met een kwetsbaarheid in de browser om telefoons op afstand over te nemen.

Google waarschuwde ARM, dat in juli en augustus met patches voor de kwetsbaarheden kwam. Het gaat hier om updates die aan fabrikanten worden aangeboden. Vervolgens maakte Google de details eind augustus en halverwege september openbaar. Soms controleert Google Project Zero de kwaliteit van beschikbaar gemaakte beveiligingsupdates of kijkt of er een variant van de verholpen kwetsbaarheid bestaat.

In dit geval bleek dat alle geteste Androidtelefoons nog steeds kwetsbaar waren en het beveiligingslek in geen enkel beveiligingsbulletin van de Androidfabrikanten wordt genoemd. Google Project Zero roept telefoonleveranciers dan ook op om beschikbaar gestelde patches snel in hun eigen beveiligingsupdates te verwerken en onder gebruikers te verspreiden.

Reacties (12)
24-11-2022, 12:07 door Anoniem
Het is ook een totale ramp dat vendors hierover gaan en de toestellen flashen.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.

In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.

Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
24-11-2022, 12:46 door Anoniem
Vraag ik me af of andere hardware met arm processoren, zoals raspberry pi, deze kwetsbaarheid of een vergelikbare ook niet hebben??
24-11-2022, 13:25 door johanw
Mooi, een nieuwe root methode om volledige toegang tot je eigen toestel te krijgen.
24-11-2022, 13:41 door Anoniem
Dit is allemaal niet of nog niet te voorkomen, maar waarom allemaal dat gepush om alles met een smartphone te doen
en ze zijn niet veilig ook die Apple apparaten niet.
24-11-2022, 14:53 door Anoniem
Door Anoniem: Dit is allemaal niet of nog niet te voorkomen, maar waarom allemaal dat gepush om alles met een smartphone te doen
en ze zijn niet veilig ook die Apple apparaten niet.

Dit is prima te voorkomen, het probleem zit 'm er in dat de makers van de smartphones zoals Samsung geen verstand hebben van software en dit voor hun een nare bijkomstigheid is.
Ze dwingen je hun software te draaien en anders heb je geen garantie op je toestel meer.
Dit zou hetzelfde zijn als HP z'n eigen versie van windows zou leveren bij je PC die je er niet af kunt of mag halen(want doei garantie).
Dat was lang geleden de realiteit voor PC's.

Met open bootloaders zou dit hele probleem nauwelijks bestaan.
24-11-2022, 16:47 door dutchfish
Door Anoniem: Het is ook een totale ramp dat vendors hierover gaan en de toestellen flashen.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.

In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.

Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)

Het wordt hoog tijd dat we RISC-V krijgen en processoren die gemaakt zijn in Europa. Ja, ik weet dat dit niet morgen gaat gebeuren, maar ik zie dit als onoverkomelijk. Opensource software is/was een eerste stap, nu nog open source hardware.

Min 2 centen als bijdrage.
24-11-2022, 22:15 door Anoniem
Door Anoniem: Het is ook een totale ramp dat vendors hierover gaan en de toestellen flashen.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.

In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.

Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)


Heb je al eens naar de Volla Phone icm bv Ubuntu gekeken?
25-11-2022, 08:45 door Anoniem
Door Anoniem:
Door Anoniem: Het is ook een totale ramp dat vendors hierover gaan en de toestellen flashen.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.

In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.

Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)


Heb je al eens naar de Volla Phone icm bv Ubuntu gekeken?

Yes, evenals de alternatieven, wel een van de betere.
Zit eigenlijk net wat te krap in de memory.

Maar ik had al een tijdje niet gekeken en ik moet zeggen dat voor 425 euro het nog helemaal niet zo gek is.
8 cores @ 2 GHz is dan best wel weer leuk.
25-11-2022, 11:46 door Anoniem
Door dutchfish:
Door Anoniem: Het is ook een totale ramp dat vendors hierover gaan en de toestellen flashen.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.

In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.

Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)

Het wordt hoog tijd dat we RISC-V krijgen en processoren die gemaakt zijn in Europa. Ja, ik weet dat dit niet morgen gaat gebeuren, maar ik zie dit als onoverkomelijk. Opensource software is/was een eerste stap, nu nog open source hardware.

Min 2 centen als bijdrage.
Zie https://puri.sm/products/librem-5/ Er hangt wel een flink prijskaartje aan.
25-11-2022, 13:53 door Anoniem
Ik wil hier niet te veel de Apple fanboy uithangen maar het is toch wel fijn dat Apple tegenwoordig zijn eigen chips ontwikkeld
26-11-2022, 10:11 door Anoniem
Apple heeft de hele proces in handen, van software tot hardware en kan makkelijk patchen zonder lastige telefoonfabrikanten of telecomboeren. Enige oplossing is open source software en hardware voor de rest van de wereld, due niet in apple tuin wilt zitten.
26-11-2022, 12:38 door Anoniem
Door Anoniem: Ik wil hier niet te veel de Apple fanboy uithangen maar het is toch wel fijn dat Apple tegenwoordig zijn eigen chips ontwikkeld
Daar heb je ook niets aan als Apple niet patcht. Apple is ook een fabrikant. Vandaar de roep om open hardware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.