Androidtelefoons via kritieke kwetsbaarheid op afstand over te nemen
Een kritieke kwetsbaarheid maakt het mogelijk om Androidtelefoons op afstand over te nemen. Google heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Tijdens de patchronde van februari heeft Google in totaal 46 kwetsbaarheden verholpen. Een van de beveiligingslekken, in het System-onderdeel van Android, is volgens Google het gevaarlijkst.
Via deze kwetsbaarheid, aangeduid als CVE-2024-0031, is remote code execution mogelijk. Een aanvaller kan zo op afstand willekeurige code op Androidtelefoons uitvoeren. Het beveiligingslek is verholpen in Android 11, 12, 12L, 13 en 14. Google laat niet weten of het probleem ook in oudere Androidversies aanwezig is, aangezien die niet meer door het techbedrijf worden ondersteund. Details over de kwetsbaarheid zelf, zoals hoe het precies te misbruiken is, zijn niet door Google gegeven.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2024-02-01' of '2024-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L,13 en 14.Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Ik heb er genoeg van. Ik stap over.
fantastisch eco systeem...
afhankelijk van de fabrikant.
telefoons wel op de markt maar ondersteund ho maar!
wordt het niet eens tijd dat de wetgeving dit gewoon gaat afdwingen?
OS minimaal 10 jaar ondersteuning (ook goed voor het milieu)
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
En dat is bij Android hardware onmogelijk?
fantastisch eco systeem...
Ik heb er genoeg van. Ik stap over.
De Pixel telefoons krijgen elke maand een update, en dat 7 jaar lang voor de laatste modellen.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Vertel.
Ik heb er genoeg van. Ik stap over.
De Pixel telefoons krijgen elke maand een update, en dat 7 jaar lang voor de laatste modellen.
Ga dan wel voor de Pixel 8a of 8 Pro want de batterij van de reguliere 8 is nogal slecht te noemen (ben zelf een eigenaar van de 8). Het verkrijgen van maandelijkse patches gaat razendsnel (je ontvangt ze dus snel).
Bij uitzonderingen voegen ze zelfs een eigen patch toe indien vereist.
De code van GrapheneOS is upstream, zelfs Google ontleent soms code uit GrapheneOS, en andersom ook. (AOSP is vrije en open software)
Ik adviseer tegenwoordig een Pixel 8/8pro aangezien deze Memory Tagging Extension hebben en maakt veel framebuffer exploits onmogelijk, GrapheneOS heeft inmiddels een zeer goede implementatie van MTE.
MTE wordt uitsluitend ondersteund op telefoons met ARMv9 hardware, maar dat betekent uiteraard niet dat Pixel 6/7's met GrapheneOS onveilig zijn, integendeel.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Die hebben geen exploits.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Die hebben geen exploits.
Ken uw klassieken
https://www.hacktic.nl/magazine/1824.htm
Wat ik zo lees over CVE 2024-0031 is dat het de Android bluetooth stack betreft. Een OOB - Out of band Exploitation.
https://source.android.com/docs/security/bulletin/2024-02-01
En in meer detail:
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/de53890aaca2ae08b3ee2d6e3fd25f702fdfa661
Ik heb er genoeg van. Ik stap over.
Ben je gelijk van google play af.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.