Android voor tweede keer in 10 jaar tijd zonder maandelijkse beveiligingsupdates
Voor de tweede keer in 10 jaar tijd heeft Google besloten om geen maandelijkse beveiligingsupdates voor Android uit te brengen. Sinds augustus 2015 publiceert Google elke maand beveiligingsbulletins waarin het Android-kwetsbaarheden verhelpt. Tot juli van dit jaar verschenen er elke maand patches voor Android, maar in juli verscheen er voor het eerst een leeg beveiligingsbulletin. Google gaf geen reden voor het niet uitbrengen van updates die maand.
Nu zijn er tijdens de maandelijkse patchronde van oktober opnieuw geen beveiligingsupdates verschenen. Qualcomm heeft deze maand ook nog geen updates uitgebracht. Samsung is wel met updates voor de eigen Androidtelefoons gekomen. Geen van de door Samsung verholpen kwetsbaarheden is als kritiek aangemerkt.
Update
Android Authority liet vorige maand weten dat Google een nieuw updatemodel voor Android gaat hanteren, gebaseerd op het daadwerkelijke risico van kwetsbaarheden. Alleen voor beveiligingslekken die als "high-risk" zijn beoordeeld verschijnen nog maandelijkse updates. De overige kwetsbaarheden worden eens per kwartaal gepatcht. Google heeft de aanpassingen aan het updatemodel nog niet zelf bekendgemaakt.Ik heb een Pixel 8a.
GrapheneOS schrijft;
"We mogen een vroege release met deze patches aanbieden en de CVE's vermelden, maar moeten wachten tot het embargo afloopt om bronnen of details over de patches te publiceren. We zijn het er absoluut niet mee eens om patches 3-4 maanden vóór de officiële publicatiedatum breed te distribueren naar OEM's. Dit vertraagt de beschikbaarheid van patches voor gebruikers verder en geavanceerde aanvallers zullen geen probleem hebben om de patches te verkrijgen van een van de vele mensen bij Android OEM's met vroege toegang. De termijn zou beperkt moeten blijven tot maximaal 7 dagen. Het gebrek aan daadwerkelijke geheimhouding is erkend doordat Android het embargo beperkt tot broncode en details, waardoor we deze vroegtijdig kunnen oplossen. We doen dit met aparte opt-in releases om de reguliere releases echt open source te houden in plaats van vertraagde open source. We zijn van plan deze keuze te integreren in de initiële installatiewizard. Het positieve is dat we nu patches kunnen aanbieden aan mensen die ze echt nodig hebben, zelfs zonder de voorgaande embargo-vertraging van 1 maand."
Bron:
https://grapheneos.org/releases#2025092500
(Tekst is vertaald via Google Translate)
GrapheneOS schrijft;
"We mogen een vroege release met deze patches aanbieden en de CVE's vermelden, maar moeten wachten tot het embargo afloopt om bronnen of details over de patches te publiceren. We zijn het er absoluut niet mee eens om patches 3-4 maanden vóór de officiële publicatiedatum breed te distribueren naar OEM's. Dit vertraagt de beschikbaarheid van patches voor gebruikers verder en geavanceerde aanvallers zullen geen probleem hebben om de patches te verkrijgen van een van de vele mensen bij Android OEM's met vroege toegang. De termijn zou beperkt moeten blijven tot maximaal 7 dagen. Het gebrek aan daadwerkelijke geheimhouding is erkend doordat Android het embargo beperkt tot broncode en details, waardoor we deze vroegtijdig kunnen oplossen. We doen dit met aparte opt-in releases om de reguliere releases echt open source te houden in plaats van vertraagde open source. We zijn van plan deze keuze te integreren in de initiële installatiewizard. Het positieve is dat we nu patches kunnen aanbieden aan mensen die ze echt nodig hebben, zelfs zonder de voorgaande embargo-vertraging van 1 maand."
Bron:
https://grapheneos.org/releases#2025092500
(Tekst is vertaald via Google Translate)
https://www.security.nl/posting/903940/GrapheneOS-ontwikkelaars%3A+%27Door+Android-securityupdates+uit+te+stellen+brengt+Google+gebruikers+in+gevaar%27
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Information Security Officer
Als Information Security Officer weet jij beleid en praktijk met elkaar te verbinden. Je bent verantwoordelijk voor het opstellen, imple-menteren en bewaken van het informatie-beveiligingsbeleid, conform ISO 27001, het SURF Toetsingskader Informatiebeveiliging en de aankomende NIS2-richtlijn. Je adviseert het management over risico’s, passende maatregelen en de strategische impact van informatiebeveiliging, en je draagt bij aan of coördineert risicoanalyses en in-terne en externe audits.
IT Security Officer
Utrecht heeft jou nodig! Als IT Security Officer heeft jouw werk impact op de informatie-beveiliging van onze inwoners, zoals het risico op blootstelling van gevoelige gegevens aan ongeautoriseerde toegang. Door jouw bijdrage maak je echt het verschil in het waarborgen van de veiligheid van onze gemeente. Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?