"Google maakt veiligste Android smartphones"
Leveranciers zoals Samsung en HTC komen de veiligheid van Android smartphones niet ten goede. Gebruikers die voor het platform kiezen zijn dan ook het beste af met een toestel van Google zelf. Zo werd onlangs bekend dat de software van HTC privégegevens lekt. "Door de goudkoorts die de mobiele markt beheerst, is het probleem dat de meeste partners niet over veiligheid nadenken", zegt beveiligingsbedrijf eEye Digital Security. De veiligheid van het platform is niet alleen de verantwoordelijkheid van Google, merkt de beveiliger op. Veel leveranciers zijn echter drukker bezig met nieuwe widgets.
Eén van de grootste problemen is dat sommige leveranciers of mobiele providers er maanden over doen om Android-updates onder gebruikers te verspreiden, als die al beschikbaar worden gemaakt. Net zo gevaarlijk volgens eEye, is dat leveranciers en providers third-party software en eigen aanpassingen op geleverde Android toestellen installeren.
Het probleem met het HTC-lek staat niet op zichzelf. Ook bij Samsung is het raak. Zo is het mogelijk om zonder wachtwoord toch toegang tot de telefoon te krijgen. Het originele "pattern lock" werkt echter wel op de Google Nexus 4G. "Dit soort kwetsbaarheden is zo basaal, dat net als bij HTC het een security-gebrek in de ontwikkeling van Samsung's ontwikkelproces toont."
Google
De onsamenhangende staat is volgens eEye niet de schuld van Android of Google, maar komt door de openheid van het platform. Daardoor kunnen leveranciers toestellen ook van bloatware voorzien en bepaalde opties niet goed implementeren. Zo wijzigen mobiele aanbieders als Sprint en AT&T, maar ook leveranciers als HTC en Samsung de Android-kernel, user-interface en andere zaken die de bedrijfsbelangen ten goede komen, en die zijn niet altijd gelijk aan die van de klant. Uiteindelijk ontstaat er een 'feature creep' en is men traag met patchen, waardoor aanvallers eenvoudig informatie kunnen stelen of mobiele botnets maken.
De beveiliger merkt op dat het gefragmenteerde Android ecosysteem de veiligheid niet bevordert. Als gevolg hiervan zouden consumenten zeer selectief moeten zijn bij het aanschaffen van een Android toestel. Daarbij zijn Google smartphones zoals de Nexus One, Nexus S en aankomende Nexus Prima een betere oplossing, aangezien die eerder updates zullen ontvangen dan bij andere aanbieders het geval is.
Google 'lekt' je gegevens niet, maar ze verkopen deze gegevens gewoon door ? Zolang Google er geld aan verdient, en mensen je gegevens niet zonder Google te betalen door een beveiligingslek in handen krijgen, dan is het allemaal in orde ?
Google verkoopt geen gegevens. Je kunt nergens bij Google aankloppen voor bijvoorbeeld specifieke gegevens van alle inwoners van Haarlem o.i.d. Alles wat Google verzamelt blijft intern.
Dat vind ik het veilige van Google i.t.t. allerlei andere clubs waar een willekeurige marketeer een zelf verzonnen doorsnede uit de database kan bestellen. Als leverancier van die data kun je wel afspreken wat die marketeer met de informatie mag doen, maar daar heb je verder geen zicht meer op.
Als je een advertentie op Google zet, bepaalt Google wanneer die advertentie geplaatst wordt. Als adverteerder heb je geen toegang tot wie je advertentie te zien krijgt i.t.t. bedrijven die linken naar externe advertentiebedrivjen. Die bedrijven krijgen niet alleen te zien op basis waarvan de advertentie is geplaatst, maar zien ook nog allerlei informatie van de bezoeker omdat zijn browser contact maakt met de server van het advertentiebedrijf.
En we weten allemaal hoe veilig die servers zijn.
Peter
Schijnbaar heb jij informatie over lekken die niet gedicht zijn, ik zou zeggen ga er mee naar google, geef ze aan en ontvang een leuk bedrag op je bank rekening. Daarmee is iedereen geholpen .....
Als je die lek informatie niet hebt, zou je dan je mening willen onder bouwen, met alleen "is toch echt zo lek als een mandje" heeft niemand wat .....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
