PatchDroid moet miljoenen onveilige Androids redden
Onderzoekers hebben een oplossing bedacht voor de tientallen miljoenen Android-toestellen die kwetsbaarheden bevatten, maar nooit meer een update zullen ontvangen omdat ze niet meer worden ondersteund. Op dit moment bevat 30% van de 750 miljoen Android-toestellen bekende lekken.
In de praktijk zijn deze apparaten niet meer via de normale update-mechanismes te updaten, omdat de fabrikant of telecomaanbiederze niet langer meer ondersteunt, aldus onderzoekers Collin Mulliner, Jon Oberheide, William Robertson en Engin Kirda. Die bedachten een oplossing genaamd PatchDroid.
Geheugen
PatchDroid is een systeem om beveiligingsupdates van derden onder Android-toestellen uit te rollen, ook al worden de apparaten niet meer ondersteund. De software patcht beveiligingslekken in het geheugen en gebruikt een service voor het verspreiden van patches, zodat die maar één keer hoeven te worden gemaakt en vervolgens op elk toestel zijn uit te rollen.
Omdat de patches direct in de processen worden geïnjecteerd, hoeft PatchDroid de systeempartities of bestanden niet te flashen of aan te passen, waardoor het zelfs op streng gecontroleerde apparaten is uit te rollen.
Daarnaast bevat de software een detectiesysteem die aanvallen tegen gepatchte lekken herkent. Als een aanvalspoging wordt ondernomen, waarschuwt het systeem zowel de gebruiker als een ingestelde externe partij die op afstand wordt ingelicht.
Rootrechten
PatchDroid zou nauwelijks impact op de systeemprestaties hebben en lijkt daardoor een ideale oplossing. Toch is er nog een punt van discussie. PatchDroid kan alleen op al geroote toestellen worden geïnstalleerd, aangezien de Patch Daemon rootrechten vereist.
Nu stellen de onderzoekers dat PatchDroid zich voornamelijk op beveiligingslekken richt waardoor een aanvaller zijn rechten op het systeem kan verhogen. PatchDroid zou volgens de onderzoekers zelf zo'n beveiligingslek kunnen gebruiken om rootrechten te krijgen en uiteindelijk zo het apparaat te beveiligen.
Bredere toepassing
Het idee achter PatchDroid is niet alleen tot het Android-besturingssysteem beperkt. "We denken dat onze methode om beveiligingslekken te verhelpen een bredere toepassing heeft dan alleen Android-gebaseerde apparaten. Ons systeem biedt inzicht in hoe patches van derden kunnen worden gedistribueerd voor algemene ingebedde apparaten die niet meer door de fabrikant worden ondersteund", aldus de onderzoekers.
En ja, misschien vind hij alsnog een mogelijkheid om rootrechten te krijgen, maar hij moet wel langer zoeken...
Ik heb hetzelfde probleem met een, nog geen 2 jaar oud, tablet. Daar staat Android 2.2 op en kan niet opgewaardeerd worden. De grootste beperking is het geheugen en als een nieuwere android al mogelijk zou zijn, houd ik waarschijnlijk nog minder vrij geheugen over. En in de handleiding staat een specifieke waarschuwing om de oude flashplayer niet te upgraden omdat er nu een customised versie op zit.
Maar gelukkig gebruik ik hem vrijwel alleen intern en ga er zelden mee het internet op.
Je zal nimmer 100% ontkwetsbaar zijn, maar dat wordt ook niet gepretendeerd. Maak jij een tool die ons beschermt tegen alle unknowns ? ;))
"Expert: dreiging mobiele malware is overdreven"
In dat artikel wordt aangegeven dat het risico minder groot is dan soms wordt gepretendeerd, tegelijkertijd wordt ook daar aangegeven dat het wel verstandig is om je devices te beveiligen. Daarnaast is de situatie van vandaag niet per definitie de situatie van morgen, mobiele dreigingen zullen blijven toenemen.
Vind jij dat je je devices niet moet beveiligen omdat het risico (nog) niet heel hoog is ? Indien je opeens een rekening van duizenden euro's hebt door kwaadaardige SMSjes, om maar wat te noemen, dan heb je weinig aan het feit dat het risico op die infectie niet ontzettend hoog was.
"Dat dacht ik ook toen ik dit artikel las. Een paar uur geleden had een 'expert' precies de tegenovergestelde mening. "
Dat ligt wat genuanceerder, maar daarbuiten - moeten alle beveiligers het inhoudelijk met elkaar eens zijn, en moeten artikelen hier dus allemaal dezelfde mening verkondigen ?
Ik snap de reacties hier af en toe niet erg..... ;)
Hier draai ik op de samsung galaxy s (I9000) android 4.2.2 cyanogenmod zonder problemen of te weinig geheugen.
Eigenlijk achterlijk dat de Android support van de fabrikanten zo slecht zijn.
Verder lijkt het mij dat het tijd wordt dat ondersteuning en patching middels een wettelijke EU verplichting wordt afgedwongen. Een fysiek product met gebreken bestaat regelgeving voor. Lijkt niet meer dan logisch dat dit ook voor een dataproduct gaat gelden.
My two cents.
Ik heb bij het ACM een klacht ingediend tegen fabrikanten van telefoons, telco's en telefoonwinkels met als strekking dat ze a) toestellen leveren met software met bekende kwetsbaarheden en/of b) toestellen binnen de contractperiode niet meer onderhouden.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
