Kritiek lek in Android 4.3 en ouder onthuld
Onderzoekers van IBM hebben een ernstig beveiligingslek in Android 4.3 en ouder onthuld, waardoor een aanvaller zijn eigen code op het toestel kan uitvoeren. Het probleem werd vorig jaar september aan Google gerapporteerd en in november in versie 4.4 (KitKat) van het mobiele besturingssysteem gepatcht.
KitKat is echter pas op 13,6% van alle Android-toestellen geïnstalleerd, wat inhoudt dat het grootste deel van de Android-gebruikers kwetsbaar is. Het lek bevindt zich in de KeyStore service van Android, die verantwoordelijk is voor de beveiliging van de cryptografische sleutels van het toestel. Een aanvaller zou via een kwaadaardige app misbruik van het lek kunnen maken.
Daarna is het mogelijk om kwaadaardige code onder het KeyStore proces uit te voeren en inloggegevens en encryptiesleutels, al dan niet ontsleuteld, te stelen. Onderzoekers merken op dat ze nog geen misbruik van het lek zijn tegengekomen. Om de kwetsbaarheid te misbruiken moet een aanvaller eerst verschillende hindernissen nemen.
Ondanks deze obstakels, die wel overkomen kunnen worden, besloot IBM met de publicatie van het lek te wachten. "Gezien de fragmentatie van Android en het feit dat dit lek het uitvoeren van code mogelijk maakt, besloten we even te wachten met de openbaarmaking", aldus onderzoeker Roee Hay.
Samsung heeft geen belang bij veiligheidsupdates voor gebruikers van telefoons die al verkocht zijn. Sony en HTC en dergelijke ook niet. "De laatste updates zijn al geïnstalleerd", met 4.1.2. Koop maar een nieuwe telefoon.
Android is toch zo mooi open source? Dat wordt helaas ook steeds minder. En voor mijn telefoontje zijn geen mooie crapware vrije recente roms van derde partijen beschikbaar.
Toch maar weer de 3310 pakken. Met z'n oude batterij gaat die ook nog langer mee dan een vrij nieuwe smartphone. De oude nokia's zijn ook nog veilig voor Hacking Team narigheid en overheidstrojaner. Een nieuwe Nokia-doorhalen Microsoft Lumia is zeker niet veiliger.
Hoe moeilijk kan het zijn voor Google om een goede packagemanager in android te bakken?
"Handig" is dus in bepaalde opzichten soms ook best wel dom. Want bij alle handigheid koop je ook een probleem.
Maar onze begeerte naar "handig", "makkelijk" en "leuk" is vaak zo groot he. En zo tuinen we er onbewust in.
Want "beslist nodig hebben" verdwijnt daarmee naar de achtergrond. En dan kopen we maar weer een (kit)kat in de zak.
Net alsof er met Androïd 4.4 geen enkel probleem zou kunnen ontstaan...
Hoezo kan dat niet? voor drie tientjes heb je er al een, waarvan de batterij een dag of 14 mee gaat.
Nokia is nu Microsoft. Zowel oude als nieuwe Nokia's zijn niet veiliger dan andere toestellen.
Alle mobiele telefoons draaien software, de smart phones zijn wel kwetsbaarder dan de telefoons die alleen kunnen bellen. Maar zelfs dergelijke toestellen bevatten calling home functies (Samsung's bijvoorbeeld). Een telefoon die echt alleen GSM doet is zeldzaam.
Kijk naar Windows Phone en iOS van Apple, welke veel langer support op oude toestellen leveren.
Voorbeeld, alle Windows Phone 8 toestellen, ook van 2 jaar geleden krijgen de Windows Phone 8.1 update, ongeacht welk merk (HTC, Samsung, Nokia, etc), ongeacht welk Type, Leverancier en Provider, maakt niet uit, gewoon allemaal!
Voorbeeld, Apple stuurt de laatste iOS versie meestal ook naar alle iPhones/iPads van circa 2 jaar of ouder...
Voorbeeld : Samsung Galaxy S3, 2 jaar geleden gelanceerd komt niet verder dan Android 4.3 (behalve Custom Roms, maar tellen niet mee vind ik), maar Samsung geeft al aan dat 4.4 of hoger er niet op gaat komen.
In principe boeit het niet dat ze geen hogere Android versie krijgen, maar een update die dit soort bugs/exploits kan voorkomen zou geen overbodige luxe zijn.
Dan heb ik het nog over een populair type, maar als je kijkt naar Mid-Range en/of Low Budget Android toestellen uit zelfde bouwjaar zijn ze nooit verder gekomen dan Android 4.0 of 4.1
Hoezo kan dat niet? voor drie tientjes heb je er al een, waarvan de batterij een dag of 14 mee gaat.
Precies, hoeft geen Microsoft tapdevice te zijn met het meest veilige Windows ooit... :-)
Als het goed is zal er binnenkort weer een update voor uitkomen.
Naar Kitkat 4.4.3
Android is toch zo mooi open source? Dat wordt helaas ook steeds minder. En voor mijn telefoontje zijn geen mooie crapware vrije recente roms van derde partijen beschikbaar.
Dat is dus een van de selectie criteria die ik hanteer voor het aanschaffen van een nieuw toestel. Is hij te rooten, zijn er goede alternatieven roms? Zo niet gewoon niet kopen, je bent veel te afhankelijk van de Telco's die hun SMS winsten zien verdampen en daardoor echt te weinig investeren in het up to date houden van dit soort zaken.
Kijk naar Windows Phone en iOS van Apple, welke veel langer support op oude toestellen leveren.
Voorbeeld, alle Windows Phone 8 toestellen, ook van 2 jaar geleden krijgen de Windows Phone 8.1 update, ongeacht welk merk (HTC, Samsung, Nokia, etc), ongeacht welk Type, Leverancier en Provider, maakt niet uit, gewoon allemaal!
Voorbeeld, Apple stuurt de laatste iOS versie meestal ook naar alle iPhones/iPads van circa 2 jaar of ouder...
Voorbeeld : Samsung Galaxy S3, 2 jaar geleden gelanceerd komt niet verder dan Android 4.3 (behalve Custom Roms, maar tellen niet mee vind ik), maar Samsung geeft al aan dat 4.4 of hoger er niet op gaat komen.
In principe boeit het niet dat ze geen hogere Android versie krijgen, maar een update die dit soort bugs/exploits kan voorkomen zou geen overbodige luxe zijn.
Dan heb ik het nog over een populair type, maar als je kijkt naar Mid-Range en/of Low Budget Android toestellen uit zelfde bouwjaar zijn ze nooit verder gekomen dan Android 4.0 of 4.1
Dit is een van de redenen waarom Android in ons bedrijf niet is toegestaan, het is iig niet mogelijk om op het wifi netwerk mee te komen of verbinding met de mailserver mee te maken!
Apple heeft zelfs langer support:
IOS 8 komt beschikbaar voor de iPhone 4S die is al 3 jaar oud is en zelfs de iPad 2 die meer dan 4 jaar oud is zal gesupport worden.
By the way. ooit erbij stil gestaan dat de gsm module waarmee we bellen nog steeds een rom is uit 1990 met de security verstandhouding van destijds.
Uberveilig is een illusie. Het gebruik van je telefoon bepaalt grotendeels de veiligheid. De mens de de grootste bug.
Eens dat android beter mag updaten ook naar oudere types. Maar laten we even wel wezen. Het hele concept van smartphones staat nog in de kinderschoenen.
http://www.telecompaper.com/nieuws/nokia-was-slachtoffer-chantage--1020141
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
