In https://www.security.nl/posting/402527/privacy+%26+update+Samsung+GSM#posting402663 heb ik informatie over oudere Android versies gepost dat de lezer mogelijk zal interesseren, o.a. dat op dit moment nog veel nieuwe smarphones met verouderde Android versies worden verkocht.

Naast het standaardiseren van USB stekkers zou de Europese Commissie (en/of -parlement) kunnen vereisen dat verkochte producten met software/firmware aan boord, afhankelijk van de typische levensduur van het product, een X aantal jaren verplicht door de leverancier tijdig van beveiligingsupdates moeten worden voorzien. Een uitbreiding van de garantievoorwaarden dus. En als dat niet kan (faillissement fabrikant bijvoorbeeld), de verplichting dat de verkoper de klant kostenloos een vervangend gelijkwaardig device verstrekt.

Wat "tijdig" en "beveiligingsupdates" zijn moet goed worden gespecifieerd. M.i. vallen functionaliteitswijzigingen (zoals de door Redactie genoemde), die bijv. door een meerderheid van onafhankelijk deskundigen wordt aanbevolen, hier ook onder.

Anders blijven we met grote hoeveelheden lekke devices zitten, die vaak afhankelijk blijven van compleet verouderde protocollen en algoritmes (dit geldt niet alleen voor Android: denk aan het gebruik van SHA1 en zelfs nog accepteren van MD5 in Microsoft Windows, terwijl SHA256 nog niet volledig wordt ondersteund door Windows 7 en ouder).

Tot nu toe zijn we er goed mee weggekomen, zelfs Heartbleed heeft niet tot masaal misbruik en ontwrichting van de samenleving geleid. Maar als we als maatschappij veel te lang op bewezen verouderde concepten blijven hangen, is het wachten tot dit een keer goed misgaat en cybercriminelen of een vijandige natie de lachtende derde zijn.

Als je als koper een redelijke levensduur van een product mag verwachten, betekent dat ook dat het product daadwerkelijk bruikbaar moet blijven voor het doel waarvoor het werd aangeboden. Dat betekent dus ook dat je er, na verloop van tijd, geen onredelijke risico's mee gaat lopen.

Mooie reactie Erik maar wel een beetje het verhaal van een security manager/officer met heel veel angst in zijn voorstel:
'Tot nu toe zijn we er goed mee weggekomen, zelfs Heartbleed heeft niet tot masaal misbruik en ontwrichting van de samenleving geleid'

Ontwrichting van de samenleving...klinkt wel erg als al die Hollywood films, theoretisch mogelijk, maar of het ook zo erg was met Heartbleed?
Ja het was erg, misschien wel erger dan we ons kunnen voorstellen maar tot nu toe heb ik geen 'ontwrichte samenleving'-en gezien nav een it security probleem.

Wat mij betreft gaan die makers van toestellen met Cyanogenmod of dergelijke in zee zodat klanten lang support krijgen.
4.3.3 draait OK (niet super snel) op een Samsung Galaxy S.

Ik vraag me alleen dan af of het zin heeft om ook nog encryptie aan te zetten, het is lekker beveiligd maar je telefoon kan amper nog reageren.
Kan je beter je telefoon in de sloot gooien..

Ik hoop dat dat geen problemen oplevert voor backup tools. Het enige dat ik er tot nu toe over lees gaat over antieke Android versies waar het wel problemen geeft.

Ik heb bij ACM een klacht ingediend over de oude, onveilige toestellen die verkocht worden. Volgens ACM is de leverancier verplicht om minimaal gedurende de garantieperiode te zorgen voor een veilig product. Dat is onafhankelijk of het een kofiezetapparaat of een telefoon is. Als ze dat niet doen, zijn ze strafbaar. ACM heeft echter meer klachten nodig om tegen specifieke bedrijven op te kunnen treden.

Peter

En anders moeten de kopers eens leren te stemmen met hun portemonnee. Iedereen die dit belangrijk vindt, zou die smartphones gewoon niet meer moeten kopen. Iedere fabrikant en/of provider die zich dan niet aan het tijdig updaten houdt, blijft dan met zijn spullen zitten en heeft de keuze tussen meedoen of failliet gaan.

Er is alleen 1 probleem.
Je hoeft op deze site bijna niemand dit te vertellen (was ook 1 van mijn criteria), maar de gemiddelde smartphone gebruiker wil alleen dat zijn telefoon werkt en dat de gewenste apps er op kunnen draaien.
Hun pc's zullen redelijk beveiligd zijn maar over telefoons ("is immers geen pc, toch...") denken ze niet na.
En de groep vaste security.nl-bezoekers (en andere gerelateerde sites) is niet dusdanig groot dat fabrikanten dit in hun statistieken gaan merken.

Gaat deze versie ook nog op de Samsung Galaxy s4 komen?.

Ik hoop dat dit met import/export opties van de keys komt, nu een encrypted systeem full wipe doen of reinstall van de rom is alle data weg. Recovery/Restore functie is wel essentieel, zeker als het standaard wordt.

Tamelijk zinloos natuurlijk. Die toestellen zijn niet onveilig in de zin van "fysiek gevaar voor de gebruiker opleverend". Computers met XP worden ook nog 2e hands verkocht.