Consumentenbond: veel Android-smartphones onveilig
Veel Android-smartphones worden niet meer ondersteund met de nieuwste versie van het besturingssysteem en een groot deel draait op een onveilige Android-versie waarin kwetsbaarheden aanwezig zijn. Dat meldt de Consumentenbond aan de hand van eigen onderzoek.
84% van de 171 toestellen die de Consumentenbond de afgelopen twee jaar testte, is niet geüpdatet naar Android 5.0, de meest recente versie, en de helft daarvan draait op Android 4.3 of ouder, terwijl er bekende veiligheidslekken in deze versie zitten. "Uit ons onderzoek blijkt dat veel toestellen nog niet eens twee jaar updates krijgen. Wij vinden dat consumenten recht hebben op een deugdelijk en veilig toestel. Fabrikanten zouden hun toestellen minimaal twee jaar na de releasedatum van updates moeten voorzien", zegt Bart Combée, directeur Consumentenbond.
De verschillen tussen de diverse Android-merken zijn groot. Bij Huawei draait meer dan de helft van de toestellen op 4.3 of lager, de rest op 4.4 en geen van de 23 geteste toestellen op Android 5 of hoger. Bij het veel kleinere Motorola gaat het een stuk beter, daar beschikken 5 van de 8 bekeken smartphones over Android 5.0 of 5.1. Maar ook binnen merken kunnen er grote verschillen zijn. De ruim twee jaar oude HTC One draait bijvoorbeeld wel op Android 5, maar de veel jongere HTC One Mini 2 niet. Ook bij Samsung, marktleider onder de Android-telefoons, draaien veel modellen op verouderde software.
Google brengt wel updates voor Android uit, maar de telefoonfabrikanten bepalen vervolgens of én wanneer ze een update uitrollen onder hun gebruikers. Soms vertraagt de provider een update, omdat hij er eigen functionaliteiten aan toe wil voegen. Bij toestellen van Apple en Windows Phones is het update-probleem volgens de Consumentenbond veel minder groot. Apple iOS krijgt zo’n 4 jaar na de introductie nog updates en Microsoft heeft toegezegd alle telefoons met Windows 8.1 gratis te updaten naar Windows 10 Mobile.
Actie
Fabrikanten melden niet hoe lang ze hun producten blijven ondersteunen en de informatie over updates op hun websites is vaag, zo stelt de Consumentenbond. De organisatie gaat er bij fabrikanten van Android-smartphones op aandringen dat ze de toestellen langer ondersteunen. Daarnaast is er ook een actie opgezet waarmee consumenten fabrikant kunnen laten weten dat ze toestellen langer van updates moeten voorzien.
Voorbeeld: volgens http://www.theregister.co.uk/2015/07/02/android_lg_security_update_centre/ gebruikt LG wel https voor het downloaden van updates naar smartphones en tablets, maar controleert daarbij het servercertificaat niet. The Register verwijst daarbij naar onderzoek van Search-Lab (http://www.search-lab.hu/about-us/news/109-security-vulnerability-in-lg-s-update-center-application). Uit die pagina:
SEARCH-LAB Ltd discovered this vulnerability in November, 2014 and disclosed the technical details to the manufacturer. LG answered, that they were considering the fix for newly launched models only (aka the ones which are coming with Android L) .
According to the current state, all Android based LG Smart Phones are affected by this exploitable vulnerability today and remain exposed according to LG’s plans.
[...]
Since no fix will be available for this issue due to business decisions made by LG, we recommend turning off “Auto app update” and use Update Center application to update or install any apps on trusted Wi-Fi networks only.
Ja, wij wel. ;-)
Maar het moet ook op andere plaatsen bekend raken. Ik heb vorig jaar een klacht ingediend bij ACM hierover en ook de Consumentenbond gevraagd hier aandacht aan te besteden. Ik geloof niet dat ze dit op basis van mijn verzoek hebben gedaan. Er zijn waarschijnlijk genoeg opmerkingen binnengekomen om dit te initieren. Dat is mooi.
Peter
Verder zegt het aantal/de regelmaat van updates vrij weinig over de veiligheid van een softwareplatform.
Het is echter wel een bekend "probleem" van Android; door de openheid heb je een zeer flexibel platform wat zowel positief (leveranciers kunnen zelf (extra) veiligheidsupdates uitvoeren) als negatieve kantjes heeft (dit wordt te weinig gedaan mogelijk omdat het een markt betreft met een korte afzetduur en lage marges).
Uiteraard is het belangrijk dat hardware en software veilig zijn en dat de leverancier duidelijk is over de ondersteuning gedurende de levensduur en verantwoordelijkheid neemt voor het functioneren van het product.
Echter geldt dit voor zoveel meer dan alleen Android-telefoons.
Nu is het zo dat een leverancier via software de levensduur van een apparaat kan manipuleren. Denk aan het verwijderen van bepaalde functionaliteit (other OS van PS3 of het uitzetten van onlineservers van spelletjes na een x-aantal jaar) of het wel/niet doorvoeren softwarematige veranderingen zodat de performance achteruit gaat, de beveiliging in het geding raakt of bepaalde functionaliteit ontbreekt/kapot raakt.
Wat mij betreft mag er flink aan de wet gesleuteld worden om te voorzien in verschillende mate van zekerheden met betrekking tot met name software (beveiligingsplicht d.m.v. verplichte minor updates, wel/geen toezegging van het updaten naar nieuwe major versies, welke functionaliteit en bijbehorende prestaties worden gegarandeerd en hoe dit wordt gecommuniceerd) want zoals het nu is komt het erop neer dat zolang je apparaat enigszins werkt zoals in de hardwarespecificaties en softwarelicentievoorwaarden wordt aangegeven (waarin vrijwel al je consumentenrechten worden geschonden) de geadverteerde functionaliteit van met name software er niet toe doet (ik weet het, een rechter zou er gehakt van maken maar daar heb je niets aan als je aan de lijn hangt met de helpdesk of maanden op een bugfix moet wachten).
Hierbij moet er wel worden opgepast dat leveranciers geen verbeteringen meer durven door te voeren, maar een soort baseline voor (alleen betaalde?) producten en diensten lijkt me toch een goed idee voor consumenten.
@Consumentenbond: Zet nou in op twee jaar na laatste fabricagedatum. Dan weet je tenminste zeker dat je niet vandaag iets koopt wat morgen gedateerd is.
Leveranciers die nu nog een Android 2 of iPhone 4 (iOS 7) verkopen zouden ook moeten worden verplicht erbij te zetten: UNSUPPORTED ONVEILIGE SOFTWARE die NIET te upgraden is. (net als op een pak sigaretten iets staat).
Dat in iOS apps bijna altijd de laatste versie vereisen ligt aan de eisen van Apple. Onder Android is versie 4.0 voldoende om vrijwel alle apps te kunnen gebruiken, en de meeste belangrijke doen het onder 2.3 ook nog.
Dat er na verloop van tijd security issues zijn, is algemeen bekend.
De andere kant van het verhaal is dat 'we' graag voor een dubbeltje op de eerste rang zitten.
En waar mogelijk alle apps gratis. (een van de hoofdredenen van mijn vrienden om een android te kopen)
Misschien een businesscase om 20% extra te betalen, en dan de garantie op x jaar aan updates?
Als ik een dell pc koop worden de OS updates toch ook niet door dell uitgegeven?
Android updates door google
Driver updates door de fabrikant
Apps door mij
Als ik een dell pc koop worden de OS updates toch ook niet door dell uitgegeven?
Android updates door google
Driver updates door de fabrikant
Apps door mij
Ach, zou Samsung (toch veel Android telefoons) toch weer hebben uitgezet, zie https://www.security.nl/posting/433602/Microsoft+niet+blij+met+aanpassen+Windows+Update+door+Samsung
Koop het gewoon niet. Koop gewoon een Nexus of iPhone en je hebt dat gezeur niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
