Nieuws
image

Nieuw Android-lek laat toestellen eindeloos herstarten

dinsdag 4 augustus 2015, 16:18 door Redactie, 10 reacties
Laatst bijgewerkt: 04-08-2015, 17:20

Onderzoekers hebben een nieuwe kwetsbaarheid in Android ontdekt waardoor een aanvaller het toestel kan laten herstarten. In het geval het lek via een app wordt aangevallen is het mogelijk om het toestel eindeloos te laten herstarten. Het probleem bevindt zich in de mediaserver van Android, waar eerder ook al het StageFright-lek in werd ontdekt en een kwetsbaarheid die toestellen zo goed als onbruikbaar maakt.

Ook dit lek werd door het Japanse anti-virusbedrijf Trend Micro gevonden en is aanwezig in Android 4.0.1 tot en met 5.1.1 Lollipop. Dat komt neer op 89% van de Android-gebruikers. Om de aanval uit te voeren moet een gebruiker op een website een kwaadaardig MKV-bestand afspelen of een app installeren die het bestand bevat. In het geval de aanval via een app wordt uitgevoerd zal mediaserver in een eindeloze loop terechtkomen. Het systeem zal uiteindelijk zo traag worden dat het systeem zichzelf herstart of dat de batterij opraakt.

Wordt de aanval via een website uitgevoerd, dan moet een gebruiker het filmpje eerst zelf afspelen. De impact kan vooral bij een kwaadaardige app groot zijn. De app kan zich zo instellen dat die bij het laden van Android direct wordt gestart en kan zo vervolgens het toestel eindeloos laten herstarten. In dit geval krijgen gebruikers niet de mogelijkheid om de app in kwestie te verwijderen, tenzij het toestel in veilige modus wordt gestart.

Het probleem werd op 19 mei aan Google gerapporteerd. Op 31 juli liet het Android Security Team weten dat er een beveiligingsupdate beschikbaar was. In veel gevallen zijn Android-gebruikers voor updates afhankelijk van hun telecomaanbieder of de fabrikant van hun toestel. Daardoor kan het langer duren voordat updates onder gebruikers worden uitgerold. Voor zover bekend wordt de kwetsbaarheid niet in het "wild" aangevallen.

Reacties (10)
04-08-2015, 16:35 door Anoniem
Ja duh. .als je commands uit kan voeren kan je ook reboot now uitvoeren.
04-08-2015, 17:16 door Anoniem
Het probleem werd op 19 mei aan Google gerapporteerd. Op 31 juli liet het Android Security Team weten dat er een beveiligingsupdate beschikbaar was.
In veel gevallen zijn Android-gebruikers voor updates afhankelijk van hun telecomaanbieder of de fabrikant van hun toestel.

Er zijn ongeveer 60 miljoen devices met een versie van Android. Waarvan er velen verouderd zijn.
Hoe gaat dit onderliggende probleem nu aangepakt worden?

Google kan er niets aan doen (heeft zijn patch gemaakt), maar het ziin de telco's en farbikanten die de updates uitrollen.
De telco's en fabrikanten vinden 18 maanden updstes verstrekken financieel nog verantwoord. Daarna moet de consument maar een nieuwe toestel kopen.
De consument, die een goed werkend en duur toestel heeft dat nog wel enkele jaartjes mee kan, is nog niet toe aan vervanging.

Wat zijn de opties:
- Dat gebruikers gedwongen moeten worden om elke 18 maanden of 2 jaar nieuwe toestellen te kopen. Dat komt dicht bij gedwongen winkelnering.
- Dat telecomaanbieders of fabrikanten verplicht moeten gaan worden om gedurende de technische levensduur van het apparaat updates te leveren. (Laten we zeggen 5 tot 6 jaar lang)
- Dat Google het OS afscheidt van de custom-mods van de telco's en farbrikanten zodat Google zelf het OS geregeld kan updaten en van security patches kan voorzien.

Om opties 2 of 3 gerealiseerd te krijgen zullen waarschijnlijk de toezichthouders actie moeten ondernemen.
Ik ben benieuwd wat voor incidenten er moeten plaatsvinden, voordat die actie nemen.
04-08-2015, 19:12 door Anoniem
Door Anoniem:
Het probleem werd op 19 mei aan Google gerapporteerd. Op 31 juli liet het Android Security Team weten dat er een beveiligingsupdate beschikbaar was.
In veel gevallen zijn Android-gebruikers voor updates afhankelijk van hun telecomaanbieder of de fabrikant van hun toestel.

Er zijn ongeveer 60 miljoen devices met een versie van Android. Waarvan er velen verouderd zijn.
Hoe gaat dit onderliggende probleem nu aangepakt worden?

Google kan er niets aan doen (heeft zijn patch gemaakt), maar het ziin de telco's en farbikanten die de updates uitrollen.
De telco's en fabrikanten vinden 18 maanden updstes verstrekken financieel nog verantwoord. Daarna moet de consument maar een nieuwe toestel kopen.
De consument, die een goed werkend en duur toestel heeft dat nog wel enkele jaartjes mee kan, is nog niet toe aan vervanging.

Wat zijn de opties:
- Dat gebruikers gedwongen moeten worden om elke 18 maanden of 2 jaar nieuwe toestellen te kopen. Dat komt dicht bij gedwongen winkelnering.
- Dat telecomaanbieders of fabrikanten verplicht moeten gaan worden om gedurende de technische levensduur van het apparaat updates te leveren. (Laten we zeggen 5 tot 6 jaar lang)
- Dat Google het OS afscheidt van de custom-mods van de telco's en farbrikanten zodat Google zelf het OS geregeld kan updaten en van security patches kan voorzien.

Om opties 2 of 3 gerealiseerd te krijgen zullen waarschijnlijk de toezichthouders actie moeten ondernemen.
Ik ben benieuwd wat voor incidenten er moeten plaatsvinden, voordat die actie nemen.
Dit is precies dat ik al een tijdje geleden zei,de Amerikaanse federale overheid en de EU moeten telco's en telefoonfabrikanten dwingen om updates te leveren,of google moet net als windows,blackberry en mac/i-phone de updates en upgrades zelf gaan regelen.
04-08-2015, 21:00 door Anoniem
Als het zo door gaat wordt android het nieuwe Windows, waar deze nu langzaam beter wordt holt Android hard achteruit.
Fout van het geheel is dat men de updates aan de fabrikant overlaat en dat gebeurt gewoon niet, kijk maar naar samsung!
04-08-2015, 22:45 door Anoniem
Mischien moeten we massaal onze smartphones gaan terugbrengen naar de winkel/telecomprovider,want zeker als het toestel ionbruikbaar wordt door dit lek kan men stellen dat dit wanprodukten zijn,want niet veilig.Bovendien weigeren de smartphonefabrikanten en telco's om de patches te verstrekken.Dus keihard toestellen terugsturen en aankoop bedrag terug eisen.De smartphone-fabrikanten en telco's en wellicht google zelf hopen dat de klanten nu massaal de huidige toestellen in de kast leggen of in de vuinisbak deponeren en zometeen nieuwe android toestellen met android M erop zullen gaan aanschaffen,maar dat zijn wij toch niet van plan,of wel soms? Gewoon massaal androids terugsturen en geld terug eisen en dan maar een windows 10 phone,linux phone,i-phone of blackberry kopen en android voorlopig links laten liggen.
05-08-2015, 10:27 door Anoniem
Door Anoniem:
Door Anoniem:
Het probleem werd op 19 mei aan Google gerapporteerd. Op 31 juli liet het Android Security Team weten dat er een beveiligingsupdate beschikbaar was.
In veel gevallen zijn Android-gebruikers voor updates afhankelijk van hun telecomaanbieder of de fabrikant van hun toestel.

Er zijn ongeveer 60 miljoen devices met een versie van Android. Waarvan er velen verouderd zijn.
Hoe gaat dit onderliggende probleem nu aangepakt worden?

Google kan er niets aan doen (heeft zijn patch gemaakt), maar het ziin de telco's en farbikanten die de updates uitrollen.
De telco's en fabrikanten vinden 18 maanden updstes verstrekken financieel nog verantwoord. Daarna moet de consument maar een nieuwe toestel kopen.
De consument, die een goed werkend en duur toestel heeft dat nog wel enkele jaartjes mee kan, is nog niet toe aan vervanging.

Wat zijn de opties:
- Dat gebruikers gedwongen moeten worden om elke 18 maanden of 2 jaar nieuwe toestellen te kopen. Dat komt dicht bij gedwongen winkelnering.
- Dat telecomaanbieders of fabrikanten verplicht moeten gaan worden om gedurende de technische levensduur van het apparaat updates te leveren. (Laten we zeggen 5 tot 6 jaar lang)
- Dat Google het OS afscheidt van de custom-mods van de telco's en farbrikanten zodat Google zelf het OS geregeld kan updaten en van security patches kan voorzien.

Om opties 2 of 3 gerealiseerd te krijgen zullen waarschijnlijk de toezichthouders actie moeten ondernemen.
Ik ben benieuwd wat voor incidenten er moeten plaatsvinden, voordat die actie nemen.
Dit is precies dat ik al een tijdje geleden zei,de Amerikaanse federale overheid en de EU moeten telco's en telefoonfabrikanten dwingen om updates te leveren,of google moet net als windows,blackberry en mac/i-phone de updates en upgrades zelf gaan regelen.

Laten we daarbij alle commercie uit het raam gooien en telefoons van 3 jaar oud updaten naar de laatste OS versies, zodat mensen geen nieuwe telefoons kopen....

Dat kun je dus mooi op je buik schrijven.
05-08-2015, 12:01 door Anoniem
Door Anoniem: Mischien moeten we massaal onze smartphones gaan terugbrengen naar de winkel/telecomprovider,want zeker als het toestel ionbruikbaar wordt door dit lek kan men stellen dat dit wanprodukten zijn,want niet veilig.Bovendien weigeren de smartphonefabrikanten en telco's om de patches te verstrekken.Dus keihard toestellen terugsturen en aankoop bedrag terug eisen.De smartphone-fabrikanten en telco's en wellicht google zelf hopen dat de klanten nu massaal de huidige toestellen in de kast leggen of in de vuinisbak deponeren en zometeen nieuwe android toestellen met android M erop zullen gaan aanschaffen,maar dat zijn wij toch niet van plan,of wel soms? Gewoon massaal androids terugsturen en geld terug eisen en dan maar een windows 10 phone,linux phone,i-phone of blackberry kopen en android voorlopig links laten liggen.

Nog beter is het om een tool te ontwikkelen die alle gevonden CVE's uitlijst en print. Dit docje kun je dan naast de 'phone' in kwestie op de toonbank leggen van je telco. Ik denk dan dat je erg sterk staat als dit binnen een acceptabel tijdspad gebeurt.
05-08-2015, 12:28 door Anoniem
.... waar heb ik mijn Nokia 3310 ook al weer gelaten ?
05-08-2015, 13:28 door Anoniem
Door Anoniem:

Laten we daarbij alle commercie uit het raam gooien en telefoons van 3 jaar oud updaten naar de laatste OS versies, zodat mensen geen nieuwe telefoons kopen....

Dat kun je dus mooi op je buik schrijven.

Het lijkt mij tijd voor een nieuw verdienmodel, waarbij je als telefooneigenaar tegen betaling een update voor je toestel kan krijgen. Dan kun je tenminste zelf de afweging maken of je een nieuwe koopt of dat je investeert in een update, en voor fabrikanten wordt het aantrekkelijker om die updates te maken.

Dit zou eigenlijk voor alles moeten gelden waar hardware en software duidelijk gescheiden zijn, zoals navi's maar ook auto's inmiddels. En nog mooier zou natuurlijk zijn als je als gebruiker zelf kan kiezen welk OS je op je telefoon wil, zoals dat bij PC's kan. Die slag hadden ze bij smartphones moeten maken, maar ja...

Ooit begonnen telefoons als doosjes en de fabrikanten als dozenschuivers.
Maar inmiddels zijn het meer PC's geworden met een hele rits aan software erop. Er moet gewoon iets veranderen in de hele opzet van de business of we moeten accepteren dat je je telefoon gewoon na een jaartje weggooit. Lijkt me zonde van het materiaal en bovendien wordt de tijd tot de volgende hack steeds korter.

Voor auto's geldt dat probleem nog veel meer, dat autofabrikanten geen zak van software afweten en dus van alles inkopen en niemand verantwoordelijk is voor de beveiliging van de software, of de updates. Maar bij auto's heb je al een systeem van onderhoudsbeurten en vervanging van onderdelen en APK, dus daar is misschien makkelijker een cyclus van software releases in te vlechten (mits iemand ze maakt...).

Maar zowel de wetgeving voor telefonie als de wetgeving voor voertuigen loopt daarvoor compleet achter.
05-08-2015, 18:29 door Anoniem
Is er geen enkele fabrikant die een telefoon kan maken die het 10 jaar doet en nooit een update nodig heeft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure