image

Google brengt noodpatch uit voor ernstig Android-lek

zaterdag 19 maart 2016, 17:01 door Redactie, 16 reacties

Google heeft buiten de maandelijkse patchcyclus om een ernstig beveiligingslek in Android gepatcht, zo heeft het bedrijf via de Android Security Updates group bekendgemaakt. Het gaat om een kwetsbaarheid in de Android-kernel waardoor een kwaadaardige applicatie rootrechten kan krijgen.

Een applicatie die hier misbruik van maakt is door beveiligingsbedrijf Zimperium ontdekt, dat vervolgens Google waarschuwde. Volgens Google gaat het om een bekende kwetsbaarheid in de Linux-kernel, die vorig jaar februari werd gepatcht. Vorige maand werd echter duidelijk dat het beveiligingslek ook in Android kan worden aangevallen, waarop Google een beveiligingsupdate ontwikkelde. Die update zou tijdens één van de geplande maandelijkse patchrondes worden uitgerold.

Begin maart werd echter duidelijk dat er een applicatie was die de kwetsbaarheid gebruikte om een Nexus 5-toestel te rooten. Hiervoor is het wel vereist dat de gebruiker eerst zelf een dergelijke applicatie installeert. Doordat de kwetsbaarheid het mogelijk maakt voor een app om rootrechten te krijgen en het mogelijk is om vervolgens willekeurige code uit te voeren en zo het toestel permanent te compromitteren, heeft Google het lek als ernstig bestempeld en nu een noodpatch uitgerold.

Om gebruikers te beschermen is de Verify Apps-beveiliging van Android geüpdatet, zodat bij Google bekende apps die misbruik van het lek proberen te maken worden geblokkeerd. Het gaat dan om apps van zowel Google Play als daarbuiten. De beveiligingsupdate om de kwetsbaarheid te verhelpen wordt nu uitgerold onder Nexus-toestellen. Wanneer andere fabrikanten de update onder hun gebruikers uitrollen is onbekend. De kwetsbaarheid is aanwezig in alle ongepatchte Android-apparaten met kernelversies 3.4, 3.10 en 3.14. Android-toestellen met kernelversie 3.18 of nieuwer zijn niet kwetsbaar.

Reacties (16)
19-03-2016, 19:42 door Anoniem
Ik zit hier zo met mijn budged toestel, android 4.4.2, al 2 jaar 0 updates, en zal niet komen ook. Kan niet wachten totdat ik genoeg geld heb gespaart voor de Google LG Nexus 5X.
19-03-2016, 20:20 door Anoniem
Hier een echte Nexus 7 maar nog steeds op 4.4 want het werkt goed nu en dat moet ik maar afwachten bij een hogere versie van Android.
19-03-2016, 20:35 door Anoniem
Ook al ben ik zelf geen apple fan dit is toch een reden om ervoor te kiezen, het update beleid.
De fabrikanten hebben enkel focus op de nieuwe toestellen.
Ik denk dat het een echte meerwaarde zou kunnen zijn als een fabrikant bij aankoop gewoon de garantie geeft dat je 4 of 5 jaar alle veiligheidsupdates krijgt binnen een redelijke tijd.
19-03-2016, 21:08 door Reinder
Om gebruikers te beschermen is de Verify Apps-beveiliging van Android geüpdatet

Heel raar, ik las daar even "Om te voorkomen dat gebruikers een app installeren waarmee ze hun toestel kunnen rooten zodat ze de advertentiesoftware en andere crap kunnen verwijderen, wat google niet wil omdat hun business daarop gebaseerd is, is de Verify Apps-beveiliging van Android geupdate".
19-03-2016, 21:32 door Anoniem
Door Anoniem: Ik zit hier zo met mijn budged toestel, android 4.4.2, al 2 jaar 0 updates, en zal niet komen ook. Kan niet wachten totdat ik genoeg geld heb gespaart voor de Google LG Nexus 5X.

Misschien beter iets dat cyanogenmod ondesteund
20-03-2016, 08:27 door Anoniem
Ik ben ook niet bepaald een Apple fan, in tegendeel maar ik denk dat het voor de toekomst van Android van belang is dat de fabrikanten het mogelijk maken sneller te updaten. Ik durf geen telebankieren app meer te gebruiken op Android.
Misschien toch maar weet van mijn Samsung Tab naar een iPad..
20-03-2016, 11:01 door Anoniem
Mijn iPad wil niet verder dan IOS5 wat ik ook probeer. Cyanogenmod zou leuk zijn voor mijn S2, helaas geeft Samsung niet de noodzakelijke software vrij, dus geen Samsung meer voor mij.

Het is echt niet gemakkelijk om de devices veilig te houden als de fabrikanten ons willen doen geloven. Het beste is om de 'hoofd'computer goed te gebruiken en geen rare dingen te doen en liever een keer niet te klikken op die uitnodigde knop.
20-03-2016, 12:45 door Anoniem
het update beleid is 1 ding. maar dat is niet enkel aan google te wijten. bedrijven als samsung en lg zouden niet overal hun eigen stempel op moeten drukken met custom roms en gui. Als je dat achterwegen laat kun je een update sneller uitrollen.
20-03-2016, 16:09 door Anoniem
Voor mij geen smartphone (= spionage-volg-apparaat). Ik doe het nog steeds met mijn Nokia, model 1600.
Alleen bellen en sms-en is voldoende.
20-03-2016, 20:59 door Anoniem
Door Anoniem: Voor mij geen smartphone (= spionage-volg-apparaat). Ik doe het nog steeds met mijn Nokia, model 1600.
Alleen bellen en sms-en is voldoende.
Niet vergeten het toestel uit te zetten.. hij meldt zich bij iedere paal...je bent gespot voor je het weet.
21-03-2016, 10:57 door Anoniem
Door Anoniem:
Door Anoniem: Voor mij geen smartphone (= spionage-volg-apparaat). Ik doe het nog steeds met mijn Nokia, model 1600.
Alleen bellen en sms-en is voldoende.
Niet vergeten het toestel uit te zetten.. hij meldt zich bij iedere paal...je bent gespot voor je het weet.

Er zijn mooie hoesjes voor om hem in te bewaren, die alle signalen tegenhouden.
Enige nadeel is dat SMS en GSM zo lek als een mandje zijn voor communicatie, maar omdat niemand het meer gebruikt, zal ook niemand het willen onderscheppen. :)
Pas als de 900 en 1800Mhz netwerken uitgaan hebben we een probleempje...
21-03-2016, 12:01 door Anoniem
Ik denk er, juist vanwege dit belabberde update beleid van de leveranciers van android smartphones, sterk aan om binnenkort over te gaan op een Ubuntu smartphone (ondanks dat deze nog wat minder mogelijlheden hebben).
21-03-2016, 12:14 door Tubamaniak
Hier een 6310i voor het gemak van gebruik. Carkit aangesloten op car audio.
Voordelen : je telefoon wordt geladen zonder allerlei extra rommelige kabels, je kunt ellenlang bellen zonder dat je telefoon leeg raakt, ontvangst met een externe antenne is véél beter tijdens de autorit, geen gestuntel met blue-tooth instellingen. Lange standby tijd van het toestel. Nog steeds refurbished te koop. Nog steeds voldoende reserve onderdelen beschikbaar. Bellen en sms-en. Wordt niet gehacked, want geen internetconnectie, geen nfc, geen virus of malware infecties. Geen onverwachte kosten door internetgebruik "onder water". Werkt over de hele wereld door geschiktheid voor 4 frequentiebanden.
Nadelen : alleen bellen en sms-en mogelijk. Voor alle andere "shit" een tablet nodig of een navi of .....
21-03-2016, 13:02 door GeminiAlpha
Mijn budget toestel van Motorola, of is het Lenovo, weet nog van niks, maar staat al sedert aug 2015 op de rol voor de stagefright update. Dat gebeurt niet, dus in deze mededeling van Google heb ik ook al geen vertrouwen.
21-03-2016, 17:58 door Anoniem
Door Anoniem:
Door Anoniem: Ik zit hier zo met mijn budged toestel, android 4.4.2, al 2 jaar 0 updates, en zal niet komen ook. Kan niet wachten totdat ik genoeg geld heb gespaart voor de Google LG Nexus 5X.

Misschien beter iets dat cyanogenmod ondesteund
Het kan zijn dat ingelogde mails voorop in gelogd":zijn op de applicatie playstore winkel het erstig vertraagd zijn:;,..doodat de account waar meest de beveilegingvan een de account meest werkings lecentienties.(,..;
(#/.de beveiligings maatschappeij dat in dat geval een greep maakt aan de funkties die zijn aangepast op een profiel van account van de hun clienteten.de clienten hebben hun profiel af bewerk op hun geabboneerde voor hoog gerang-geschikte account dat ook dienst baar is voor beveiliging.
als er in gelogd is met TWÉÉ account is verstandig om gmail. googelwinkel
om de juiste email-account in te stellen ;,zodat beveiliging zich actief stelt de voor de apliccaties die zijn geïnstaleerd.
22-03-2016, 06:12 door Anoniem
lol:
'gaat het om een bekende kwetsbaarheid in de Linux-kernel, die vorig jaar februari werd gepatcht. Vorige maand werd echter duidelijk dat het beveiligingslek ook in Android kan worden aangevallen'

alsof het ze verbaasd dat een lek gebruikt wordt? hoesnel gaat dat normaal ongeveer met flash lekken? de dag na de aankondiging mee ik mij te herrinneren?

dus na een jaar een noodpatch dat is geweldig voor de malicious apps.. echt google lijkt echt nog zwaar in de kinderschoenen te staan betreft security updates, don't bite off more than you can chew..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.