image

Beveiligingslekken in miljoenen Androidtoestellen ontdekt

maandag 8 augustus 2016, 00:01 door Redactie, 23 reacties

In miljoenen Androidtoestellen met Qualcomm-chips hebben onderzoekers vier kwetsbaarheden ontdekt waardoor aanvallers roottoegang kunnen krijgen en toestellen volledig kunnen overnemen. Volgens beveiligingsbedrijf Check Point, dat de problemen ontdekte (pdf), zijn 900 miljoen toestellen kwetsbaar.

De beveiligingslekken zijn aanwezig in de softwaredrivers van Qualcomm die met de chips van het bedrijf geleverd worden. Deze drivers, die de communicatie tussen de onderdelen van het toestel regelen, worden door fabrikanten zoals Samsung en LG aan hun Androidversie toegevoegd. De kwetsbaarheden zijn via een kwaadaardige app uit te buiten. Deze kwaadaardige app vereist echter geen speciale permissies om de beveiligingslekken aan te vallen.

In april van dit jaar werd Qualcomm over de problemen ingelicht en de chipfabrikant stuurde vervolgens beveiligingsupdates naar fabrikanten. Het is echter onduidelijk welke fabrikanten inmiddels beveiligingsupdates voor de problemen hebben uitgerold, als dat al het geval is. De cve-nummers waarmee de kwetsbaarheden worden aangeduid leveren namelijk amper hits op en zijn ook niet in de beveiligingsbulletins van Google terug te vinden.

Mochten de updates beschikbaar worden dan krijgen gebruikers het advies die zo snel als mogelijk te installeren. Check Point waarschuwt in het onderzoeksrapport voor de problematiek rondom het updaten van Androidtoestellen, waardoor sommige apparaten nooit updates zullen ontvangen en permanent kwetsbaar blijven.

Reacties (23)
08-08-2016, 06:54 door Anoniem
Tja, het vinden van het lek is mooi en dat er oplossingen zijn ook...
Het is alleen triest dat bijna geen enkel device de update kan ontvangen door het Android update problem.

Eigen eerder het leverancier en provider update problem... Die updaten de toestellen niet.
Android zelf zijn wel updates voor.


Hierdoor zal het lang een probleem blijven.
Erger nog, er worden nog toestellen (voornamelijk budget) in de winkels verkocht met Android 4.4, welke ook nooit een update gaan krijgen.
08-08-2016, 08:42 door Anoniem
Een windows gebruiker zou zeggen: zolang het werkt is het goed. TOCH?!?
08-08-2016, 09:10 door Anoniem
Nou, wat ik erger vind is dat deze 'bugs' (tenzij erin gezet door de NSA voor massa infectie mogelijkheden) in de software van Qualcomm gevonden zijn.
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.
08-08-2016, 10:18 door Anoniem
Lekker toch, blijf je steeds nieuwe toestellen kopen vanwege niet bestaande veiligheid. Denk je dat alle achterdeurtjes al gevonden zijn?!? Ze moesten die dingen gratis weggeven bij de NSA en equivalenten,, hoefde Big Brother nog minder moeite te doen. Cynische modus uit. Code apen leveren vanwege tijddruk en kosten aan in de vorm van "gereed voor gebruik", niet bug getest.
08-08-2016, 10:24 door Anoniem
helaas konstant problemen met android apparatuur. Wanneer gaan die megabedrijven eens samenwerken om tot een oplossing te komen. En zorgen dat oude android apparatuur update's krijgen. Er zijn miljoenen oude android apparaten op de markt. Snap er werklijk niets van. Mega groot probleem
08-08-2016, 10:55 door Anoniem
Is het ergens te bekijken of jou Android Qualcomm drivers gebruikt.
Ik heb zitten zoeken maar kom nergens iets tegen.
Ik heb zo'n Acer iconia One tablet Quad core 1,3 GHz.
Wel kernel-versie, verkoper van CPU, MTK blijkt dat te zijn maar iets over drivers kan ik niet vinden.
08-08-2016, 11:17 door Anoniem
Ubuntu op mijn smartie...
Draait perfect.
08-08-2016, 11:42 door Anoniem
Door Anoniem: Ubuntu op mijn smartie...
Draait perfect.
Haha beetje extreem, neem liever cyanogenmod!.
08-08-2016, 12:54 door Anoniem
Door Anoniem: Een windows gebruiker zou zeggen: zolang het werkt is het goed. TOCH?!?

Nee hoor, Windows gebruikers zijn gewend aan werkende updates, ook voor de mobiele variant. Dat geeft een veiliger gevoel dan een android, die of wel, of niet update.
08-08-2016, 13:03 door Anoniem
Door Anoniem: Is het ergens te bekijken of jou Android Qualcomm drivers gebruikt.
Ik heb zitten zoeken maar kom nergens iets tegen.
Ik heb zo'n Acer iconia One tablet Quad core 1,3 GHz.
Wel kernel-versie, verkoper van CPU, MTK blijkt dat te zijn maar iets over drivers kan ik niet vinden.
MTK staat waarschijnlijk voor MediaTeK, een producent van budget-chipsets voor mobiele apparatuur, dus da's geen Qualcomm. Maar voordat je je gelukkig prijst - ook MTK heeft veel lekken en gaten.

Gewoon een custom ROM gebruiken zodat in ieder geval de standaard meuk niet meer beschikbaar is en het beheer van machtigingen iets makkelijker wordt.
08-08-2016, 14:59 door Anoniem
Door Anoniem: helaas konstant problemen met android apparatuur. Wanneer gaan die megabedrijven eens samenwerken om tot een oplossing te komen. En zorgen dat oude android apparatuur update's krijgen. Er zijn miljoenen oude android apparaten op de markt. Snap er werklijk niets van. Mega groot probleem

Zodra consumenten daar duidelijke en harde eisen aan gaan stellen, ipv alles accepteren als je maar hot bent met je toestel?
08-08-2016, 15:28 door Anoniem
Door Anoniem: Nou, wat ik erger vind is dat deze 'bugs' (tenzij erin gezet door de NSA voor massa infectie mogelijkheden) in de software van Qualcomm gevonden zijn.
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.

Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?

http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html

In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.
08-08-2016, 18:15 door Anoniem
Door Anoniem:
Door Anoniem: Nou, wat ik erger vind is dat deze 'bugs' (tenzij erin gezet door de NSA voor massa infectie mogelijkheden) in de software van Qualcomm gevonden zijn.
Deze drivers zijn namelijk vrij in te zien en dat is bijvoorbeeld niet het geval bij de Nvidia, Exynos, Atom en nog erger, de A-Series van Apple.
En we weten allemaal hoe brak codemonkeys zijn als er niemand mee kan kijken.

Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?

http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html

In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.

Qualcomm is niet open source, en omdat er 1 bug/lek/backdoor zit in een stukje open source software wil niet zeggen dat er geen 600 in jouw closed-source hoopje ellende zit.
Ik weet in ieder geval zeker dat wanneer mensen mee (kunnen) kijken, mensen 'netter' werk afleveren.
Dat varieert van bagagemedewerkers die ineens tassen LEGGEN op de rolband ipv 4 meter afstand gooien tot code monkeys die code aan het kloppen zijn in New Delhi.
Dit ging puur om het feit dat software waar meer mensen naar kunnen kijken (alle hardware boeren) een bug/NSA backdoor heeft en dat het risico op zulke dingen in software naar niemand naar kan/mag kijken dus vele malen groter is.
Simpelweg omdat mensen die niet denken dat ze bekeken worden hele andere dingen doen... Doe daar nog maar eens over nadenken de eerst volgende keer dat je een hamburger eet in een drive...
08-08-2016, 18:28 door Anoniem
Ik heb twee toestellen, te weten een:
WiKo met android 6
Willyfox met cyanogenmod 13.

Beide toestellen ontvingen na aankoop beiden 1 update.
Dat was een maand geleden.

Daarna werden voor beide toestellen alleen de apen geupdate.

Ik vraag mij echt af of er ooit nog een update komt voor beide toestellen.
08-08-2016, 19:10 door karma4
Door Anoniem: 08:42 Een windows gebruiker zou zeggen: zolang het werkt is het goed. TOCH?!?
Door Anoniem: 11:17 Ubuntu op mijn smartie...
Draait perfect.
Prachtig die humor in de praktijk.
Met security gaat het er om:
- de gewenste functionaliteit niet te beschadigen.
Ja de gebruiker de "het werkt toch" zegt geeft een compliment als het een hardened omgeving is. Alleen wel jammer dat hij het verschil niet doorziet en niet kan doorzien. Hij zal het maar lastig vinden dat kostbare dichttimmeren
- onbedoelde functionaliteit onmogelijk te maken. Ja die was onbedoeld en als goed is niet gebruikt.
Helaas je kan niet alles weten/ Je weet niet wat je niet weet. Wat wordt er gemist?

Het gaat om kernel drivers geleverde door het handjevol fabrikanten dat nog bestaat. Een zeer grote kans dat die fouten op veel meer plaatsen zit dan nu bekend gemaakt is. Het bewijs leveren dat er niets fout op jouw toestel is, is vrijwel onmogelijk.
08-08-2016, 21:04 door Anoniem
Door Anoniem: helaas konstant problemen met android apparatuur. Wanneer gaan die megabedrijven eens samenwerken om tot een oplossing te komen. En zorgen dat oude android apparatuur update's krijgen. Er zijn miljoenen oude android apparaten op de markt. Snap er werklijk niets van. Mega groot probleem

Megabedrijven zijn primair bezig met winst maximalisatie. En dan al die after-sales poespas draagt daar gewoon negatief aan bij. Enige wat over blijft is gewoon dwingen met regelgeving. Mooi iets voor Europa, net als met de universele oplader.
08-08-2016, 21:10 door Anoniem
Security.nl zit ernaast. Volgens de bron zijn de volgende CVE's betrokken :

cve-2016-2059
cve-2016-2504
cve-2016-2503
cve-2016-5340

2504 zit in de update van augustus
2503 zit in de update van juli
5340 is nog niet gepatched
2059 kan ik niet vinden maar een check op mijn telefoon geeft aan dat hij niet kwetsbaar is.
08-08-2016, 22:30 door Anoniem
Er is maar 1 middel om voor updates te zorgen,dat is om alle Android toestellen te boycotten,dus niet meer te kopen. Evt. nog wel toestellen van Google zelf aan schaffen. De fabrikanten moeten inzien dat ze de updates moeten doorvoeren en/of Google moet inzien dat ze net als Microsoft met Windows doet zij de updates zelf moet gaan distribueren.
08-08-2016, 23:26 door Joep Lunaar
Door Anoniem:

Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.

Ach jee, weer een anonimus die denk logisch te kunnen redeneren. Wanneer het gevolg (consequentie) van een oorzaak (antecedent) in een implicatie (open source leidt tot betere programmatuur) niet waar is, betekent dat nog niet dat de implicatie onwaar is. (in formulevorm: als P => Q <==> ¬P V Q, onjuist is P => Q <==> ¬Q => ¬P)
09-08-2016, 10:44 door Anoniem
Ga er nu maar gewoon vanuit dat van apparatuur verbonden met het internet alles wat er mee wordt gedaan en alles waar die apparatuur toegang toe heeft kan worden misbruikt en pas je gedrag daarop aan.
Vervelend dat wel, maar veiliger dan welke updates of scanners dan ook.
09-08-2016, 20:28 door Anoniem
Door Anoniem: Er is maar 1 middel om voor updates te zorgen,dat is om alle Android toestellen te boycotten,dus niet meer te kopen. Evt. nog wel toestellen van Google zelf aan schaffen. De fabrikanten moeten inzien dat ze de updates moeten doorvoeren en/of Google moet inzien dat ze net als Microsoft met Windows doet zij de updates zelf moet gaan distribueren.

Ja idd neem de google rommel, privacy maakt toch niet meer uit. Gewoon updates verplicht stellen, is inherent aan het product. Net zoals wettelijk bepaalde garanties etc etc.

Bedrijfsleven heeft echt niet als eerste prioriteit het beste voor de kudde.
09-08-2016, 20:40 door Anoniem
Door Joep Lunaar:
Door Anoniem:

Ach jee, het 'many-eyes' sprookje van open source. Dat is nu al zo vaak onwaar bewezen, daar zijn we toch wel klaar mee?
http://www.infoworld.com/article/2689233/security/shellshock-proves-open-source-many-eyes-wrong.html
In alle code, open of closed, zitten (security) bugs. En alleen als mensen worden betaald, wordt er iets getest/opgelost.

Ach jee, weer een anonimus die denk logisch te kunnen redeneren. Wanneer het gevolg (consequentie) van een oorzaak (antecedent) in een implicatie (open source leidt tot betere programmatuur) niet waar is, betekent dat nog niet dat de implicatie onwaar is. (in formulevorm: als P => Q <==> ¬P V Q, onjuist is P => Q <==> ¬Q => ¬P)

:) er is MSCE logica!
15-08-2016, 11:43 door Leen_T
Door Anoniem:
Door Anoniem: Een windows gebruiker zou zeggen: zolang het werkt is het goed. TOCH?!?

Nee hoor, Windows gebruikers zijn gewend aan werkende updates, ook voor de mobiele variant. Dat geeft een veiliger gevoel dan een android, die of wel, of niet update.

HAHAHAHAHA. Windows and werkende updates. Google eens naar "windows update hangs at 99%" en scroll pagina na pagina na pagina...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.