Google dicht 95 beveiligingslekken in Android
Tijdens de eerste patchronde van het nieuwe jaar heeft Google 95 beveiligingslekken in Android verholpen, waarvan er 29 door de internetgigant als ernstig zijn aangemerkt. Via ernstige beveiligingslekken kan een aanvaller in het ergste geval het toestel op afstand overnemen.
Dit zou op verschillende manieren kunnen, waaronder het openen van een e-mail, het bezoeken van websites of het verwerken van mediabestanden die via mms worden verstuurd. De ernstige kwetsbaarheden bevinden zich in mediaserver, de kernel, verschillende onderdelen van Qualcomm en drivers van Nvidia, MediaTek en Qualcomm. Via de overige kwetsbaarheden was het mogelijk voor kwaadaardige apps om de rechten te verhogen, een denial of service te veroorzaken door het toestel te laten vastlopen of informatie te achterhalen waar de app eigenlijk geen toegang toe mag hebben.
Google is begonnen om de updates voor Nexus- en Pixel-toestellen uit te rollen. Wanneer andere fabrikanten dit doen is onbekend. Onlangs bleek uit cijfers van CVE-Details dat vorig jaar in Android de meeste beveiligingslekken werden gerapporteerd, namelijk 523 in totaal.
Rechtstreeks een gevolg van eigen implementaties van ooit open source...waarbij voor security maintenance het wiel moet worden worden uitgevonden per implementatie.
Rechtstreeks een gevolg van eigen implementaties van ooit open source...waarbij voor security maintenance het wiel moet worden worden uitgevonden per implementatie.
Dit heeft te maken met het eigenaarschap van Android.
Android is inderdaad open-source en hierbij is het inderdaad zo dat de implementatie van het update systeem afhangt van de Android fork.
Wordpress is ook een open-source project, maar deze beheert updates zelf. Dit is geen probleem omdat het gebruik van forks niet zo populair is.
Men kan een update systeem in stock Android inbouwen, maar deze zou dan via Google lopen en dan schreeuwt men moord en brand m.b.t. privacy.
Een oplossing zou een open-source update component zijn, maar fabrikanten zullen deze aanvullen met onzin gezien ze dit ook doen met stock Android.
Het zou mij niet onwaarschijnlijk lijken dat Samsung dan het back-up proces ermee integreert. Dit is niet per definitie slecht maar het wordt bloat.
Oplossing zou zijn het loslaten van Android door Google, deze onder te brengen in een onafhankelijke stichting, maar dit zal (denk ik) nooit gebeuren.
Met een onafhankelijk organisatie is privacy een minder groot issue en zouden security updates via een apart proces kunnen lopen dat sneller distribueert dan de herimplementaties van alle grote fabrikant-specifieke versies.
Just my 2 cents.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
