Google brengt Android-update uit voor KRACK-attack op WPA2
Google heeft een beveiligingsupdate voor Android uitgebracht die de KRACK-attack op WPA en WPA2 en andere kwetsbaarheden in het besturingssysteem verhelpt. In totaal heeft Google via het Security Bulletin van november 32 beveiligingslekken in Android gepatcht, waarvan er negen als ernstig zijn aangemerkt.
Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle. De ernstige kwetsbaarheden bevinden zich in het Media framework, system en de wifi-componenten van chipfabrikant Qualcomm. Verder zijn negen beveiligingslekken opgelost die onderdeel van de KRACK-attack uitmaken. Via deze aanval kan een aanvaller via WPA- en WPA2-beveiligd verkeer ontsleutelen en manipuleren. Met name systemen die op Android 6 en nieuwer draaien lopen volgens de Belgische ontdekker van de KRACK-attack, Mathy Vanhoef, veel risico.
Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat in totaal om 56 kwetsbaarheden die boven op de beveiligingslekken van het Android Security Bulletin komen. Het grootste deel van de kwetsbaarheden is aanwezig in onderdelen van chipfabrikant Qualcomm. Google stelt dat het aan andere fabrikanten is om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2017-11-01' of '2017-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google de afgelopen maand over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.
Telefoons die NU is de winkel verkocht worden horen vandaag of hooguit over 2 weken de patch te ontvangen.
Name-and-shame, benoem gewoon die waardeloze Android leveranciers! Crimineel gedrag!
De huidige digitale ontwikkeling is de grootste bedreiging en ideology die ons allen gijzelt.
The Matrix
Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet
Het probleem zit hem niet in Android. Google brengt gewoon de updates uit, net als Microsoft dat doet voor Windows. Het is aan de leverancier van de telefoon om ook daadwerkelijk de updates te pushen naar 'hun' telefoons. Google doet dit alleen voor haar eigen telefoons. Dat dit beter kan ben ik met je eens. Het liefst zou ik zien dat Google dit afdwingt maar dan ga je ook alweer gauw richting het gesloten systeem van Apple waar ook weer een aversie tegen bestaat.
Mee eens, echter mag ook genoemd worden dat Apple dit ook goed doet. (Ook al ben ik hier geen fan van).
Android brengt je eigenlijk terug naar het Windows 95/98 tijdeperk waar de updates ook nog niet goed geregeld waren.
Ook waar alles open was en alles geinstalleerd kon worden, oftewel baas van je eigen OS.
Behalve dan iets modernere GUI.
Maar zal eerlijk zijn, het is eigenlijk niet Android, want Google update dit wel, maar de leverancier schakel moet er eigenlijk tussen uit. (of zelfs de telefom provider schakel die soms ook nog invloed op als telefoon branded is geworden).
Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet
Klopt, maar gezien de hoge prijs van de iPhone zal deze ook wel langer mee moeten gaan dan de gemiddelde Android telefoon.
Google zelf doet het ook niet slecht maar de fabrikanten die een shell om Android heen bouwen wel.
Zelf heb ik een Motorola Moto E2 die ook al geen updates meer krijgt maar het toestel kostte dan ook maar 100 euro.
Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet
Klopt, maar gezien de hoge prijs van de iPhone zal deze ook wel langer mee moeten gaan dan de gemiddelde Android telefoon.
Google zelf doet het ook niet slecht maar de fabrikanten die een shell om Android heen bouwen wel.
Zelf heb ik een Motorola Moto E2 die ook al geen updates meer krijgt maar het toestel kostte dan ook maar 100 euro.
Kijk even naar de vergelijkbare toestellen van b.v. samsung. Die zijn qua prijs ook vergelijkbaar ;)
Je zegt Google leest u even mee? is het een telefoon van Google of van een andere fabrikant?
Wat voor telefoon is het? al eens gekeken naar custom roms?
Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.
Ik heb zelf een Nexus 5x van alweer 2.5 jaar oud en ik draai nu de updates van 5-11-2017 op Android 8. Het lijkt er dus gewoon op dat als je bij wilt zijn en vrij lang wilt blijven dat je dus een Google smartphone moet aanschaffen.
Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.
Ik heb zelf een Nexus 5x van alweer 2.5 jaar oud en ik draai nu de updates van 5-11-2017 op Android 8. Het lijkt er dus gewoon op dat als je bij wilt zijn en vrij lang wilt blijven dat je dus een Google smartphone moet aanschaffen.
En die zijn helaas net zo duur als de iPhone. Niet iedereen kan dat betalen of heeft het er voor over.
Als ik een software update garantie zou krijgen van Apple (in jaren) dan zou ik de iPhone SE nog overwegen nu hij wat goedkoper is geworden. Maar ook bij Apple houd het updaten na een aantal jaar op, ook al gaat het beter dan bij de Android klonen.
Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.
Ik heb een Samsung Galaxy Note 3 en daar staat nu Android 7.1.2 op (Lineage OS 14.1) en binnenkort waarschijnlijk Android 8 (Lineage OS 15). Samsung maakt het gelukkig erg gemakkelijk om een custom ROM op je telefoon te installeren.
Helaas is dat voor de gewone gebruiker niet weggelegd wegens een te gecompliceerde installatie procedure. Vergelijk het met Linux vroeger, nu zijn populaire Linux distro's net zo makkelijk te installeren als MS Windows.
https://blog.iusmentis.com/2017/10/23/claimen-telefoon-wpa2-kwetsbaarheid/
[...] Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW.
[...] Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.
[...] Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.
[...] Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. [...] Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.
Of we moeten even afwachten:
https://www.consumentenbond.nl/nieuws/2017/98-android-telefoons-draait-nog-op-oude-versie
https://www.consumentenbond.nl/nieuws/2016/bodemprocedure-tegen-samsung-van-start
De Consumentenbond wil dat fabrikanten hun smartphones minimaal 2 jaar na aankoop voorzien van veiligheid- en versie-updates en voert een bodemprocedure tegen Samsung hierover. Op 26 maart 2018 vindt de zitting van deze rechtszaak plaats.
Zoals ik hierboven al zei, het niet updaten van telefoons die nu in de winkel verkocht worden is gewoon crimineel gedrag.
Eens kijken op de bodemprocedure ons iets aan jurisprudentie gaat brengen, welke verantwoordelijkheid de fabrikant daar heeft en welke de verkopende winkel.
Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet
Tja, kreeg ook drie jaar op mijn ipad 2 destijds. Kan dit niet echt goed noemen op een device van ruim 600 euro....
Telefoons die NU is de winkel verkocht worden horen vandaag of hooguit over 2 weken de patch te ontvangen.
Name-and-shame, benoem gewoon die waardeloze Android leveranciers! Crimineel gedrag!
Even for the record, 7.1.2 November patch uitgebracht op 19 November:
https://twitter.com/Wileyfox/status/932974339540029440
Keurig toch? Naast Google zelf, wie doet dat na?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
