image

Google brengt Android-update uit voor KRACK-attack op WPA2

dinsdag 7 november 2017, 16:59 door Redactie, 24 reacties

Google heeft een beveiligingsupdate voor Android uitgebracht die de KRACK-attack op WPA en WPA2 en andere kwetsbaarheden in het besturingssysteem verhelpt. In totaal heeft Google via het Security Bulletin van november 32 beveiligingslekken in Android gepatcht, waarvan er negen als ernstig zijn aangemerkt.

Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle. De ernstige kwetsbaarheden bevinden zich in het Media framework, system en de wifi-componenten van chipfabrikant Qualcomm. Verder zijn negen beveiligingslekken opgelost die onderdeel van de KRACK-attack uitmaken. Via deze aanval kan een aanvaller via WPA- en WPA2-beveiligd verkeer ontsleutelen en manipuleren. Met name systemen die op Android 6 en nieuwer draaien lopen volgens de Belgische ontdekker van de KRACK-attack, Mathy Vanhoef, veel risico.

Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat in totaal om 56 kwetsbaarheden die boven op de beveiligingslekken van het Android Security Bulletin komen. Het grootste deel van de kwetsbaarheden is aanwezig in onderdelen van chipfabrikant Qualcomm. Google stelt dat het aan andere fabrikanten is om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2017-11-01' of '2017-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.

Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google de afgelopen maand over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.

Reacties (24)
07-11-2017, 18:04 door Anoniem
Dus de meeste mensen zijn veilig als ze hun telefoon vervangen over een jaar tot drie jaar ;)
07-11-2017, 18:11 door abj61
Ben alleen bang dat gebruikers van Motorola telefoons en Lenovo Pro tablets alweer buiten de boot vallen
07-11-2017, 19:47 door Password1234
Niet patchen door leveranciers is gewoon niet acceptabel.
Telefoons die NU is de winkel verkocht worden horen vandaag of hooguit over 2 weken de patch te ontvangen.

Name-and-shame, benoem gewoon die waardeloze Android leveranciers! Crimineel gedrag!
07-11-2017, 20:34 door Anoniem
De mechanisch analoge wereld,ik mis het steeds meer.

De huidige digitale ontwikkeling is de grootste bedreiging en ideology die ons allen gijzelt.

The Matrix
07-11-2017, 20:55 door Anoniem
Ben bang dat de Note 4 deze ook niet meer gaat krijgen.
07-11-2017, 21:20 door Anoniem
Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?
07-11-2017, 21:42 door Anoniem
Tja,anders moet je moeilijk de telefoon rooten en met kale android installeren,maar dat is moeilijker,dan een firmware op een router plaatsen of een service update bij een computer OS.
08-11-2017, 01:11 door Anoniem
Sommige toestellen worden niet meer met updates van de fabrikant ondersteund
Hoezo sommige? 9 jaar geleden kwam Android op de markt en sinds die tijd zijn er honderden verschillende apparaten op de markt gebracht. De meeste fabrikanten hebben in de eerste paar jaar nauwelijks updates uitgegeven voor die apparaten en nog steeds leveren de meeste fabrikanten maar gedurende enkele tientallen maanden updates als ze dat al doen. Dan gaat het dus niet om sommige toestellen die niet meer ondersteuning hebben.
08-11-2017, 09:09 door Anoniem
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet
08-11-2017, 09:29 door Anoniem
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Het probleem zit hem niet in Android. Google brengt gewoon de updates uit, net als Microsoft dat doet voor Windows. Het is aan de leverancier van de telefoon om ook daadwerkelijk de updates te pushen naar 'hun' telefoons. Google doet dit alleen voor haar eigen telefoons. Dat dit beter kan ben ik met je eens. Het liefst zou ik zien dat Google dit afdwingt maar dan ga je ook alweer gauw richting het gesloten systeem van Apple waar ook weer een aversie tegen bestaat.
08-11-2017, 09:29 door Anoniem
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Mee eens, echter mag ook genoemd worden dat Apple dit ook goed doet. (Ook al ben ik hier geen fan van).

Android brengt je eigenlijk terug naar het Windows 95/98 tijdeperk waar de updates ook nog niet goed geregeld waren.
Ook waar alles open was en alles geinstalleerd kon worden, oftewel baas van je eigen OS.
Behalve dan iets modernere GUI.
Maar zal eerlijk zijn, het is eigenlijk niet Android, want Google update dit wel, maar de leverancier schakel moet er eigenlijk tussen uit. (of zelfs de telefom provider schakel die soms ook nog invloed op als telefoon branded is geworden).
08-11-2017, 09:56 door Anoniem
Door Anoniem:
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet

Klopt, maar gezien de hoge prijs van de iPhone zal deze ook wel langer mee moeten gaan dan de gemiddelde Android telefoon.
Google zelf doet het ook niet slecht maar de fabrikanten die een shell om Android heen bouwen wel.
Zelf heb ik een Motorola Moto E2 die ook al geen updates meer krijgt maar het toestel kostte dan ook maar 100 euro.
08-11-2017, 10:21 door Anoniem
Ik heb een Android smartphone 1 jaar geleden gekocht, maar (Google leest u even mee?) het is wel de laatste die ik ooit gekocht heb! Patch-datum is van zomer 2016 en alles wat daarna gekomen is werd door de fabrikant niet uitgegeven. En als ze dáár denken dat ik wel een nieuwe koop om te upgraden, dan vergissen zij zich toch behoorlijk!
08-11-2017, 11:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet

Klopt, maar gezien de hoge prijs van de iPhone zal deze ook wel langer mee moeten gaan dan de gemiddelde Android telefoon.
Google zelf doet het ook niet slecht maar de fabrikanten die een shell om Android heen bouwen wel.
Zelf heb ik een Motorola Moto E2 die ook al geen updates meer krijgt maar het toestel kostte dan ook maar 100 euro.

Kijk even naar de vergelijkbare toestellen van b.v. samsung. Die zijn qua prijs ook vergelijkbaar ;)
08-11-2017, 11:11 door Anoniem
Door Anoniem: Ik heb een Android smartphone 1 jaar geleden gekocht, maar (Google leest u even mee?) het is wel de laatste die ik ooit gekocht heb! Patch-datum is van zomer 2016 en alles wat daarna gekomen is werd door de fabrikant niet uitgegeven. En als ze dáár denken dat ik wel een nieuwe koop om te upgraden, dan vergissen zij zich toch behoorlijk!

Je zegt Google leest u even mee? is het een telefoon van Google of van een andere fabrikant?

Wat voor telefoon is het? al eens gekeken naar custom roms?
08-11-2017, 12:03 door Anoniem
Door Anoniem: Ik heb een Android smartphone 1 jaar geleden gekocht, maar (Google leest u even mee?) het is wel de laatste die ik ooit gekocht heb! Patch-datum is van zomer 2016 en alles wat daarna gekomen is werd door de fabrikant niet uitgegeven. En als ze dáár denken dat ik wel een nieuwe koop om te upgraden, dan vergissen zij zich toch behoorlijk!

Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.

Ik heb zelf een Nexus 5x van alweer 2.5 jaar oud en ik draai nu de updates van 5-11-2017 op Android 8. Het lijkt er dus gewoon op dat als je bij wilt zijn en vrij lang wilt blijven dat je dus een Google smartphone moet aanschaffen.
08-11-2017, 12:05 door Anoniem
Conclusie: Koop, als je nog kunt, een Windows Phone en blijf veilig en geüpdatet je apparaat nog jaren lang gebruiken.
08-11-2017, 12:59 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb een Android smartphone 1 jaar geleden gekocht, maar (Google leest u even mee?) het is wel de laatste die ik ooit gekocht heb! Patch-datum is van zomer 2016 en alles wat daarna gekomen is werd door de fabrikant niet uitgegeven. En als ze dáár denken dat ik wel een nieuwe koop om te upgraden, dan vergissen zij zich toch behoorlijk!

Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.

Ik heb zelf een Nexus 5x van alweer 2.5 jaar oud en ik draai nu de updates van 5-11-2017 op Android 8. Het lijkt er dus gewoon op dat als je bij wilt zijn en vrij lang wilt blijven dat je dus een Google smartphone moet aanschaffen.

En die zijn helaas net zo duur als de iPhone. Niet iedereen kan dat betalen of heeft het er voor over.
Als ik een software update garantie zou krijgen van Apple (in jaren) dan zou ik de iPhone SE nog overwegen nu hij wat goedkoper is geworden. Maar ook bij Apple houd het updaten na een aantal jaar op, ook al gaat het beter dan bij de Android klonen.
08-11-2017, 13:54 door [Account Verwijderd] - Bijgewerkt: 08-11-2017, 13:54
[Verwijderd]
08-11-2017, 14:35 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Anoniem: Ik heb een Android smartphone 1 jaar geleden gekocht, ...

Je hebt geen Android smartphone gekocht, maar een LG of een Samsung of een Motorola smartphone. En die leverancier heeft ervoor gekozen om geen updates meer uit te brengen. Niet Google, niet Android.

Ik heb een Samsung Galaxy Note 3 en daar staat nu Android 7.1.2 op (Lineage OS 14.1) en binnenkort waarschijnlijk Android 8 (Lineage OS 15). Samsung maakt het gelukkig erg gemakkelijk om een custom ROM op je telefoon te installeren.

Helaas is dat voor de gewone gebruiker niet weggelegd wegens een te gecompliceerde installatie procedure. Vergelijk het met Linux vroeger, nu zijn populaire Linux distro's net zo makkelijk te installeren als MS Windows.
08-11-2017, 17:28 door Password1234
Arnoud Engelfriet schrijft hier:
https://blog.iusmentis.com/2017/10/23/claimen-telefoon-wpa2-kwetsbaarheid/


[...] Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW.
[...] Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.
[...] Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.
[...] Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. [...] Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Of we moeten even afwachten:
https://www.consumentenbond.nl/nieuws/2017/98-android-telefoons-draait-nog-op-oude-versie
https://www.consumentenbond.nl/nieuws/2016/bodemprocedure-tegen-samsung-van-start


De Consumentenbond wil dat fabrikanten hun smartphones minimaal 2 jaar na aankoop voorzien van veiligheid- en versie-updates en voert een bodemprocedure tegen Samsung hierover. Op 26 maart 2018 vindt de zitting van deze rechtszaak plaats.

Zoals ik hierboven al zei, het niet updaten van telefoons die nu in de winkel verkocht worden is gewoon crimineel gedrag.
Eens kijken op de bodemprocedure ons iets aan jurisprudentie gaat brengen, welke verantwoordelijkheid de fabrikant daar heeft en welke de verkopende winkel.
08-11-2017, 17:28 door Password1234
[Verwijderd]
08-11-2017, 20:52 door Anoniem
Door Anoniem:
Door Anoniem: Leuk om te lezen over updates die je ooit op een nieuw toestel krijgt. Zeer slecht en een hele achteruitgang met vergelijking van Windows die wel alle computers, tablets, en smartphones updaten ondanks er met de smartphones gestopt wordt. Android geeft ondersteuning tot de deur. Echt een vooruitgang dat Android. Welke vrijheid en meerwaarde biedt het nu dan?

Men klaagt nu wel zo veel op apple, maar met een x aantal jaar aan updates doen ze het zo slecht nog niet

Tja, kreeg ook drie jaar op mijn ipad 2 destijds. Kan dit niet echt goed noemen op een device van ruim 600 euro....
22-11-2017, 21:59 door Anoniem
Door Password1234: Niet patchen door leveranciers is gewoon niet acceptabel.
Telefoons die NU is de winkel verkocht worden horen vandaag of hooguit over 2 weken de patch te ontvangen.

Name-and-shame, benoem gewoon die waardeloze Android leveranciers! Crimineel gedrag!

Even for the record, 7.1.2 November patch uitgebracht op 19 November:
https://twitter.com/Wileyfox/status/932974339540029440
Keurig toch? Naast Google zelf, wie doet dat na?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.