image

Google dicht 85 beveiligingslekken in Android

woensdag 3 januari 2018, 15:31 door Redactie, 18 reacties

Google is 2018 begonnen met beveiligingsupdates voor het Android-besturingssysteem die in totaal 85 kwetsbaarheden verhelpen. Het Android Security Bulletin van januari verhelpt 39 kwetsbaarheden, waarvan er 5 als ernstig zijn aangemerkt.

Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code op het toestel uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle. De ernstige kwetsbaarheden bevinden zich in het Media-framework, System en onderdelen van chipfabrikant Qualcomm. Volgens Google zijn er geen meldingen dat er misbruik is gemaakt van de kwetsbaarheden.

Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat in totaal om 46 kwetsbaarheden die boven op de beveiligingslekken van het Android Security Bulletin komen. Geen van de beveiligingslekken is als ernstig aangemerkt. Het grootste deel van de kwetsbaarheden is aanwezig in het Media-framework en onderdelen van Qualcomm. Google stelt dat het aan andere fabrikanten is om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2018-01-01' of '2018-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.

Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit. Onlangs bleek uit cijfers van CVE-Details dat vorig jaar in Android de meeste kwetsbaarheden werden gerapporteerd. Het ging in totaal om 847 beveiligingslekken.

Reacties (18)
03-01-2018, 15:53 door Anoniem
Momenteel 3-1-2018, 15:50 heeft mijn Pixel XL (1) updates t/m 5 december 2017 en is er geen nieuwe update beschikbaar.
03-01-2018, 16:44 door Anoniem
Door Anoniem: Momenteel 3-1-2018, 15:50 heeft mijn Pixel XL (1) updates t/m 5 december 2017 en is er geen nieuwe update beschikbaar.

Miscchien zelf actie ondernemen?
Niet alles gaat automatisch
03-01-2018, 17:49 door -karma4 - Bijgewerkt: 03-01-2018, 17:51
Door Anoniem: Momenteel 3-1-2018, 15:50 heeft mijn Pixel XL (1) updates t/m 5 december 2017 en is er geen nieuwe update beschikbaar.

Mijn Lineage OS 14.1 heeft ook nog Android security patch level 5 december 2017. Het zal toch niet gebeuren dat mijn telefoon met Lineage OS sneller up to date is dan jouw Pixel? Spannend!

JAWEL! Er is een Lineage OS update! Nu nog zien of dat nieuwe patchlevel daar al in zit. Iets te vroeg denk ik maar we zullen zien.
03-01-2018, 18:58 door Anoniem
Ben aan een nieuwe Android telefoon toe. Iemand ervaring met het update beleid van Nokia? Ik heb ergens gelezen dat ze beloven alle huidige modellen t/m Android 9 (P) te blijven ondersteunen met updates.
03-01-2018, 19:38 door -karma4
Door The FOSS: Er is een Lineage OS update! Nu nog zien of dat nieuwe patchlevel daar al in zit. Iets te vroeg denk ik maar we zullen zien.

Nope... Waarschijnlijk de volgende update pas.
03-01-2018, 19:49 door Anoniem
Door The FOSS:
Door Anoniem: Momenteel 3-1-2018, 15:50 heeft mijn Pixel XL (1) updates t/m 5 december 2017 en is er geen nieuwe update beschikbaar.

Mijn Lineage OS 14.1 heeft ook nog Android security patch level 5 december 2017. Het zal toch niet gebeuren dat mijn telefoon met Lineage OS sneller up to date is dan jouw Pixel? Spannend!

JAWEL! Er is een Lineage OS update! Nu nog zien of dat nieuwe patchlevel daar al in zit. Iets te vroeg denk ik maar we zullen zien.

LineageOS is niet zo relevant kwa updates omdat firmware geen updates krijgt voor telefoons die al EOL zijn.
Dus dan kan je wel nieuwste security patch level hebben maar waarschijnlijk nog steeds kwetsbaar voor paar vulns.
Zelf niet heel fan van LineageOS want het is toch vaak slechte code en nogal dubieuze manier van security issues patchen.


Google rolt de updates binnen 1 week voor iedereen uit dit heeft meer met load balancing te maken waarschijnlijk dan iets anders :)
03-01-2018, 19:49 door Anoniem
Door Anoniem: Ben aan een nieuwe Android telefoon toe. Iemand ervaring met het update beleid van Nokia? Ik heb ergens gelezen dat ze beloven alle huidige modellen t/m Android 9 (P) te blijven ondersteunen met updates.

Mijn moeder heeft een Nokia 3 die keurig iedere maand een security-patch krijgt.
tot nu toe erg tevreden over Nokia :)
03-01-2018, 21:26 door -karma4 - Bijgewerkt: 03-01-2018, 21:27
Door Anoniem: LineageOS is niet zo relevant kwa updates omdat firmware geen updates krijgt voor telefoons die al EOL zijn.
Dus dan kan je wel nieuwste security patch level hebben maar waarschijnlijk nog steeds kwetsbaar voor paar vulns.

Je spreekt niet uit eigen ervaring? Mijn Samsung telefoon uit 2013 is zeker EOL maar draait met Lineage OS 14.1 gewoon wel Android 7.1.2! Helemaal up to date dus, firmware én security patch level.
03-01-2018, 22:12 door Vixen
Door Anoniem:
Door Anoniem: Momenteel 3-1-2018, 15:50 heeft mijn Pixel XL (1) updates t/m 5 december 2017 en is er geen nieuwe update beschikbaar.

Miscchien zelf actie ondernemen?
Niet alles gaat automatisch

Jawel, er komt vanzelf een melding in de komende weken.
Updates worden gefaseerd uitgerold ter bescherming van de CDN servers.

Mijn Nexus 5X heeft bijvoorbeeld zojuist deze update gekregen.
03-01-2018, 22:54 door Anoniem
Door Anoniem:Google rolt de updates binnen 1 week voor iedereen uit dit heeft meer met load balancing te maken waarschijnlijk dan iets anders :)

Tenzij je een pixel/nexus apparaat hebt, krijg je nooit updates.
Dit is hoe het gaat met updates:
1. Google maakt een nieuwe build en rolt die uit naar Pixel en Nexus apparaten;
2. Android One en sommige fabrikanten zoals Nokia rollen de build vrij snel daarna uit;
3. De update rolt in de maanden erna sloom uit naar andere apparaten;
4. Andere fabrikanten hebben er de pest in en laten je in de steek.

De Samsung Galaxy S9 komt nog met Android 7.1, of misschien 8.0. Geen 8.1 (dat al sinds 19 oktober uit is).

Het is gewoon een feit dat 46,5% op Android 5.1 of lager draait, wat 930.000.000 verouderde apparaten zijn:
https://www.bidouille.org/misc/androidcharts
https://www.telegraaf.nl/tech/171404/android-op-2-miljard-apparaten
04-01-2018, 14:42 door Anoniem
Door Anoniem:
Door Anoniem:Google rolt de updates binnen 1 week voor iedereen uit dit heeft meer met load balancing te maken waarschijnlijk dan iets anders :)
Tenzij je een pixel/nexus apparaat hebt, krijg je nooit updates.
....
Het is gewoon een feit dat 46,5% op Android 5.1 of lager draait, wat 930.000.000 verouderde apparaten zijn:

Wow, Ik wist niet dat er 1 miljard Nexus en Pixel apparaten worden gebruikt!
Dat is niet normaal zo veel!
04-01-2018, 17:08 door Anoniem
Door The FOSS:
Door Anoniem: LineageOS is niet zo relevant kwa updates omdat firmware geen updates krijgt voor telefoons die al EOL zijn.
Dus dan kan je wel nieuwste security patch level hebben maar waarschijnlijk nog steeds kwetsbaar voor paar vulns.

Je spreekt niet uit eigen ervaring? Mijn Samsung telefoon uit 2013 is zeker EOL maar draait met Lineage OS 14.1 gewoon wel Android 7.1.2! Helemaal up to date dus, firmware én security patch level.

Android 7.1.2 is ookal EOL en je krijgt geen firmware updates als je telefoon EOL en dat heeft niks met patch level te maken.
Meest gevaarlijke bugs zitten vaak in de firmware updates ( wifi RCE, bluetooth RCE enz. )


Door Anoniem:
Door Anoniem:Google rolt de updates binnen 1 week voor iedereen uit dit heeft meer met load balancing te maken waarschijnlijk dan iets anders :)

Tenzij je een pixel/nexus apparaat hebt, krijg je nooit updates.
Dit is hoe het gaat met updates:
1. Google maakt een nieuwe build en rolt die uit naar Pixel en Nexus apparaten;
2. Android One en sommige fabrikanten zoals Nokia rollen de build vrij snel daarna uit;
3. De update rolt in de maanden erna sloom uit naar andere apparaten;
4. Andere fabrikanten hebben er de pest in en laten je in de steek.

De Samsung Galaxy S9 komt nog met Android 7.1, of misschien 8.0. Geen 8.1 (dat al sinds 19 oktober uit is).

Het is gewoon een feit dat 46,5% op Android 5.1 of lager draait, wat 930.000.000 verouderde apparaten zijn:
https://www.bidouille.org/misc/androidcharts
https://www.telegraaf.nl/tech/171404/android-op-2-miljard-apparaten

Het ging hier ook om een Pixel.
04-01-2018, 17:48 door -karma4 - Bijgewerkt: 04-01-2018, 17:49
Door Anoniem:
Door The FOSS: Je spreekt niet uit eigen ervaring? Mijn Samsung telefoon uit 2013 is zeker EOL maar draait met Lineage OS 14.1 gewoon wel Android 7.1.2! Helemaal up to date dus, firmware én security patch level.

Android 7.1.2 is ookal EOL en je krijgt geen firmware updates als je telefoon EOL en dat heeft niks met patch level te maken.
Meest gevaarlijke bugs zitten vaak in de firmware updates ( wifi RCE, bluetooth RCE enz. )

Wat bedoel je? Recente WiFi gerelateerde bugs zijn gewoon (en snel) opgelost in o.a. Lineage OS.

Bijvoorbeeld: https://tweakers.net/nieuws/130897/custom-roms-voor-android-brengen-eerste-builds-uit-met-fix-voor-krack-aanval.html
04-01-2018, 21:15 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS: Je spreekt niet uit eigen ervaring? Mijn Samsung telefoon uit 2013 is zeker EOL maar draait met Lineage OS 14.1 gewoon wel Android 7.1.2! Helemaal up to date dus, firmware én security patch level.

Android 7.1.2 is ookal EOL en je krijgt geen firmware updates als je telefoon EOL en dat heeft niks met patch level te maken.
Meest gevaarlijke bugs zitten vaak in de firmware updates ( wifi RCE, bluetooth RCE enz. )

Wat bedoel je? Recente WiFi gerelateerde bugs zijn gewoon (en snel) opgelost in o.a. Lineage OS.

Bijvoorbeeld: https://tweakers.net/nieuws/130897/custom-roms-voor-android-brengen-eerste-builds-uit-met-fix-voor-krack-aanval.html


Firmware, niet userland applicaties zoals wpa_supplicant.
Vulnerabilities zoals broadpwn zijn nooit gefixed als je device EOL is en geen firmware updates meer krijgt.
Lees dit anders even dit gaat over de Nexus 5 die EOL ging in December 2016.
https://www.reddit.com/r/LineageOS/comments/6x0qso/how_secure_is_lineageos_really/dmcmalh/


En verder rooten van je telefoon is al helemaal not done als je toch wat security wilt.
05-01-2018, 05:11 door -karma4 - Bijgewerkt: 05-01-2018, 05:13
Door Anoniem: Firmware, niet userland applicaties zoals wpa_supplicant.
Vulnerabilities zoals broadpwn zijn nooit gefixed als je device EOL is en geen firmware updates meer krijgt.

Ik lees dat broadpwn wel degelijk is gefixt met reguliere Android en iOS updates (July 2017 security update): https://www.theguardian.com/technology/2017/jul/27/broadpwn-smartphone-malware-bug-iphone-samsung-google
05-01-2018, 14:59 door Anoniem
Door The FOSS:
Door Anoniem: Firmware, niet userland applicaties zoals wpa_supplicant.
Vulnerabilities zoals broadpwn zijn nooit gefixed als je device EOL is en geen firmware updates meer krijgt.

Ik lees dat broadpwn wel degelijk is gefixt met reguliere Android en iOS updates (July 2017 security update): https://www.theguardian.com/technology/2017/jul/27/broadpwn-smartphone-malware-bug-iphone-samsung-google

Nee, alleen bij telefoons die nog updates kregen van de vendor hier gaat het om Broadcom.
Eerste alinea is relevant voor dit onderwerp [1]
Als een telefoon EOL is maakt de SoC vendor geen nieuwe builds meer voor jou toestel en ook geen updates voor eventuele security issues.
Je kan niet zomaar firmware gebruiken van een nieuwer toestel want het is nooit geport voor jou toestel dus werkt het niet of heel instabiel als het werkt.
LineageOS kan hier niks mee doen en patch level zegt daarom ook niks want dat is alleen voor telefoons en SoCs die nu supported zijn en daar valt een oude SoC buiten.
Zolang Broadcom geen nieuwe updates maakt voor de oude SoCs is jou toestel gewoon kwetsbaar.


1 : https://www.reddit.com/r/privacytoolsIO/comments/6kyteo/aside_from_copperheados_what_is_the_best_android/djtv5qn/
06-01-2018, 10:01 door -karma4
Door Anoniem:
Door The FOSS:
Door Anoniem: Firmware, niet userland applicaties zoals wpa_supplicant.
Vulnerabilities zoals broadpwn zijn nooit gefixed als je device EOL is en geen firmware updates meer krijgt.

Ik lees dat broadpwn wel degelijk is gefixt met reguliere Android en iOS updates (July 2017 security update): https://www.theguardian.com/technology/2017/jul/27/broadpwn-smartphone-malware-bug-iphone-samsung-google

Nee, alleen bij telefoons die nog updates kregen van de vendor hier gaat het om Broadcom.

Staat er niet. Er staat letterlijk dat Google en Apple updates hebben uitgebracht om het probleem te verhelpen of in ieder geval in te dammen zodat het in praktische zin geen probleem meer is. Namelijk: "But even before the vulnerability was fixed in software updates from Apple and Google, the Broadpwn bug still had limitations: chiefly, it couldn’t make the leap from the wifi chip’s firmware to the actual device."
18-01-2018, 12:18 door Anoniem
Door Anoniem: Ben aan een nieuwe Android telefoon toe. Iemand ervaring met het update beleid van Nokia? Ik heb ergens gelezen dat ze beloven alle huidige modellen t/m Android 9 (P) te blijven ondersteunen met updates.
Deze januari 2018 updates zijn op mijn Nokia 5 op 16 januari automatisch geïnstalleerd. Voor een Android apparaat lijkt mij dat inderdaad redelijk snel. Alle eerdere updates werden na in gebruik nemen eind december in de loop van een of twee dagen geïnstalleerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.