Android lekt wifi-gegevens aan geïnstalleerde applicaties
Android lekt wifi-gegevens zoals lokaal ip-adres, mac-adres en netwerknaam aan alle geïnstalleerde applicaties op het toestel en het probleem is alleen in de nieuwste versie van het besturingssysteem verholpen. Dat meldt securitybedrijf Nightwatch Cybersecurity dat de kwetsbaarheid ontdekte.
Googles besturingssysteem maakt het mogelijk om zogeheten "Intents" voor interprocescommunicatie te gebruiken. Via een "Intent" kan een applicatie of het besturingssysteem zelf een systeembrede boodschap versturen die door andere applicaties kan worden opgevangen. Volgens onderzoekers van Nightwatch Cybersecurity is dit een probleem, omdat op deze manier een kwaadaardige applicatie berichten van andere applicaties kan onderscheppen.
Android blijkt geregeld via twee Intents informatie over de wifi-verbinding en de wifi-netwerkinterface te versturen. Het gaat dan om het mac-adres van het toestel, BSSID en netwerknaam van het wifi-netwerk, lokale ip-range, ip-adres van de gateway en het adres van de dns-server. Deze informatie is beschikbaar voor alle applicaties op het toestel.
Applicaties kunnen deze informatie ook via de WifiManager opvragen, maar dit vereist een aparte permissie. Daarnaast is het vanaf Android 6.0 niet meer mogelijk om via een programmeerinterface (API) het echte mac-adres van het toestel te achterhalen. Een applicatie op het toestel die naar de Intents van het besturingssysteem luistert kan deze zaken echter zonder permissies opvangen.
Aangezien het mac-adres uniek voor het toestel is kan het worden gebruikt om een Androidtoestel te volgen, ook als het randomiseren van het mac-adres staat ingeschakeld. Daarnaast zijn de netwerknaam en BSSID te gebruiken om de geolocatie van een gebruiker te bepalen, aldus de onderzoekers. Google werd op 28 maart over het probleem ingelicht en kwam begin deze maand met de lancering van Android 9 met een oplossing. De kwetsbaarheid is alleen in deze versie opgelost. Oudere Androidversies krijgen geen update omdat het een grote API-aanpassing betreft. Gebruikers wordt daarom aangeraden om naar Android 9 te upgraden.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Moet de fabrikant van de telefoon Android 9 wel aanbieden. Lekker advies is dat. (zucht)
Moet de fabrikant van de telefoon Android 9 wel aanbieden. Lekker advies is dat. (zucht)
Google biedt alle fabrikanten Android 9 aan, helaas zijn diverse fabrikanten nogal laks met het doorvoeren van deze updates. Gewoon ophouden Google overal de schuld van te geven en alleen nog telefoons kopen van fabrikanten die wel een goed update beleid voeren.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Doe daar dan ook meteen #deleteWindows10 achteraan als je consequent wilt blijven.
Het gaat alleen over het lokale IP adres.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Doe daar dan ook meteen #deleteWindows10 achteraan als je consequent wilt blijven.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Doe daar dan ook meteen #deleteWindows10 achteraan als je consequent wilt blijven.
Verstandige keuze. Wel jammer dat iPhones zo achterlijk duur zijn en bij Apple weet je ook niet wat er lekt.
Dan toch maar laptop met 4G erin.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Dat moet dan echt een oude zijn, want op de nieuwe zit ook een Facebook app.
Google zit zo diep in de infrastructuur van het internet dat we daar best bang van mogen worden.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Doe daar dan ook meteen #deleteWindows10 achteraan als je consequent wilt blijven.
Verstandige keuze. Wel jammer dat iPhones zo achterlijk duur zijn en bij Apple weet je ook niet wat er lekt.
Niet overdrijven, vergelijk een ander "premium" toestel zoals een Samsung (die ook nog iets aan patching doen) maar eens met een iPhone.
Ik betaal liever iets meer en heb tenminste 5 jaar een veilig en geüpgraded (ja niet alleen gepatched ook voorzien van het nieuwste OS) toestel, software patching en upgrading kost nou eenmaal geld en dat betaal je in één keer tijdens de aanschaf van je telefoon.
Hoeveel "gratis" (lees: vooraf betaalde) upgrades krijg je bij Samsung of een ander premium Android toestel?
Je mag in je handen klappen als je een security patch krijgt.
Ik wil geen spyware meer. Na #deleteFacebook is het nu #deleteGoogle.
Doe daar dan ook meteen #deleteWindows10 achteraan als je consequent wilt blijven.
Verstandige keuze. Wel jammer dat iPhones zo achterlijk duur zijn en bij Apple weet je ook niet wat er lekt.
Niet overdrijven, vergelijk een ander "premium" toestel zoals een Samsung (die ook nog iets aan patching doen) maar eens met een iPhone.
Ik betaal liever iets meer en heb tenminste 5 jaar een veilig en geüpgraded (ja niet alleen gepatched ook voorzien van het nieuwste OS) toestel, software patching en upgrading kost nou eenmaal geld en dat betaal je in één keer tijdens de aanschaf van je telefoon.
Hoeveel "gratis" (lees: vooraf betaalde) upgrades krijg je bij Samsung of een ander premium Android toestel?
Je mag in je handen klappen als je een security patch krijgt.
Ik heb een Nokia 6.1 die 3 jaar OS updates en maandelijke security patches krijgt, kost 270 euro en is aardig rap met een 5,8 inch scherm. Een iPhone krijgt 5 jaar OS updates. Ik kan nu nog een iPhone SE kopen met hardware uit 2015 en een 4 inch priegel schermpje of wachten op het nieuwe "instap model" dat volgende maand gepresenteerd gaat worden (met hardware uit 2016) voor een geschatte prijs van slechts 800 euro. Dat noem ik niet "iets meer". In het top segment zijn de prijsverschillen minder maar niet iedereen heeft 800 euro of meer over voor een telefoon van wat voor merk dan ook.
Oh en Nokia gaat zelfs de Nokia 1, een apparaat van minder dan 100 euro, van Android 9 voorzien en geeft patches uit. Alle nieuwe Nokia's draaien nu Android One, krijgen patches direct van Google.
Niet alle Android telefoons zijn Samsungs gelukkig want daar geef ik je gelijk in, hun patchbeleid was dramatisch. Het begint langzaam beter te worden maar dan alleen voor de dure modellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
