image

Chrome voor Android verbergt firmware-versie voor websites

donderdag 3 januari 2019, 10:30 door Redactie, 5 reacties

Google heeft eindelijk besloten om de firmware-versie van Androidtoestellen niet meer naar websites te sturen. Andere potentieel gevoelige hardware-informatie wordt nog wel doorgestuurd. Ruim drie jaar geleden in mei 2015 werd Google door onderzoekers van Nightwatch Cybersecurity gewaarschuwd dat de header die Chrome naar webservers stuurt gevoelige hardware-informatie bevat.

Het gaat dan om het hardwaremodel, firmware-versie en patchlevel. "Deze informatie is te gebruiken om gebruikers te volgen en toestellen te fingerprinten. Het is ook te gebruiken om te bepalen voor welke kwetsbaarheden een toestel vatbaar is", aldus onderzoeker Yakov Shafranovich. De informatie die Chrome meestuurt is daarnaast ook te gebruiken om de telecomprovider van de gebruiker te identificeren. Een paar dagen nadat de onderzoekers Google hadden gewaarschuwd ontvingen ze een reactie dat het hier niet om een bug ging en alles "naar behoren werkte".

Eind 2016 gaven de onderzoekers tijdens een hackerconferentie een presentatie over de bug. Vervolgens bleef het stil, maar op 29 oktober 2018 verscheen Chrome versie 70 voor Android waarin de firmware-versie niet meer wordt verstuurd. Het hardwaremodel is nog wel in de user-agent header van de browser te vinden. De onderzoekers spreken dan ook over een "gedeeltelijke oplossing". Gebruikers krijgen het advies om naar Chrome versie 70 of nieuwer te updaten.

Reacties (5)
03-01-2019, 10:56 door -karma4
Dat werd wel tijd Google...
03-01-2019, 11:13 door Anoniem
Daarom beter erc-20 blockchain gedreven Brave browser gebruiken. Beter dan zoveel miljard uit Nederland zien weggesluisd worden door goggle via de doubledutch constructie naar Bermuda. Oh, de browser ontwerper is een verachtelijke orthodox christelijke alt.right figuur?
My #rse, wellicht Brave met tokens toch beter als Chrome en vuurvos uit het rijk van Big Commerce?R
J.O.
03-01-2019, 12:29 door Anoniem
Gebruikers krijgen het advies om naar Chrome versie 70 of nieuwer te updaten.
Of misschien is het beter om gewoon geen Chrome meer te gebruiken. Google kan soms net zo slecht omgaan met data van haar gebruikers als Facebook. Door zo 3,5 jaar te wachten met een oplossing kunnen gebruikers met een oudere Android versie (4.0 ICS) niet eens updaten naar v70. Destijds had Android 4.0 5,3% marktaandeel, wat toen over ruim 50 miljoen gebruikers ging.

Dit is ook niet de eerste keer dat Google een probleem negeert: zo heeft Mozilla zitten klagen toen YouTube het nieuwe design kreeg, omdat dat gebruik maakte van een stokoud protocol dat alleen Chrome nog ondersteunde zodat YouTube langzamer zou laden via Firefox en Edge. Tevens werd laatst bekend dat YouTube ook nog een lege div bevatte waardoor hardware-acceleratie in Edge werd uitgeschakeld.
https://tweakers.net/nieuws/141373/
https://www.androidauthority.com/0-936422/
03-01-2019, 12:57 door Anoniem
Door The FOSS: Dat werd wel tijd Google...

Google heeft er helemaal geen baat bij om data te verbergen dus komen dit soort veiligheids issues onderop de stapel te liggen.
03-01-2019, 17:06 door Anoniem
Ga dit eens gebruiken: https://basicattentiontoken.org/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.