Google verhelpt ernstige beveiligingslekken in Android
Google heeft deze maand meerdere ernstige beveiligingslekken in Android verholpen waardoor een aanvaller op afstand toegang tot kwetsbare toestellen had kunnen krijgen. In totaal zijn er deze maand 28 beveiligingslekken in het besturingssysteem gepatcht. Elf daarvan zijn er als ernstig bestempeld.
Deze kwetsbaarheden bevonden zich in het Media-framework en onderdelen van chipfabrikant Qualcomm. Via de lekken in het Media-framework kon een aanvaller op afstand willekeurige code op toestellen uitvoeren als er een speciaal geprepareerd bestand naar het doelwit werd verstuurd, bijvoorbeeld via mms of e-mail.
Zerodaylek
Voor Pixel 1- en 2-toestellen heeft Google een beveiligingsupdate uitgebracht waarmee een zerodaylek wordt verholpen. Deze kwetsbaarheid werd actief aangevallen voordat de patch beschikbaar was. Via dit lek kon een aanvaller die al toegang tot een Androidtoestel had volledige controle over het apparaat kan krijgen.
Om misbruik van de kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, was een aanvullend beveiligingslek vereist. Het zerodaylek alleen was niet voldoende om toegang tot een Androidtoestel te krijgen. Naast de Pixel 1- en 2-toestellen is dit lek ook aanwezig in de meeste Androidtoestellen die voor de herfst van 2018 zijn uitgekomen. Of en wanneer deze toestellen een update ontvangen is onbekend.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2019-10-01' of '2019-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
en updates, pff, in mijn moto G6+ ,helaas nu met Pie, v9 dus, zit een gps probleem dat meer als een jaar bekend is, en gewoon niet verholpen wordt.
dus waarom zou ik vertrouwen hebben op een 2x patch ronde per jaar, ALS uberhaupt....
Google moet wel, vind ik, meer verantwoordeliljkheid dragen voor het uitrollen van patches die verplicht geinstalleerd en ondersteund worden, ipv dat uitgevers dit nu in eigen handen, en naar eigen inzicht kunnen uitrollen - vaker niet dan wel dus... helaas.
Heb vroeger een Motorola gehad, dat werkte prima met patches totdat ze door Lenovo overgenomen werden. Toen was het meteen gedaan.
Apple blijft absoluut de beste qua updates maar het is zo jammer dat instapmodellen al bijna 800 euro kosten. Hopelijk brengen ze komend jaar de SE2 uit voor een schappelijke prijs. Apple hanteert gewoon absurde prijzen voor telefoons waar nauwelijks innovatie meer in zit maar blijkbaar blijven mensen het kopen.
Heb vroeger een Motorola gehad, dat werkte prima met patches totdat ze door Lenovo overgenomen werden. Toen was het meteen gedaan.
Helemaal mee eens. Helaas is het bij Lenovo sinds Motorola is overgenomen een verschrikkelijk bedrijf geworden wat betreft software updates. Hier ook, bij mijn Lenovo telefoon 1 update gezien voor een heftige bug. Daarna nooit meer een OTA update. Ja één jaar later maar toen had ik het lot al in eigen handen genomen en de telefoon geroot. Iets waar je rekening mee moet houden, rooten is garantie weg bij Lenovo en u bent permanent verbannen van de update server. Dus geen updates meer. Belachelijk eigenlijk maar whatever, die updates van Lenovo zijn toch altijd slecht, dan repareren ze het een en slopen ze het anders.. Telkens opnieuw, software fatsoenlijk testen kunnen ze daar niet. Alles wat ik mooi vond aan Lenovo was de bouwkwaliteit van de telefoons, de specificaties en de prijs + geen Android die vol met rotzooi uit de doos komt. Helaas blijft het daar ook bij. De software is ver van echt goed to be honest.
#Johnson
Heb vroeger een Motorola gehad, dat werkte prima met patches totdat ze door Lenovo overgenomen werden. Toen was het meteen gedaan.
Helemaal mee eens. Helaas is het bij Lenovo sinds Motorola is overgenomen een verschrikkelijk bedrijf geworden wat betreft software updates. Hier ook, bij mijn Lenovo telefoon 1 update gezien voor een heftige bug. Daarna nooit meer een OTA update. Ja één jaar later maar toen had ik het lot al in eigen handen genomen en de telefoon geroot. Iets waar je rekening mee moet houden, rooten is garantie weg bij Lenovo en u bent permanent verbannen van de update server. Dus geen updates meer. Belachelijk eigenlijk maar whatever, die updates van Lenovo zijn toch altijd slecht, dan repareren ze het een en slopen ze het anders.. Telkens opnieuw, software fatsoenlijk testen kunnen ze daar niet. Alles wat ik mooi vond aan Lenovo was de bouwkwaliteit van de telefoons, de specificaties en de prijs + geen Android die vol met rotzooi uit de doos komt. Helaas blijft het daar ook bij. De software is ver van echt goed to be honest.
#Johnson
De software van Nokia is prima, vrijwel Stock Android, geen crapware en alle apps compleet verwijderbaar, ook zaken als Google Kiosk etc. En dan ook echt weg, niet teruggezet naar de fabrieksversie.
Bouwkwaliteit is ook prima, al 3 keer van ca. 50 cm hoogte op een betontegel gevallen en geen barst in het scherm, enkel klein putje in de aluminium rand.
Specificaties best ok, alleen is de camera niet super goed bij weinig licht en afstanden < 1 meter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
