image

Google verhelpt ernstige beveiligingslekken in Android

woensdag 6 november 2019, 11:46 door Redactie, 12 reacties

Google heeft tijdens de Android-patchcyclus van november meerdere ernstige beveiligingslekken in het besturingssysteem verholpen waardoor een aanvaller op afstand kwetsbare toestellen had kunnen overnemen. Daarnaast is er een actief aangevallen kwetsbaarheid gepatcht.

In totaal zijn er deze maand 38 kwetsbaarheden opgelost. Drie daarvan in "System" zijn door Google als ernstig bestempeld en maken "remote code execution" mogelijk. Een aanvaller had op afstand via een speciaal geprepareerd bestand willekeurige code kunnen uitvoeren in de context van een geprivilegieerd proces. De kwetsbaarheden zijn aanwezig in Android 8, 8.1, 9 en 10. Andere kwetsbaarheden maakten het mogelijk voor kwaadaardige apps om zonder toestemming van gebruikers aanvullende permissies te krijgen.

Normaliter laat Google weten dat de verholpen kwetsbaarheden voor zover bekend niet zijn aangevallen. Van januari tot en met september meldde Google steeds dat het geen meldingen had ontvangen dat er misbruik van de verholpen beveiligingslekken was gemaakt. In oktober en ook deze maand wordt dat niet vermeld. In oktober waarschuwde Google zelf nog voor een actief aangevallen kwetsbaarheid in Android.

Dit beveiligingslek in de Android-kernel (CVE-2019-2215) staat zowel in het beveiligingsbulletin van oktober als november vermeld. Om misbruik van deze kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek vereist.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2019-11-01' of '2019-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (12)
06-11-2019, 12:05 door Anoniem
" Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek
06-11-2019, 13:37 door Anoniem
Door Anoniem: " Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek

Dan koop je toch gewoon zo'n "goedkope" iPhone?
06-11-2019, 13:45 door [Account Verwijderd]
Door Anoniem: " Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek

Dat zou ik niet willen zeggen. In tegenstelling, volgens mij huren ze bij Google de beste van de beste. Dus waarom al die lekken tegenwoordig?
06-11-2019, 15:00 door Anoniem
U bent zeker amerikaans staatsburger, gezien uw vreemde taalgebruik
06-11-2019, 15:21 door Anoniem
Door Anoniem: " Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek

Ik denk dat je je even moet inlezen in het verschil tussen AOSP (Android Open-source project) en Google Play Services. Ik denk dat jij het namelijk eerder over het 2e hebt en niet over het eerste. Dit artikel gaat over het eerste. AOSP is gelukkig los te gebruiken van Google Play Services, jammer genoeg staat Google play services op veel telefoons voor geïnstalleerd. Google Play Services zorgt dat veel data weg 'lekt' naar Google. AOSP is van zichzelf niet per definitie een onveilig besturingssysteem, en stuurt ook weinig tot geen data naar Google.
06-11-2019, 15:43 door Anoniem
Google verhelpt ernstige beveiligingslekken in Android
En hoe staat het met de privacy-lekken?......
06-11-2019, 19:54 door Anoniem
Door Anoniem:
Google verhelpt ernstige beveiligingslekken in Android
En hoe staat het met de privacy-lekken?......
Die zijn er niet zoveel. Hoeveel lekken kan jij precies vinden van Google?
06-11-2019, 22:21 door Anoniem
Door donderslag:
Door Anoniem: " Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek

Dat zou ik niet willen zeggen. In tegenstelling, volgens mij huren ze bij Google de beste van de beste. Dus waarom al die lekken tegenwoordig?

Al die goeie onderzoekers zitten naar buggen in producten van anderen te kijken, bv Windows. Geen idee waarom dat nodig is, als de eigen producten zukke baggr zijn. Maar het is natuurlijk niet verkeerd om de aandacht af te leiden?
07-11-2019, 09:34 door Anoniem
Leuk al die lekken maar heel veel toestellen lopen ondersteuning mis. Te oud na drie jaar . Bizar kort.
07-11-2019, 11:32 door marcod - Bijgewerkt: 07-11-2019, 11:32
Door Anoniem: Te oud na drie jaar . Bizar kort.

Inderdaad, beveiligingsupdates zouden veel langer geboden moeten worden.
11-11-2019, 07:17 door spatieman
google en patchen, de GPS bug die meer als een jaar bekend is, is nog steeds niet gefixed, antwoord van motorola, we draaien de suport terug met de helft, koop maar een nieuw toestel, mijn kliko staat al te geilen om het ding op te vreten.
11-11-2019, 07:19 door spatieman
Door Anoniem:
Door Anoniem: " Google verhelpt ernstige beveiligingslekken in Android"

Ja hoor Google is zelf een groot beveiligingslek

Dan koop je toch gewoon zo'n "goedkope" iPhone?

niet dat apple heilig is, maar hun patch beleid is 1000x beter als dat van android.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.