Google verhelpt ernstige beveiligingslekken in Android
Google heeft tijdens de Android-patchcyclus van november meerdere ernstige beveiligingslekken in het besturingssysteem verholpen waardoor een aanvaller op afstand kwetsbare toestellen had kunnen overnemen. Daarnaast is er een actief aangevallen kwetsbaarheid gepatcht.
In totaal zijn er deze maand 38 kwetsbaarheden opgelost. Drie daarvan in "System" zijn door Google als ernstig bestempeld en maken "remote code execution" mogelijk. Een aanvaller had op afstand via een speciaal geprepareerd bestand willekeurige code kunnen uitvoeren in de context van een geprivilegieerd proces. De kwetsbaarheden zijn aanwezig in Android 8, 8.1, 9 en 10. Andere kwetsbaarheden maakten het mogelijk voor kwaadaardige apps om zonder toestemming van gebruikers aanvullende permissies te krijgen.
Normaliter laat Google weten dat de verholpen kwetsbaarheden voor zover bekend niet zijn aangevallen. Van januari tot en met september meldde Google steeds dat het geen meldingen had ontvangen dat er misbruik van de verholpen beveiligingslekken was gemaakt. In oktober en ook deze maand wordt dat niet vermeld. In oktober waarschuwde Google zelf nog voor een actief aangevallen kwetsbaarheid in Android.
Dit beveiligingslek in de Android-kernel (CVE-2019-2215) staat zowel in het beveiligingsbulletin van oktober als november vermeld. Om misbruik van deze kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek vereist.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2019-11-01' of '2019-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Ja hoor Google is zelf een groot beveiligingslek
Ja hoor Google is zelf een groot beveiligingslek
Dan koop je toch gewoon zo'n "goedkope" iPhone?
Ja hoor Google is zelf een groot beveiligingslek
Dat zou ik niet willen zeggen. In tegenstelling, volgens mij huren ze bij Google de beste van de beste. Dus waarom al die lekken tegenwoordig?
Ja hoor Google is zelf een groot beveiligingslek
Ik denk dat je je even moet inlezen in het verschil tussen AOSP (Android Open-source project) en Google Play Services. Ik denk dat jij het namelijk eerder over het 2e hebt en niet over het eerste. Dit artikel gaat over het eerste. AOSP is gelukkig los te gebruiken van Google Play Services, jammer genoeg staat Google play services op veel telefoons voor geïnstalleerd. Google Play Services zorgt dat veel data weg 'lekt' naar Google. AOSP is van zichzelf niet per definitie een onveilig besturingssysteem, en stuurt ook weinig tot geen data naar Google.
Ja hoor Google is zelf een groot beveiligingslek
Dat zou ik niet willen zeggen. In tegenstelling, volgens mij huren ze bij Google de beste van de beste. Dus waarom al die lekken tegenwoordig?
Al die goeie onderzoekers zitten naar buggen in producten van anderen te kijken, bv Windows. Geen idee waarom dat nodig is, als de eigen producten zukke baggr zijn. Maar het is natuurlijk niet verkeerd om de aandacht af te leiden?
Inderdaad, beveiligingsupdates zouden veel langer geboden moeten worden.
Ja hoor Google is zelf een groot beveiligingslek
Dan koop je toch gewoon zo'n "goedkope" iPhone?
niet dat apple heilig is, maar hun patch beleid is 1000x beter als dat van android.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
