Androidgebruikers via zerodaylek besmet met Pegasus-spyware
Aanvallers hebben een recent ontdekt en inmiddels gepatcht zerodaylek in Android mogelijk zo'n twee jaar lang gebruikt om gebruikers met de Pegasus-spyware te infecteren, zo laat Google in een analyse van de kwetsbaarheid weten. Het beveiligingslek was bijna twee jaar in Androidtoestellen aanwezig.
Het gaat om een zogeheten "local privilege escalation" waarmee een aanvaller die al toegang tot een Androidtoestel heeft volledige controle over de telefoon kan krijgen. Om misbruik van de kwetsbaarheid te maken zou de gebruiker eerst een kwaadaardige applicatie op de telefoon moeten installeren. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek in de browser vereist. Het zerodaylek alleen is niet voldoende om Androidtoestellen op afstand over te nemen. Er zijn echter aanwijzingen dat Androidgebruikers via een tweede lek op afstand zijn aangevallen.
Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update is echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn. Google werd op 26 september over de gevolgen van de kwetsbaarheid ingelicht en kwam begin oktober met een update.
"Ondanks dat er een patch in de upstream-Linuxkernel beschikbaar was, was het bijna twee jaar niet gepatcht in Androidtoestellen. We denken dat aanvallers in die periode dit lek hebben gebruikt om gebruikers aan te vallen", zegt Maddie Stone van Google. Specifiek ging het om de Pegasus-spyware die via de kwetsbaarheid werd geïnstalleerd. De spyware is ontwikkeld door de NSO Group, een Israëlisch bedrijf dat software aanbiedt waarmee overheidsinstanties en opsporingsdiensten op afstand toegang tot smartphones kunnen krijgen.
Pegasus, dat ook voor iOS beschikbaar is, maakt het mogelijk om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie van het doelwit te bepalen. Vorig jaar september lieten onderzoekers van het Canadese Citizen Lab weten dat de Pegasus-spyware ook in Nederland actief was.
Stone stelt dat er aan de hand van marketingmateriaal en verschillende openbare documenten over de diensten van de NSO Group het waarschijnlijk is dat het zerodaylek met een browserlek of andere remote aanval is gecombineerd. "Kernellekken in Android zijn met name gevaarlijk omdat ze grotendeels hetzelfde op verschillende toestellen zijn, terwijl andere onderdelen op het apparaat vaak per toestel en fabrikant verschillen", aldus Stone.
Ze merkt op dat de "patch gap" tussen de Linuxkernel en de standaard Androidkernel, en de kernels die op de telefoons van gebruikers draaien een groot aanvalsoppervlak biedt. Om dergelijke problemen in de toekomst te voorkomen kan Android alle toestellen gaan verplichten om periodiek gelijk te lopen met de upstream Linux- en standaard Androidkernel.
Reacties (23)
Dat de fabrikanten van Android toestellen laks zijn met updates is bekend.
Maar als ik het goed begrijp is nu ook AndroidOne, dat door Google zonder tussenkomst van de fabrikant wordt voorzien van updates, pas begin oktober 2019 gepatcht. Twee jaar na de ontdekking van het beveiligingslek (CVE-2019-2215) in november 2017.
Zou Google hier ook laks zijn geweest, of zijn ze gedwongen door een gag-order de patch uit te stellen?
En wanneer is de patch uitgebracht voor Lineage OS (voorheen CyanogenMod)?
Volgens onderstaand bericht is CVE-2019-2215 zonder nummer eerder al opgenomen in een "kernel bump":
https://www.reddit.com/r/LineageOS/comments/dd4um8/android_zeroday_used_in_the_wild/
Maar als ik het goed begrijp is nu ook AndroidOne, dat door Google zonder tussenkomst van de fabrikant wordt voorzien van updates, pas begin oktober 2019 gepatcht. Twee jaar na de ontdekking van het beveiligingslek (CVE-2019-2215) in november 2017.
Zou Google hier ook laks zijn geweest, of zijn ze gedwongen door een gag-order de patch uit te stellen?
En wanneer is de patch uitgebracht voor Lineage OS (voorheen CyanogenMod)?
Volgens onderstaand bericht is CVE-2019-2215 zonder nummer eerder al opgenomen in een "kernel bump":
https://www.reddit.com/r/LineageOS/comments/dd4um8/android_zeroday_used_in_the_wild/
Misschien een beetje cliche mijn volgende reactie maar wat maakt het uit ?
Als je toch al die bloatware van Google toelaat op je systeem dat is volgens vele ook spyware.
Elke click die je doet elke toets waar je op drukt elke mail die je stuurt alles wordt geanalyseerd
Elke site die jij bezoekt al jouw contacten en hun contacten en hun contacten tot in de oneindigheid
Alles wordt doorgestuurd naar een centrale server om dan doorverkocht te worden aan derden
Niets wat jij doet op zo n apparaat is privaat niet met de systemen van Google
Als je toch al die bloatware van Google toelaat op je systeem dat is volgens vele ook spyware.
Elke click die je doet elke toets waar je op drukt elke mail die je stuurt alles wordt geanalyseerd
Elke site die jij bezoekt al jouw contacten en hun contacten en hun contacten tot in de oneindigheid
Alles wordt doorgestuurd naar een centrale server om dan doorverkocht te worden aan derden
Niets wat jij doet op zo n apparaat is privaat niet met de systemen van Google
OOK HIER WEER: toegang tot camera en microfoon,
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
Ik ben er allang van overtuigd: Google is evil.
Wat ze je met de ene hand zeggen te geven, nemen ze met tien andere handen dubbel en dwars terug
namelijk in de vorm van je data (privacy) of in de vorm van geld van derde partijen die dan toegang krijgen tot je data/privacy.
En jawel: je krijgt er ook wat voor terug. Namelijk allerlei aantrekkelijk "diensten" in de vorm van manieren waarmee ze je nog meer data kunnen ontfutselen.
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
Ik ben er allang van overtuigd: Google is evil.
Wat ze je met de ene hand zeggen te geven, nemen ze met tien andere handen dubbel en dwars terug
namelijk in de vorm van je data (privacy) of in de vorm van geld van derde partijen die dan toegang krijgen tot je data/privacy.
En jawel: je krijgt er ook wat voor terug. Namelijk allerlei aantrekkelijk "diensten" in de vorm van manieren waarmee ze je nog meer data kunnen ontfutselen.
Wat is de status van de laatste Androids?
Klopt toch dat Sandboxes in Android 9 nu via SeLinux met enforced ruleset PER APP worden ingesteld? Is dat trouwens per launch van een willekeurige app of voor elke app een "mini omgeving" ?
SeLinux is toch een MAC systeem geen sandbox systeem? Lijkt mij een groot verschil of moet ik denken aan iets tussen "Chroot" en FreeBSD jails ("Chroot met kernel") hier in Android 8.1 en 9 ?
Als de beweringen over verbeterde sandboxes in deze versies (9 stricter dan 8.1) kloppen dan kun je die Apps met user escalation bugs veilig draaien (ervan uitgaande van een bug in Android App, niet de kernel of userland omgeving- die met 8.1 en v9 stricter moet zijn) ?
Kan iemand mij even kort bijpraten over hoe veilig de laatste 2 Android versies (en je mag 10/X ook meenemen) zijn wat betreft rogue apps en privacy escalation?
Kan iemand mij ook vertellen (een rapportcijfer of kort omgeschreven) hoe Android 10 zich verhoudt tot 9 en 8.1 m.b.t. security breaches? Ik wil een Android kopen voor kerst maar zoek een toestel met niet teveel bloat en ook geen grote userland (want hoger bug potentieel). X of 10 heeft volgens mij weer meer fratsen dan 9 en 8.1 voelt best "schoon" aan maar dat dat zegt natuurlijk niets.
LineageOS vertrouw ik minder (en met Gapps is het gewoon een normale Android) omdat Google een reputatie stand dient te houden en zich geen grote leks kan permitteren. Als alleen de NSA (Alphabet dus Google) kan meekijken vind ik dat best als het OS daarbij verzekerd veilig blijft. Het is al fijn dat ze de Playstore doorlopend scannen en nu ook melden over "deze app bevat reklame" naast "deze app bevat in-app-aankopen". Want reklameservers is indirect third party advertising en dus weer third party privacy lekken.
Wat adviezen voor een secure Android? Misschien nog een paar handige apps? En helaas moet ik Whatsapp gebruiken want de hele familie gebruikt dat. Een virusscanner lijkt me niet zo zinvol meer met de scherpere sandboxing en alle "virusscanners" zijn gewoon veredelde ccleaner achtige programma's op Android. Rootkits zul je er dus NOOIT mee kunnen vinden.
Klopt toch dat Sandboxes in Android 9 nu via SeLinux met enforced ruleset PER APP worden ingesteld? Is dat trouwens per launch van een willekeurige app of voor elke app een "mini omgeving" ?
SeLinux is toch een MAC systeem geen sandbox systeem? Lijkt mij een groot verschil of moet ik denken aan iets tussen "Chroot" en FreeBSD jails ("Chroot met kernel") hier in Android 8.1 en 9 ?
Als de beweringen over verbeterde sandboxes in deze versies (9 stricter dan 8.1) kloppen dan kun je die Apps met user escalation bugs veilig draaien (ervan uitgaande van een bug in Android App, niet de kernel of userland omgeving- die met 8.1 en v9 stricter moet zijn) ?
Kan iemand mij even kort bijpraten over hoe veilig de laatste 2 Android versies (en je mag 10/X ook meenemen) zijn wat betreft rogue apps en privacy escalation?
Kan iemand mij ook vertellen (een rapportcijfer of kort omgeschreven) hoe Android 10 zich verhoudt tot 9 en 8.1 m.b.t. security breaches? Ik wil een Android kopen voor kerst maar zoek een toestel met niet teveel bloat en ook geen grote userland (want hoger bug potentieel). X of 10 heeft volgens mij weer meer fratsen dan 9 en 8.1 voelt best "schoon" aan maar dat dat zegt natuurlijk niets.
LineageOS vertrouw ik minder (en met Gapps is het gewoon een normale Android) omdat Google een reputatie stand dient te houden en zich geen grote leks kan permitteren. Als alleen de NSA (Alphabet dus Google) kan meekijken vind ik dat best als het OS daarbij verzekerd veilig blijft. Het is al fijn dat ze de Playstore doorlopend scannen en nu ook melden over "deze app bevat reklame" naast "deze app bevat in-app-aankopen". Want reklameservers is indirect third party advertising en dus weer third party privacy lekken.
Wat adviezen voor een secure Android? Misschien nog een paar handige apps? En helaas moet ik Whatsapp gebruiken want de hele familie gebruikt dat. Een virusscanner lijkt me niet zo zinvol meer met de scherpere sandboxing en alle "virusscanners" zijn gewoon veredelde ccleaner achtige programma's op Android. Rootkits zul je er dus NOOIT mee kunnen vinden.
Door Anoniem: OOK HIER WEER: toegang tot camera en microfoon,
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
Ik ben er allang van overtuigd: Google is evil.
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
Ik ben er allang van overtuigd: Google is evil.
Ho ho... Even logisch nadenken... Is deze bug alleen te vinden in code van Android Linux kernels of ook gewone Linux kernels? Zo ja dan is het niet de schuld van Google. Die grote Bluetooth bugstack enkele jaren geleden was een ramp voor alles wat Linux draaide inclusief je Raspberry Pi's maar "Google had het gedaan" omdat de meeste BT users smartphone users zijn.
Pegasus tool weer in het nieuws? Niet de eerste keer. Het is een Israelisch security bedrijf dat lekken heeft gevonden in Google en dus in Linux en deze verzwijgt voor de community, maar ook voor Alphabet Group (waar ze zelf veel info van krijgen in via 5, 7 of 11 eyes alliantie). Ik vind dat een beetje een sabotagepoging waar de VS en Google weer de zwarte piet krijgen toegeschoven. En dat voor kleinschalige winsten voor private securitybedrijven waarvan je niet weet aan wie ze hun software verkopen.
Niet goed, geld terug. Zo staat het toch in de wet?
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Dan zou bij Albert Heijn misschien ook gelijk de vlag uitgaan. Hoewel die denk ik met zo een mentaliteit ook niet lang zouden overleven. Beter schade pakken en vriendjes blijven. Het is mij een raadsel waarom softwarebakkers dat besef niet hebben. Niks tegoed bon, of wij peuteren de slechte plakjes ham er wel uit. Geld terug en excuses erbij. Zo heurt het. En zo staat het ook in de wet. Enkel de excuses zijn vrijblijvend, maar dat is omdat je zelf mag beslissen dat de klant morgen hopelijk weer komt winkelen en niet naar de overkant naar de Jumbo gaat. Lastig begrijp ik. Maar ik begrijp niet wat er moeilijk aan is. Niet goed, geld terug.
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Dan zou bij Albert Heijn misschien ook gelijk de vlag uitgaan. Hoewel die denk ik met zo een mentaliteit ook niet lang zouden overleven. Beter schade pakken en vriendjes blijven. Het is mij een raadsel waarom softwarebakkers dat besef niet hebben. Niks tegoed bon, of wij peuteren de slechte plakjes ham er wel uit. Geld terug en excuses erbij. Zo heurt het. En zo staat het ook in de wet. Enkel de excuses zijn vrijblijvend, maar dat is omdat je zelf mag beslissen dat de klant morgen hopelijk weer komt winkelen en niet naar de overkant naar de Jumbo gaat. Lastig begrijp ik. Maar ik begrijp niet wat er moeilijk aan is. Niet goed, geld terug.
" k vind dat een beetje een sabotagepoging waar de VS en Google weer de zwarte piet krijgen toegeschoven. En dat voor kleinschalige winsten voor private securitybedrijven waarvan je niet weet aan wie ze hun software verkopen."
Google domineert het volledige cyber gebeuren met een voor de mensheid ongezien monopolie en jij hebt het over zwarte piet toeschuiven ?
Ik vermoed dat jij niet goed begrijpt waarom er hier zo veel mensen kritiek hebben op Google.
De meeste hier hebben helemaal geen diepe hekel aan Google Alphabet de Verenigde Staten Israel Microsoft whatever..
Wij hebben een hekel aan het feit dat er zo weinig alternatieven zijn voor deze data-miners.
Je kunt er bijna niet aan ontsnappen zelfs met de tools van de site privacy tools lukt dat niet altijd.
Hebben wij geen recht op vrijheid hebben wij geen recht op vrije keuze ?
Alles in het leven draait namelijk om keuze en vrijheid heb je geen vrijheid of keuze leef je in fascistisch maatschappij juist zoals onder Hitler Stalin .
Waarom denk je dat bedrijven zoals Google en Facebook worden veroordeelt door Amnesty International ?
Heel simpel => Omdat onze mensenrechten worden geschonden.
Het recht op privacy is een standaard basic human right .
Bedrijven die hier geen rekening mee houden zijn semi-criminele entiteiten niet meer niet minder.
Google domineert het volledige cyber gebeuren met een voor de mensheid ongezien monopolie en jij hebt het over zwarte piet toeschuiven ?
Ik vermoed dat jij niet goed begrijpt waarom er hier zo veel mensen kritiek hebben op Google.
De meeste hier hebben helemaal geen diepe hekel aan Google Alphabet de Verenigde Staten Israel Microsoft whatever..
Wij hebben een hekel aan het feit dat er zo weinig alternatieven zijn voor deze data-miners.
Je kunt er bijna niet aan ontsnappen zelfs met de tools van de site privacy tools lukt dat niet altijd.
Hebben wij geen recht op vrijheid hebben wij geen recht op vrije keuze ?
Alles in het leven draait namelijk om keuze en vrijheid heb je geen vrijheid of keuze leef je in fascistisch maatschappij juist zoals onder Hitler Stalin .
Waarom denk je dat bedrijven zoals Google en Facebook worden veroordeelt door Amnesty International ?
Heel simpel => Omdat onze mensenrechten worden geschonden.
Het recht op privacy is een standaard basic human right .
Bedrijven die hier geen rekening mee houden zijn semi-criminele entiteiten niet meer niet minder.
Van twee walletjes eten.
Imago van de Amerikaanse diensten voorgoed beschadigd.
Daar komen de Hollywood films nog bij die dingen uit te doeken doen plus met alle geweld een negatief beeld scheppen.
Daar durven ze niks van te zeggen natuurlijk, wel als Jan met de pet iets zegt. Die durven we wel in te pakken en bang te maken met zijn allen!
Imago van de Amerikaanse diensten voorgoed beschadigd.
Daar komen de Hollywood films nog bij die dingen uit te doeken doen plus met alle geweld een negatief beeld scheppen.
Daar durven ze niks van te zeggen natuurlijk, wel als Jan met de pet iets zegt. Die durven we wel in te pakken en bang te maken met zijn allen!
Door Anoniem: Niet goed, geld terug. Zo staat het toch in de wet?
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Naar jouw analogie : Stel dat je op een terras zit met je pakje ham (dat OK was toen je het kocht) en je staat op en laat het liggen. Een crimineel komt langs en injecteert er met een injectienaald viezigheid in, jij komt terug en neemt het vergeten pakje ham weer mee naar huis en wordt ziek als je ervan eet. In dergelijk geval denk ik niet dat Appie Heijn daarvoor verantwoordelijk is.
Lees nog eens goed hoe deze priv.esc. werkt :
Het gaat om een zogeheten "local privilege escalation" waarmee een aanvaller die al toegang tot een Androidtoestel heeft volledige controle over de telefoon kan krijgen.
P.S.: Listeria is met een 'i'; je verwart het wellicht met je favoriete mondwater.
Door Anoniem: Misschien een beetje cliche mijn volgende reactie maar wat maakt het uit ?
Als je toch al die bloatware van Google toelaat op je systeem dat is volgens vele ook spyware.
Elke click die je doet elke toets waar je op drukt elke mail die je stuurt alles wordt geanalyseerd
Elke site die jij bezoekt al jouw contacten en hun contacten en hun contacten tot in de oneindigheid
Alles wordt doorgestuurd naar een centrale server om dan doorverkocht te worden aan derden
Niets wat jij doet op zo n apparaat is privaat niet met de systemen van Google
Als je toch al die bloatware van Google toelaat op je systeem dat is volgens vele ook spyware.
Elke click die je doet elke toets waar je op drukt elke mail die je stuurt alles wordt geanalyseerd
Elke site die jij bezoekt al jouw contacten en hun contacten en hun contacten tot in de oneindigheid
Alles wordt doorgestuurd naar een centrale server om dan doorverkocht te worden aan derden
Niets wat jij doet op zo n apparaat is privaat niet met de systemen van Google
Precies, wellicht heeft google daarom wel gewacht met het uitbrengen van de patch.
@anoniem van gisteren 21:11
Analogie gaat niet helemaal op. De cybercrimineel is crimineel vanwege de geboden kwetsbaarheden en openingen
en de (beroerde) inrichting van Internet waardoor de pakkans bijzonder klein is of hij moet basale fouten gaan maken.
Dan zijn er nog de gelegaliseerde cybercriminelen, de staatshackers om den brode, die veilig opereren vanuit een gedogende achtertuin. Onder meer Criminals in Action en tegenhangers uit een andere hemisfeer en meer van dit soort "droeftoeter".
Dan zijn er nog degenen, die veel onderzoek doen en omkoopbaar zijn om deze twee soorten cybercriminelen de mogelijkheden te bieden.. De inrichters van het Internet, die onder dreiging van gag orders e.d. bewust zero-days vooraf hebben ingebouwd. Zelfs updates kunnen een "geborgd" karakter hebben.
Hoe kun je in deze chaos van enige vorm van handhaving spreken? Je bent aan de spreekwoordelijke g*den overgeleverd.
Als je a priori in zo'n soort van een omgeving bezig moet zijn, hoe wil je die ooit weer "op de rails" krijgen?
Onbegonnen werk, zeker op je zakspionnetje of choice.
Jodocus Oyevaer
Analogie gaat niet helemaal op. De cybercrimineel is crimineel vanwege de geboden kwetsbaarheden en openingen
en de (beroerde) inrichting van Internet waardoor de pakkans bijzonder klein is of hij moet basale fouten gaan maken.
Dan zijn er nog de gelegaliseerde cybercriminelen, de staatshackers om den brode, die veilig opereren vanuit een gedogende achtertuin. Onder meer Criminals in Action en tegenhangers uit een andere hemisfeer en meer van dit soort "droeftoeter".
Dan zijn er nog degenen, die veel onderzoek doen en omkoopbaar zijn om deze twee soorten cybercriminelen de mogelijkheden te bieden.. De inrichters van het Internet, die onder dreiging van gag orders e.d. bewust zero-days vooraf hebben ingebouwd. Zelfs updates kunnen een "geborgd" karakter hebben.
Hoe kun je in deze chaos van enige vorm van handhaving spreken? Je bent aan de spreekwoordelijke g*den overgeleverd.
Als je a priori in zo'n soort van een omgeving bezig moet zijn, hoe wil je die ooit weer "op de rails" krijgen?
Onbegonnen werk, zeker op je zakspionnetje of choice.
Jodocus Oyevaer
Door Anoniem:
Naar jouw analogie : Stel dat je op een terras zit met je pakje ham (dat OK was toen je het kocht) en je staat op en laat het liggen. Een crimineel komt langs en injecteert er met een injectienaald viezigheid in, jij komt terug en neemt het vergeten pakje ham weer mee naar huis en wordt ziek als je ervan eet. In dergelijk geval denk ik niet dat Appie Heijn daarvoor verantwoordelijk is.
Lees nog eens goed hoe deze priv.esc. werkt :
P.S.: Listeria is met een 'i'; je verwart het wellicht met je favoriete mondwater.
Door Anoniem: Niet goed, geld terug. Zo staat het toch in de wet?
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Of is een pakje ham met lysteria erin ook mijn eigen domme fout dat ik dat gekocht heb?
Naar jouw analogie : Stel dat je op een terras zit met je pakje ham (dat OK was toen je het kocht) en je staat op en laat het liggen. Een crimineel komt langs en injecteert er met een injectienaald viezigheid in, jij komt terug en neemt het vergeten pakje ham weer mee naar huis en wordt ziek als je ervan eet. In dergelijk geval denk ik niet dat Appie Heijn daarvoor verantwoordelijk is.
Lees nog eens goed hoe deze priv.esc. werkt :
Het gaat om een zogeheten "local privilege escalation" waarmee een aanvaller die al toegang tot een Androidtoestel heeft volledige controle over de telefoon kan krijgen.
P.S.: Listeria is met een 'i'; je verwart het wellicht met je favoriete mondwater.
Een plakje ham op een terras zit niet meer nieuw in een doosje. De narigheid zat al in het doosje dat ik gekocht heb. Door de keuring geglipt. Dat komt omdat ze zelf niet meer keuren maar de koper als proefkonijn misbruiken.
En dat is niet goed. Dus geld terug.
Albert Heijn stopt ook geen listeria (jij je zin) in pakjes ham. Wellicht de plakkies snijder of de verpakker in de keten ook niet. Als consument hoef ik dat helemaal niet te weten. Waar de klungel in de keten zit. Ik hoef geen plakkies ham systeembeheerder en security expert te zijn. Ik moet er gewoon op kunnen vertrouwen dat ik iets deugdelijks koop dat veilig is. Ik heb gewoon recht op mijn geld terug. Basis consumenten recht. Of je moet "aankoop op eigen risico" op dat pakkie ham stickeren. Supermarkten gaan dat niet in de schappen leggen, want dat jaagt klanten weg. Telefoonwinkels wel en nog zonder sticker ook. Dus dat is gewoon helemaal al geld terug.
Met wir haben es nicht gewusst zijn zo in de geschiedenis nog wat verdedigingen gefaald.
Niet goed is geld terug.
Ja het was allemaal zogenaamd beter dan Windows phone? Windows was altijd up to date lange termijn maar gratis spyware van Google Android moest er door geduwd worden? Nu weten we pas de echte reden van de populaire reden van Android. Goudmijn voor app verkopers. Iedereen constant kunnen spioneren. Concurrentie of andere keuzes zijn er niet meer. Misschien Huawei met Harmony de zaak gaat redden?
Door Anoniem: Wat is de status van de laatste Androids?
Klopt toch dat Sandboxes in Android 9 nu via SeLinux met enforced ruleset PER APP worden ingesteld? Is dat trouwens per launch van een willekeurige app of voor elke app een "mini omgeving" ?
SeLinux is toch een MAC systeem geen sandbox systeem? Lijkt mij een groot verschil of moet ik denken aan iets tussen "Chroot" en FreeBSD jails ("Chroot met kernel") hier in Android 8.1 en 9 ?
Als de beweringen over verbeterde sandboxes in deze versies (9 stricter dan 8.1) kloppen dan kun je die Apps met user escalation bugs veilig draaien (ervan uitgaande van een bug in Android App, niet de kernel of userland omgeving- die met 8.1 en v9 stricter moet zijn) ?
Kan iemand mij even kort bijpraten over hoe veilig de laatste 2 Android versies (en je mag 10/X ook meenemen) zijn wat betreft rogue apps en privacy escalation?
Kan iemand mij ook vertellen (een rapportcijfer of kort omgeschreven) hoe Android 10 zich verhoudt tot 9 en 8.1 m.b.t. security breaches? Ik wil een Android kopen voor kerst maar zoek een toestel met niet teveel bloat en ook geen grote userland (want hoger bug potentieel). X of 10 heeft volgens mij weer meer fratsen dan 9 en 8.1 voelt best "schoon" aan maar dat dat zegt natuurlijk niets.
LineageOS vertrouw ik minder (en met Gapps is het gewoon een normale Android) omdat Google een reputatie stand dient te houden en zich geen grote leks kan permitteren. Als alleen de NSA (Alphabet dus Google) kan meekijken vind ik dat best als het OS daarbij verzekerd veilig blijft. Het is al fijn dat ze de Playstore doorlopend scannen en nu ook melden over "deze app bevat reklame" naast "deze app bevat in-app-aankopen". Want reklameservers is indirect third party advertising en dus weer third party privacy lekken.
Wat adviezen voor een secure Android? Misschien nog een paar handige apps? En helaas moet ik Whatsapp gebruiken want de hele familie gebruikt dat. Een virusscanner lijkt me niet zo zinvol meer met de scherpere sandboxing en alle "virusscanners" zijn gewoon veredelde ccleaner achtige programma's op Android. Rootkits zul je er dus NOOIT mee kunnen vinden.
Klopt toch dat Sandboxes in Android 9 nu via SeLinux met enforced ruleset PER APP worden ingesteld? Is dat trouwens per launch van een willekeurige app of voor elke app een "mini omgeving" ?
SeLinux is toch een MAC systeem geen sandbox systeem? Lijkt mij een groot verschil of moet ik denken aan iets tussen "Chroot" en FreeBSD jails ("Chroot met kernel") hier in Android 8.1 en 9 ?
Als de beweringen over verbeterde sandboxes in deze versies (9 stricter dan 8.1) kloppen dan kun je die Apps met user escalation bugs veilig draaien (ervan uitgaande van een bug in Android App, niet de kernel of userland omgeving- die met 8.1 en v9 stricter moet zijn) ?
Kan iemand mij even kort bijpraten over hoe veilig de laatste 2 Android versies (en je mag 10/X ook meenemen) zijn wat betreft rogue apps en privacy escalation?
Kan iemand mij ook vertellen (een rapportcijfer of kort omgeschreven) hoe Android 10 zich verhoudt tot 9 en 8.1 m.b.t. security breaches? Ik wil een Android kopen voor kerst maar zoek een toestel met niet teveel bloat en ook geen grote userland (want hoger bug potentieel). X of 10 heeft volgens mij weer meer fratsen dan 9 en 8.1 voelt best "schoon" aan maar dat dat zegt natuurlijk niets.
LineageOS vertrouw ik minder (en met Gapps is het gewoon een normale Android) omdat Google een reputatie stand dient te houden en zich geen grote leks kan permitteren. Als alleen de NSA (Alphabet dus Google) kan meekijken vind ik dat best als het OS daarbij verzekerd veilig blijft. Het is al fijn dat ze de Playstore doorlopend scannen en nu ook melden over "deze app bevat reklame" naast "deze app bevat in-app-aankopen". Want reklameservers is indirect third party advertising en dus weer third party privacy lekken.
Wat adviezen voor een secure Android? Misschien nog een paar handige apps? En helaas moet ik Whatsapp gebruiken want de hele familie gebruikt dat. Een virusscanner lijkt me niet zo zinvol meer met de scherpere sandboxing en alle "virusscanners" zijn gewoon veredelde ccleaner achtige programma's op Android. Rootkits zul je er dus NOOIT mee kunnen vinden.
Wil iemand hier op reageren? Over Sandboxen en de invloed van deze specieke local priv escl. bij nieuwe Androids met een beter sandbox systeem , dus 8.1 en 9? Ik heb al genoeg oorsuizen en lees hier alleen maar over listerine en de Jehovaz maar die staan bij mij op de Ignore dus graag praktische en nuttig info anders ben ik na maandag voorgoed weg ook van deze site.
CVE-2019-2215
Published 2019-10-11T19:15:00
A use-after-free in binder.c allows an elevation of privilege from an application to the Linux Kernel. No user interaction is required to exploit this vulnerability, however exploitation does require either the installation of a malicious local application or a separate vulnerability in a network facing application.Product: AndroidAndroid ID: A-141720095
Het is dus niet gewoon Linux maar Android specifiek. Raakt ook LineageOS met deze kernel. Ik heb maar even de moeite genomen om te googlen. Binder.c? Is dat iets wat buiten het bestek valt van de SeLinux enforced chroots?
Als ik Kangaroot enz bekijk blijven deze local root exploits een permanent probleem.
Waarom heeft Android geen systeem ala FreeBSD jails waarbij je een subsysteem kunt lanceren voor 2 of 3 verschillende omgevingen bv. bankieren, internet en prive data? Jails is qua geheugen effectiever dan HVM en QEMU achtige oplossingen die ondoenlijk zijn op Androids, hoewel... met die processoren van tegenwoordig zijn die telefoons overkill voor het draaien van een chatappje. Ik snap het allemaal niet meer, waarom doormodderen met een implementatie van chroot met SeLinux en geen AppArmor of eigen Google versie van grsecurity. Daarbij heb je ook stack overflow protection, canarie en NX bit plus een paar andere truukjes...
Ik heb me er niet eens in verdiept maar dit lijkt me toch wel de basis van een OS platform vooral als je userbase de halve wereldbevolking is.
Door Anoniem: " k vind dat een beetje een sabotagepoging waar de VS en Google weer de zwarte piet krijgen toegeschoven. En dat voor kleinschalige winsten voor private securitybedrijven waarvan je niet weet aan wie ze hun software verkopen."
Google domineert het volledige cyber gebeuren met een voor de mensheid ongezien monopolie en jij hebt het over zwarte piet toeschuiven ?
Google domineert het volledige cyber gebeuren met een voor de mensheid ongezien monopolie en jij hebt het over zwarte piet toeschuiven ?
Omdat kleine bedrijfjes bij hun bondgenoten (alweer Israel) in principe het consumentenvertrouwen in hun grootste leverancier (Alphabet) beschadigen wat ten koste gaat van de hele keten van de veiligheidsindustrie (bigdata). Het zijn altijd dezelfde kleine bedrijfjes die haantje de voorste willen spelen met een blackhat beveiligingsproduct (voor kort durende winst want AV makelaars kopen die producten ook op) terwijl ze net zogoed hadden kunnen bijdragen aan het imago van Android... en dus via de 5eyes of whatever hun info kunnen afnemen. Maar goed we zien wel of er een alternatief komt uit China... Dat ongetwijfeld ook vol zal zitten met spionage software en mogelijk van 2 kanten...dus echt een oplossing? En dan Rusland? Die maken zelf ook niets en leveren alleen kritiek. Het zijn toch weer Amerikaanse bedrijven en de EU die geld stoppen in FOSS community producten en af en toe een miljardair die erkent dat hij zonder Linux nooit zijn imperium op had kunnen bouwen. We hebben geen keuze en vrijheid maar we hebben ook geen KWALITEIT in die beperkte keuze... vroeger had je een Jugo paspoort, dat was het beste paspoort in de wereld in die tijd...
De enige oplossing voor deze ICT problematiek is nog strikere checks en controls met nog betere auditing systemen. Dat mensen in de security of development van sommige producten maar by default 24/7 gevolgd worden... het is het beste voor iedereen want de corruptie komt niet altijd van boven maar ook van opzij... je zult zien dat Pegasus software niet op zwarte lijsten komt waar andere "industriebedrijven" geen zaken mee mogen doen... Het kaartenhuis stort zo vanzelf in en als zij zich niet eerst zelf fixen van binnen uit dan hebben we allemaal een probleen (mensenrechten ja) want de techniek gaat alleen maar vooruit dus je moet mee en je moet er bovenop zitten als marktleider zoals Alphabet en dan is het laatste wat je wil je platformen steeds aanbieden tegen door derde partijen "hackbare" normen ... dat heet als je marktleider wil blijven in de toekomst. Mensen willen een goed leven en kwaliteit.... let maar op zodra er een alternatief komt springt het gepeupel om. En de oplossing ligt dan niet in het kapot maken van alternatieven. Dit is hetzelfde als aanslagen plegen om veiligheidspoortjes te verkopen tegen aanslagen maar uiteindelijk sta je zelf ook steeds urenlang in de rij.... Ze zien het gewoon niet.
Door Anoniem: Ja het was allemaal zogenaamd beter dan Windows phone? Windows was altijd up to date lange termijn maar gratis spyware van Google Android moest er door geduwd worden? Nu weten we pas de echte reden van de populaire reden van Android. Goudmijn voor app verkopers. Iedereen constant kunnen spioneren. Concurrentie of andere keuzes zijn er niet meer. Misschien Huawei met Harmony de zaak gaat redden?
En Windows 10 is met al die telemetrie geen spyware? Het is hoofdzakelijk geflopt omdat er te weinig apps beschikbaar waren en omdat Microsoft te laat in de markt gestapt is.
Weer een bewijs dat de VS en Israel ons bespioneerd! De Pegasus spyware is ontwikkeld door Israel.
Waarom klagen wij hun niet aan? Waarom geen kamervragen? Waarom worden ze niet berecht?
Waarom klagen wij hun niet aan? Waarom geen kamervragen? Waarom worden ze niet berecht?
Door Anoniem: OOK HIER WEER: toegang tot camera en microfoon,
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
d.w.z. het goudmijntje voor dataverzamelaars en surveillance diensten.
Wie nu nog steeds denkt dat dit "per ongeluk" gebeurde, is wel heel naïef.
Wie denkt dat dit met opzet gebeurde is minstens net zo naief want
A) als zoiets uitkomt dan is het einde van het bedrijf.
en
B) Alexa, Siri en Google-home luisteren al jaren met toestemmingvan de gebruiker mee,
Ik ben er allang van overtuigd: Google is evil.
Dat weten we allemaal alheel lang hoor.
Wat ze je met de ene hand zeggen te geven, nemen ze met tien andere handen dubbel en dwars terug
namelijk in de vorm van je data (privacy) of in de vorm van geld van derde partijen die dan toegang krijgen tot je data/privacy.
En daar heeft google nooit een geheim van gemaakt. De pest is dat alle andere fabrikanten het ook doen, maar omdat zij er niet voor uitkomen denken gebruikers dat ze daar veilig zijn.
Ik begrijp je frustratie wel maar je spartelt nu een beetje in het luchtledige. Er zijn tigduizende websites die op allerlei manieren de gebruikver overhalen om toestemminge te geven voor de mic en de camera. Dat het nu via een bug ook mogeliujk blijkt te zijn..tsja,je hebt de webcam van je laptop toch ook afgeplakt omdat "je weet maar nooit"?
Om dit nu af te wikkelen op google is gewoon naief.
Wanneer zo'n Israëlische groep iets dergelijks ontwikkeld voor overheden om te gebruiken op Android apparaten, ligt het dan niet voor de hand dat deze Israëliërs ook iets maken voor Windows, IOS en MacOS.
Mij interesseert in zo'n geval niet waar het ontdekt is maar eerder waar het nog niet ontdekt is
Mij interesseert in zo'n geval niet waar het ontdekt is maar eerder waar het nog niet ontdekt is
24-11-2019, 08:26 door
spatieman
long story short, dit gaat nooit gepatched worden, koop maar een nieuw toestel, en dan mag je hopen dat het gedicht is.
mja, niet dus.
mja, niet dus.
Door Anoniem: Wanneer zo'n Israëlische groep iets dergelijks ontwikkeld voor overheden om te gebruiken op Android apparaten, ligt het dan niet voor de hand dat deze Israëliërs ook iets maken voor Windows, IOS en MacOS.
Mij interesseert in zo'n geval niet waar het ontdekt is maar eerder waar het nog niet ontdekt is
Mij interesseert in zo'n geval niet waar het ontdekt is maar eerder waar het nog niet ontdekt is
En weet je aan wie zij dit soort software verkopen? Het eindigt vrijwel altijd in de hand van Arabische landen vooral dictaturen die geen of weinig middelen hebben net zoals Fox IT nog met Assad en Mubarak werkte ...
Ik begrijp wel wat de vorige posters schrijven.
Israel moet zijn eigen veiligheid op orde houden. Het is leuk als je goed bent met computers en in in U8200 terecht komt met als bijbedoeling om daar niet te lang te blijven zitten en je eigen zaak te starten voor Big Business zoals ze daar allemaal doen want U8200 is een opstapje...
Ondertussen wordt ALPHABET en dus Google en ook de NSA/NCS weer vuil nagekeken terwijl dit soort lekken, waarover Israelische bedrijven (plus hun afnemers in de schaduw) vast nog meer beschikken... Terwijl Israel een van de bondgenoten is van de NSA/CIA en de USG inlichtingen verstrekt aan dat land en de Israelische diensten... een soort steek in de rug dus.
Israel is het 6de, onofficieel lid van de NSA 5EYES. https://www.richardsilverstein.com/2014/02/09/nsa-maintains-satellite-facility-in-israel/
Een beetje meer dankbaarheid en wat minder trollen en bondgenoten hacken was wel op zijn plaatst geweest want ik ben uitvoerig in die regio geweest en kan je wel zeggen dat Israel zonder Westerse inlichtingen een probleem zou hebben.
Maar ik kan blijven preken, Jesus, er luistert toch niemand.
Ik ben overigens bezig met het onder de loep nemen van een deel van Googles producten naar aanleiding van deze bug.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
