Nieuws
image

Androidlek kan aanvaller op afstand code laten uitvoeren

woensdag 4 maart 2020, 10:21 door Redactie, 10 reacties
Laatst bijgewerkt: 04-03-2020, 13:00

Google heeft tijdens de patchcyclus van maart 71 beveiligingslekken in Android verholpen, waaronder een ernstige kwetsbaarheid waarmee het mogelijk was om Androidtoestellen via een speciaal geprepareerd bestand op afstand over te nemen. Ook zijn er lekken opgelost die het mogelijk maakten om toestellen via een "speciaal gemaakt usb-apparaat" te compromitteren.

Van de 71 kwetsbaarheden die Google deze maand patchte bevinden zich er veertig in "closed-source" onderdelen van chipfabrikant Qualcomm. Zestien van deze beveiligingslekken zijn als ernstig aangemerkt, maar voor verdere details wijst Google naar de beveiligingsbulletins van Qualcomm. In de eigen kwetsbare Androidonderdelen vallen verschillende kwetsbaarheden op.

Het gaat als eerste om een ernstige kwetsbaarheid in het Media-framework. Via een speciaal geprepareerd bestand kan een remote aanvaller willekeurige code uitvoeren in de context van een geprivilegieerd proces. Verschillende kwetsbaarheden in het Android-system en FPC-onderdelen maken het mogelijk voor een kwaadaardige app om zonder interactie van gebruikers aanvullende permissies te krijgen.

Daarnaast zijn er meerdere kwetsbaarheden in de Androidkernel gepatcht. Die maken het mogelijk voor een lokale aanvaller om via een speciaal gemaakt usb-apparaat willekeurige code uit te voeren in de context van een geprivilegieerd proces.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de maart-updates ontvangen zullen '2020-03-01' of '2020-03-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van maart aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (10)
04-03-2020, 10:48 door Erik van Straten
In https://www.cert-bund.de/advisoryshort/CB-K20-0186 tel ik zelfs 123 CVE's (maar ik weet niet of dat klopt).
04-03-2020, 12:48 door souplost
Het is te hopen dat fabrikanten die niet met een patch komen (omdat het geld kost) worden afgestraft.
04-03-2020, 13:28 door linux4 - Bijgewerkt: 04-03-2020, 13:29
Door souplost: Het is te hopen dat fabrikanten die niet met een patch komen (omdat het geld kost) worden afgestraft.

Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
04-03-2020, 14:01 door karma4
Door linux4: Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Al die fraude https://nos.nl/artikel/2322709-fraudehelpdesk-bezorgd-over-explosieve-toename-whatsapp-fraude.html dat moet wel aan het OS liggen, tenminste dat is de redenering in de os flaming.
04-03-2020, 14:24 door linux4
Door karma4:
Door linux4: Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Al die fraude https://nos.nl/artikel/2322709-fraudehelpdesk-bezorgd-over-explosieve-toename-whatsapp-fraude.html dat moet wel aan het OS liggen, tenminste dat is de redenering in de os flaming.

De naam WhatsApp fraude doet vermoeden dat de fraude door fouten in WhatsApp veroorzaakt wordt wat uiteraard niet klopt. De slachtoffers hadden net zo goed op een andere manier slachtoffer kunnen worden. Heeft niets met wat voor hard- of software dan ook te maken.
04-03-2020, 14:30 door Anoniem
Door karma4:
Door linux4: Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Al die fraude https://nos.nl/artikel/2322709-fraudehelpdesk-bezorgd-over-explosieve-toename-whatsapp-fraude.html dat moet wel aan het OS liggen, tenminste dat is de redenering in de os flaming.

Ik volg ook nu weer deze redenatie van Karma4 niet.
WhatsApp is een multi-platform toepassing, en draait dus op iOS, Android, WindowsPhone, Blackberry, Symbian.Windows. MacOS.
https://nl.wikipedia.org/wiki/WhatsApp

Dus WhatsApp fraude heeft niets te maken met het OS, zoals Karma4 beweert.
Karma4 waar lees je dat (bron?)
04-03-2020, 20:56 door souplost
Door linux4:
Door souplost: Het is te hopen dat fabrikanten die niet met een patch komen (omdat het geld kost) worden afgestraft.

Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Die wetgeviing zal er voorlopig niet komen want dan zou ook Microsoft gestraft kunnen worden. Met straffen bedoelde ik dat gebruikers eens eindelijk met hun voeten gaan stemmen.
04-03-2020, 23:13 door Anoniem
Door souplost:
Door linux4:
Door souplost: Het is te hopen dat fabrikanten die niet met een patch komen (omdat het geld kost) worden afgestraft.

Dan moet er eerst wetgeving komen, anders valt er niets te straffen. Het gros van de Android gebruikers weet niet eens wat updates zijn en waarom het onveilig is als die updates niet meer komen. Aan de andere kant ook wel begrijpelijk als je ziet hoe weinig er in de praktijk fout gaat met ongepatchte telefoons.
Die wetgeviing zal er voorlopig niet komen want dan zou ook Microsoft gestraft kunnen worden. Met straffen bedoelde ik dat gebruikers eens eindelijk met hun voeten gaan stemmen.
Voor het geval, dat je het artikel NIET gelezen hebt, het gaat over Android!! Stop eens met dat gezeik over Microsoft!
05-03-2020, 07:45 door Anoniem
Mensen die ontevrden zijn over het updatebeleid van de fabrikant zouden dit wel eens interessant vinden:
https://e.foundation
https://download.lineageos.org/
05-03-2020, 17:06 door karma4
Door Anoniem: Ik volg ook nu weer deze redenatie van Karma4 niet.
WhatsApp is een multi-platform toepassing, en draait dus op iOS, Android, WindowsPhone, Blackberry, Symbian.Windows. MacOS. https://nl.wikipedia.org/wiki/WhatsApp

Dus WhatsApp fraude heeft niets te maken met het OS, zoals Karma4 beweert.
Karma4 waar lees je dat (bron?)

Ik volg de kromme redenering van onze OSS en Linux evangelisten dat alles aan het OS zou liggen.
Dat klopt van geen meter. Het werd wel zo ingezet met de microsoftscam en andere zaken door dit soort OSS figuren.

Informatieveiligheid risicomanagement Is een andere manier van denken. risico's impact scheiding van functies taken en veel meer. Dat gedoe van evangelisten is storend om daar wat gedagen te kunnen krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure