Google dicht Androidlekken die aanvaller op afstand code laten uitvoeren
Google heeft tijdens de patchcyclus van april 55 beveiligingslekken in Android gepatcht, waaronder meerdere ernstige kwetsbaarheden waardoor een aanvaller op afstand code op toestellen kan uitvoeren. Vier van deze ernstige beveiligingslekken bevinden zich in Android-system. Door een "speciaal geprepareerd" bestand te versturen kan een remote aanvaller willekeurige code uitvoeren in de context van een geprivilegieerd proces, aldus de omschrijving van Google.
Naast deze vier kwetsbaarheden in Android heeft Google ook patches toegevoegd voor negen ernstige kwetsbaarheden in onderdelen van chipgigant Qualcomm. Het gaat onder andere om de WLAN-software. Een kwaadaardig access point zou via wifi een "out of bound write" kunnen veroorzaken en zo code op het toestel kunnen uitvoeren. Verdere details over de ernstige kwetsbaarheden zijn zowel door Google als Qualcomm niet gegeven.
De overige beveiligingslekken maakten het onder andere mogelijk voor kwaadaardige apps om zonder interactie van gebruikers aanvullende permissies te krijgen of code in de context van een geprivilegieerd proces uit te voeren. Verder zijn er drie kwetsbaarheden in de Androidkernel gepatcht waardoor een aanvaller met fysieke toegang via een "speciaal geprepareerd usb-apparaat" willekeurige code op toestellen kan uitvoeren.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2020-04-01' of '2020-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
De meeste van ons (tenminste die zo denken als ik) hebben een telefoon van 3+ jaar omdat het ding moet bellen en SMS'en en geen renderjobs of zware games moet draaien. Maar het niet willen meedoen aan de laatste hypes wordt bestraft want je loopt gewoon met een gatenkaas rond na een jaar of 2.
Niet dat we de fabrikant massaal laten vallen die het verrekt z'n rotzooi dicht te houden zodra je hebt betaald. Nee! Het Nedervee bestelt zich gewoon een nieuwe. En daarmee blijft dit verdienmodel in stand en lopen we allemaal met een lekke telefoon rond.
Jullie (ik heb geen Android meer) zijn het zelf schuld. Zit maar lekker op de blaren!
Een Motorola Moto E6 Play met android 9 er op, uitgekomen in +/- november 2019
Dus voorlopig wordt deze wel bijgehouden met allerlei belangrijke updates, dacht ik nog.
Tot op de dag van vandaag heb ik hier nog enkel beveiliging update gehad, op bij gewerkte versie uit google play na.
Wat voel ik mezelf bekocht/ opgelicht hiermee.
Als ik dat van tevoren had geweten, dan was het nooit een Motorola geworden.
De meeste van ons (tenminste die zo denken als ik) hebben een telefoon van 3+ jaar omdat het ding moet bellen en SMS'en en geen renderjobs of zware games moet draaien. Maar het niet willen meedoen aan de laatste hypes wordt bestraft want je loopt gewoon met een gatenkaas rond na een jaar of 2.
...
Jullie (ik heb geen Android meer) zijn het zelf schuld. Zit maar lekker op de blaren!
De meeste mensen hebben geen alternatief, niet voor iedereen is het weggelegd om over te stappen op Apple of een custom rom te installeren. Het is de wetgever die de consument niet tot onvoldoende beschermd tegen dit absurde systeem. Vermoedelijk wordt er achter de schermen ruim aan verdiend d.m.v. "lobby werk".
Een Motorola Moto E6 Play met android 9 er op, uitgekomen in +/- november 2019
Dus voorlopig wordt deze wel bijgehouden met allerlei belangrijke updates, dacht ik nog.
Tot op de dag van vandaag heb ik hier nog enkel beveiliging update gehad, op bij gewerkte versie uit google play na.
Wat voel ik mezelf bekocht/ opgelicht hiermee.
Als ik dat van tevoren had geweten, dan was het nooit een Motorola geworden.
Schandalig inderdaad! Je hebt het miserabele recht op 2 jaar updates na release en zelfs dat word je ontnomen.
Heb een Mi A3 met Android One erop. Ik krijg updates maar pas aan het einde van de maand, letterlijk de laatste dag van de maand. Klaarblijkelijk is er een goedkoper pakketje gekocht door de Chinezen...
niks krijgen ze daar voor elkaar, ze verdienen knaken in brussel en dat is genoeg.
Ohhh pietje ik heb geen zin vandaag, teken jij ff voor mij dan strijk ik toch geld op.
Ja tuurlijk jantje, wij in brussel besodemieteren de zaak wel, en dat over de rug van gewone mensen.
Dus maak je geen illusie,die natnekken in brussel doen echt niets om een beter update beleid te maken cq verplichten.
Nee kom op zeg ze krijgen allemaal hun foontje gratis van de fabrikanten
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
