Google verhelpt meerdere ernstige Android-lekken die aanvaller code laten uitvoeren
Google heeft tijdens de patchronde van juli meerdere kwetsbaarheden in Android verholpen waardoor een aanvaller in het ergste geval code op toestellen kan uitvoeren. In totaal gaat het om 24 beveiligingslekken waarvan er zeven als ernstig zijn beoordeeld.
Drie van de ernstige kwetsbaarheden zijn aanwezig in het Media Framework en System van Android. Van twee van deze beveiligingslekken, CVE-2020-0224 en CVE-2020-0225, zijn nog geen details bekend. De derde kwetsbaarheid, aangeduid als CVE-2020-9589, bevindt zich in de Adobe DNG Software Development Kit (SDK). De Adobe DNG SDK maakt het mogelijk om DNG-bestanden te lezen, schrijven en converteren naar een ander formaat.
De software bevat een heap overflow kwetsbaarheid die via een speciaal geprepareerd bestand is te misbruiken. Ook via de twee andere kwetsbaarheden kan een aanvaller middels een speciaal geprepareerd bestand willekeurige code uitvoeren in de context van een geprivilegieerd proces.
Broadcom
Android bestaat niet alleen uit software van Google. Het besturingssysteem maakt ook gebruik van software die door andere partijen zoals Broadcom, MediaTek en Qualcomm is ontwikkeld. De overige vier ernstige kwetsbaarheden zijn aanwezig in de software van Qualcomm. Twee van de beveiligingslekken, CVE-2020-3698 en CVE-2020-3699, zijn aanwezig in het "WLAN component", maar verdere details worden niet gegeven.
Die details zijn wel beschikbaar voor de andere twee kwetsbaarheden: CVE-2019-9501 en CVE-2019-9502. Deze beveiligingslekken bevinden zich in de wifi-driver van Broadcam. Door het versturen van speciaal geprepareerde wifi-pakketten kan een aanvaller een heap buffer overflow veroorzaken en zo willekeurige code op het systeem uitvoeren of een denial of service veroorzaken.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juli-updates ontvangen zullen '2020-07-01' of '2020-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juli aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Alleen jammer dat mijn telefoon geen updates meer ontvangt, en mijn tablet ook niet.
Het is ook jammer dat we alleen nog Apple als telefoon OS variant hebben, want die hebben hun update/grade systeem wel op orde.
Android is helaas een zooitje.......
Alleen jammer dat mijn telefoon geen updates meer ontvangt, en mijn tablet ook niet.
Het is ook jammer dat we alleen nog Apple als telefoon OS variant hebben, want die hebben hun update/grade systeem wel op orde.
Android is helaas een zooitje.......
Android is niet zozeer het probleem. Het probleem is vooraf de fabrikant. Kies een toestel dat Android One heeft. Dan is het updatebeleid wel op orde.
De meeste hebben hun eigen variant en schil om Android.
Google had hun update beleid veel strikter moeten opzetten, nu is het willekeur van de leverancier van je telefoon.
Updates loskoppelen van de leverancier, hooguit controle ivm drivers. Daarna dwingen tot upgraden.
Apple is mij veel te duur, en te 'walled garden', anders was ik al overgestapt. Mis Windows Mobile nog elke dag... Zucht..
De meeste hebben hun eigen variant en schil om Android.
Google had hun update beleid veel strikter moeten opzetten, nu is het willekeur van de leverancier van je telefoon.
Updates loskoppelen van de leverancier, hooguit controle ivm drivers. Daarna dwingen tot upgraden.
Apple is mij veel te duur, en te 'walled garden', anders was ik al overgestapt. Mis Windows Mobile nog elke dag... Zucht..
De prijzen van Apple vallen best mee de laatste tijd. Voor ca. 330 euro heb je een nieuwe SE 2020 i.c.m. een abonnement bij b.v. BelSimpel ook de XR zit op die manier onder de 500 euro en die kan ook nog jaren mee. Je krijgt dan lang updates en prestaties die beter zijn dan gelijk geprijsde Android toestellen.
Ik wacht af. dit toestel zal ook in de herfst denk ik android 11 krijgen.
Maar ik vind het niet juist dat er mensen met andere Android toestellen rondlopen die geen updates krijgen. Persoonlijk vind ik dat de politiek in Den Haag een wettelijk voorschrift moet maken die fabrikanten verplicht om updates uit te rollen aan iedereen die Android heeft. Ook mensen met een minder grote beurs hebben recht op een veilig toestel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
