image

Androidtelefoons door kritieke lekken op afstand over te nemen

woensdag 4 november 2020, 13:46 door Redactie, 6 reacties

Google heeft tijdens de patchcyclus van november meerdere kritieke beveiligingslekken in Android gepatcht die het mogelijk maken om toestellen op afstand over te nemen. In totaal zijn er 33 kwetsbaarheden verholpen waarvan er vijf als ernstig zijn aangemerkt. Drie kwetsbaarheden in het Android Framework en System maken remote code execution mogelijk.

De kwetsbaarheid in Android System is volgens Google het gevaarlijkst. Via dit beveiligingslek, aangeduid als CVE-2020-0449, kan een aanvaller in de buurt van gebruikers door het versturen van een "speciaal geprepareerde transmissie" willekeurige code uitvoeren in de context van een geprivilegieerd proces. Mogelijk gaat het om een kwetsbaarheid in bluetooth. In het verleden heeft Google voor bluetooth-lekken dezelfde bewoording gebruikt, maar of dit ook nu het geval is, is onduidelijk. Verdere details worden niet over de kwetsbaarheid gegeven.

De beveiligingslekken in het Android Framework maken het ook voor een aanvaller mogelijk om op afstand code uit te voeren, alleen dan door middel van een speciaal geprepareerd bestand. De overige kwetsbaarheden maken het mogelijk voor malafide apps om zonder interactie van gebruikers aanvullende permissies te verkrijgen of een permanente denial of service te veroorzaken. Verder zijn meerdere kwetsbaarheden in de software van chipfabrikanten MediaTek en Qualcomm verholpen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2020-11-01' of '2020-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (6)
04-11-2020, 15:18 door Anoniem
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Einde oefening.
Dan heeft al de eerdere informatie weinig tot geen toegevoegde waarde.

Het wordt tijd dat dit echte prpbleem nu eens definitief opgelost wordt door Google !

OS en de schillen van telco en producent scheiden van elkaar.
En daarna Google zelf direct de updates laten uitrollen voor haar OS. Geen wachttijden, geen ongepatchte appraten, etc.

Misschien maar een wettelijke verplichting van zien te maken?
04-11-2020, 16:12 door Anoniem
Door Anoniem:
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Einde oefening.
Dan heeft al de eerdere informatie weinig tot geen toegevoegde waarde.

Het wordt tijd dat dit echte prpbleem nu eens definitief opgelost wordt door Google !

OS en de schillen van telco en producent scheiden van elkaar.
En daarna Google zelf direct de updates laten uitrollen voor haar OS. Geen wachttijden, geen ongepatchte appraten, etc.

Misschien maar een wettelijke verplichting van zien te maken?

Ik lees het al. U moet een google pixel aanschaffen, dan bent u van al het gezeik af.
04-11-2020, 16:54 door Anoniem
Voor de oplossing van de update problemen moeten we denk ik meer naar de qualcoms en broadcoms van deze wereld kijken, die zorgen ervoor dat er binary-only drivers en blobs nodig zijn om hun devices in telefoons te laten functioneren. Daarmee zit je direct ook vast aan specifieke (kernel)versies vast en kan je zonder hun hulp niet probleemloos updaten.
06-11-2020, 07:15 door spatieman
maar is het BT lek nu ook eens onderhanden genomen ?
09-11-2020, 17:06 door Anoniem
..... In het verleden heeft Google voor bluetooth-lekken dezelfde bewoording gebruikt, maar of dit ook nu het geval is, is onduidelijk.
Als dit wel lekken in bluetooth zijn dan lopen alle gebruikers die de CORONA-app hebben geinstalleerd hiermee gevaar!
Voor de corona-app moet bluetooth aan staan.
01-12-2020, 09:12 door Anoniem
Hee....vandaag (1 december 2020) op de Alcatel inderdaad de update van 5 november binnengekregen.
Vroeger werden de goedkoopste modellen van Alcatel nauwelijks ondersteund. Wel jammer dat je daarvoor een duurder model moet aanschaffen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.