Androidtoestellen kwetsbaar voor permanente dos-aanval
Androidtoestellen bevatten een kwetsbaarheid waardoor een aanvaller een permanente denial of service kan veroorzaken, zodat het toestel niet te gebruiken is. Ook is het mogelijk voor aanvallers om Androidtelefoons en -tablets op afstand over te nemen. Google heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen.
Met de eerste patchronde van 2021 verhelpt Google in totaal 43 beveiligingslekken in Android. Twee beveiligingslekken in Android zelf zijn door Google als kritiek bestempeld. Het gaat om een kwetsbaarheid in het Android Framework waardoor een aanvaller via een "speciaal geprepareerde transmissie" willekeurige code in de context van een geprivilegieerd proces uit te voeren. Zo kan een aanvaller het toestel overnemen.
Verdere details over dit beveiligingslek, aangeduid als CVE-2021-0316, worden niet gegeven. De omschrijving die Google heeft is in het verleden ook gebruikt voor kwetsbaarheden in onder andere bluetooth. Verder is een kwetsbaarheid in het Android Framework als kritiek aangemerkt. Het gaat om CVE-2021-0313 die een permanente dos-aanval mogelijk maakt.
Google verhelpt met de maandelijkse beveiligingsupdates niet alleen kwetsbaarheden in de eigen Androidcode, maar ook in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het onder andere om twee kritieke kwetsbaarheden in de software van chipgigant Qualcomm. Specifiek in de wifi-firmware en code die video's verwerkt. Door de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren. Beide kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de impact met een 9,8 beoordeeld.
Verder valt op dat Google met de eerste patchronde van 2021 een beveiligingslek in Android heeft verholpen dat al in 2016 aan Red Hat was gerapporteerd. Volgens Google maakt CVE-2016-6328 het mogelijk voor een aanvaller om door middel van een speciaal geprepareerd bestand willekeurige code in de context van een geprivilegieerd proces uit te voeren.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2021-01-01' of '2021-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9, 10 en 11.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Of waar je deze info kan vinden.
Zijn er misschien bedrijven die dit voor je kunnen oplossen tegen een redelijke vergoeding.
Of is dit eventueel zelf te doen. Als het niet al te moeilijk is.
Ik ben daar niet zo heel erg handig in maar kan het altijd uitproberen op oudere toestellen.
Android 7 wordt al niet meer gepatched dus een OS van nog geen 4 jaar oud wordt al niet meer onderhouden door Google.
Dus een toestel van 800 euro heeft bij Samsung een levensduur van nog geen 4 jaar.
Is dat soms zo lastig?
Is dat soms zo lastig?
Gezien de reactie van @17:04 kom je dan bij Apple uit.
Dat verbaasde mij ook. Voor mijn gevoel is mijn toestel met Android 7 nog vrij nieuw. De hardware van mijn S6 voldoet aan alle kanten nog aan de eisen die ik aan mijn telefoon stel. Ik heb nog niet bewust gemerkt dat de accu slechter wordt. (Ik heb een toestel waarvan je de accu alleen kunt omwisselen als je eerst het display verwijderd, zodat je hem zult moeten opsturen).
De volgende zal toch van Apple zijn. Die lijkt duurder bij de aanschaf, maar is per jaar gebruik uiteindelijk goedkoper door de langere ondersteuning.
Soms werken bepaalde zaken nog niet goed zoals de camera bijvoorbeeld. Voorbeelden van Linux voor de telefoon zijn Ubuntu Touch en Sailfish OS. En het is meestal niet op alle toestellen zomaar te installeren. Als je een beetje gangbaar toestel hebt dan kan je misschien beter eens zoeken naar een LineageOS rom of een AOSP rom. Dit zijn alternatieve Android versies, meestal ontdaan van alle overbodige rommel. Wil je een echte Linux versie draaien dan heb je met de LG Nexus 5, de Pine Phone of de Librem 5 de beste kans.
Is dat soms zo lastig?
Gezien de reactie van @17:04 kom je dan bij Apple uit.
apple lacht zich kapot dan, mja, niet erg, een up2date droid ding kost al bijna netzoveel als een iphone.
Is dat soms zo lastig?
Gezien de reactie van @17:04 kom je dan bij Apple uit.
apple lacht zich kapot dan, mja, niet erg, een up2date droid ding kost al bijna netzoveel als een iphone.
Een up2data droid ding zoals Apple deze support is niet te koop.
Mijn 5S kreeg onlangs nog gewoon een update (niet verwarren met een upgrade), toestel is uitgekomen in September 2013.
Even in herinnering;
2013 is het jaar dat Nelson Mandela overleed, de aanslag op de Boston marathon plaats vond en Koningin Beatrix aftrad.
Soms werken bepaalde zaken nog niet goed zoals de camera bijvoorbeeld. Voorbeelden van Linux voor de telefoon zijn Ubuntu Touch en Sailfish OS. En het is meestal niet op alle toestellen zomaar te installeren. Als je een beetje gangbaar toestel hebt dan kan je misschien beter eens zoeken naar een LineageOS rom of een AOSP rom. Dit zijn alternatieve Android versies, meestal ontdaan van alle overbodige rommel. Wil je een echte Linux versie draaien dan heb je met de LG Nexus 5, de Pine Phone of de Librem 5 de beste kans.
Android is een verGoogelde Linux versie dus wat hou je over als je daar Google weer uithaalt? ;-)
Maar ik snap je opmerking en ben het met je eens dat echte Linux telefoons nog niet hard van de grond komen. Er zijn wat initiatieven maar ook wat mislukkingen te noemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
