Kritiek beveiligingslek in Android kan smartphones onbruikbaar maken
Google heeft tijdens de patchcyclus van september een groot aantal kwetsbaarheden in Android verholpen, waaronder een kritiek beveiligingslek dat smartphones onbruikbaar kan maken. Deze kwetsbaarheid maakt volgens Google een "permanente denial of service" mogelijk.
In totaal zijn er met de september-updates veertig beveiligingslekken in het besturingssysteem verholpen. Via de lekken kan onder andere een kwaadaardige app zonder interactie van gebruikers aanvullende permissies krijgen en afgeschermde data van andere applicaties benaderen.
De gevaarlijkste kwetsbaarheid in de Androidcode is volgens Google CVE-2021-0687. Dit lek is aanwezig in het Android Framework en zorgt ervoor dat een aanvaller op afstand door middel van een speciaal geprepareerd bestand een permanente denial of service kan veroorzaken. Verdere details zijn niet door Google gegeven.
Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek, Unisoc en Qualcomm.
Zes van de kwetsbaarheden in software van Qualcomm zijn als kritiek aangemerkt. Vier daarvan zijn alleen lokaal door een malafide app op het toestel te misbruiken, maar twee kunnen op afstand worden misbruikt. Het gaat om CVE-2021-1933 en CVE-2021-1946 die aanwezig zijn in de software voor de datamodem en een aanvaller in het ergste geval willekeurige code laten uitvoeren. De impact van deze lekken is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2021-09-01' of '2021-09-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.1, 9, 10 en 11.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Lange leve de ongepatchte Androïd die zoveel mogelijk smartphones van dat volk (m/v) naar de Filistijnen jaagt.
Hoe destructiever.... hoe liever.
Is bekend of de rook eruit slaat? Dan geniet ik 100%. Puur leedvermaak... Verrukkelijk!
P.s
Ik kan niet wachten op Malware die hetzelfde flikt bij Apple telefoons!
Linux is geen spaghetti aan code, maar een verzameling van diverse packages die veelal door anderen onderhouden worden..
En dan kan er wel eens een bugje in sluipen.
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.
Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...
Maar op dit moment is dit "patch probleem" bij Android erger dan bij Microsoft Windows, waarbij Microsoft zelf voor het OS de updates verzorgt ongeacht welke hardware het geinstalleerd is, dus niet hardware leverancier afhankelijk.
Weet iemand hoe dit zit bij ChromeOS op ChromeBooks? Is het daar wel beter geregeld?
Je kan wel zoiets roepen (barstend van de taalfouten...), maar je demonstreert, net zoals een coronawappie, alleen maar je onbegrip met lekenpraat. Want Linux (en Android) is juist een voorbeeld van non-spaghetticode:
- de GUI code is netjes gescheiden van de rest in een GUI-laag;
- het hele besturingssysteem is netjes gelaagd opgezet (haar geslaagde architectuur is als de schillen van een ui [1], het is gewoon prachtig);
- Android is een laag bovenop Linux, die zelfs is geschreven in een andere programmeertaal! (Java);
- de verschillende onderdelen van de systeem- en applicatiesoftware zijn netjes gescheiden in pakketten, die je naar believen wel of niet installeert (je bepaalt zelf wat je systeem nodig heeft en wat niet; een server bv., is geen desktop en heeft geen GUI of printer software nodig, dus waarom zou je het aanvalsoppervlak onnodig vergroten met dergelijke functionaliteit).
[1] https://samuelarogbonlo.medium.com/onion-leaves-understanding-linux-22ab2a3e77ed
Lange leve de ongepatchte Androïd die zoveel mogelijk smartphones van dat volk (m/v) naar de Filistijnen jaagt.
Hoe destructiever.... hoe liever.
Apple fan? Maarre: Android (en) of Androïde (nl) --know thy enemy [2].
[2] https://www.goodreads.com/author/quotes/1771.Sun_Tzu#:~:text=%E2%80%9CIf%20you%20know%20the%20enemy,will%20succumb%20in%20every%20battle.%E2%80%9D
Ik kan niet wachten op Malware die hetzelfde flikt bij Apple telefoons!
Ho, wacht even, smartphone hater? [Update] Oh nee, ik zie het al, telefoon-in-het-verkeer hatert.
Dat is hiermee begonnen (een gefrustreerde windowswappie):
On topic:
Zo klinkt het wel maar er geldt nog steeds:
There are currently no reports of these vulnerabilities being exploited in the wild.
Successful exploitation of the most severe of these vulnerabilities could allow for remote code execution within the context of a privileged process. Depending on the privileges associated with this application, an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. If this application has been configured to have fewer user rights on the system, exploitation of the most severe of these vulnerabilities could have less impact than if it was configured with administrative rights.
(Blijkbaar is het zelfs met deze kwetsbaarheden ontzettend moeilijk om een robuust systeem als Android daardwerkelijk het vuur aan de schenen te leggen).
en:
- After appropriate testing, immediately apply updates by Google Android or mobile carriers to vulnerable systems.
- Remind users to only download applications from trusted vendors in the Play Store.
- Remind users not to visit un-trusted websites or follow links provided by unknown or un-trusted sources.
- Inform and educate users regarding threats posed by hypertext links contained in emails or attachments, especially from un-trusted sources.
https://its.ny.gov/security-advisory/multiple-vulnerabilities-276
Dus het zal mij benieuwen.
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.
Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...
Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.
Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
- Remind users not to visit un-trusted websites or follow links provided by unknown or un-trusted sources.
- Inform and educate users regarding threats posed by hypertext links contained in emails or attachments, especially from un-trusted sources.
Hoe kan een eindgebruiker nou weten of een website of link "trusted" is....
(trusted in de zin dat die de gebruiker niet zal gaan voorzien van malware)
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.
Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...
Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.
Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
Er wordt wel eens geklaagd op dit forum over de doorlooptijd van Microsoft updates...
Maar deze doorlooptijd ziet er wat mij betreft ernstiger uit voor het Android systeem, tevens oorzaak dat er afhankelijkheden zijn van hardware leveranciers, tevens met onzekerheid of een update wel op een toestel gaat komen.
Je zou eigenlijk willen zien dat Google alle "Android" toestellen op patch level zou kunnen updaten, ongeacht de aanpassingen die een hardware leverancier aan de software heeft gemaakt voor het specifieke toestel...
Ja je hebt gelijk, het updatebeleid van Android is totaal waardeloos!
Men zou inderdaad een onderscheid moeten maken tussen systeemupdates (die dan door Google gedaan worden) en
updates van specifieke toestelfeatures en driversoftware, die dan door de fabrikant gedaan worden.
Als er een probleem zit in de gemeenschappelijke Android software dan ben je evengoed afhankelijk van de pijplijn
van de fabrikant die deze updates moet doorleveren aan de toestellen. En niet alleen stopt die er mee zodra die denkt
dat er aan dat toestelmodel niet meer te verdienen is, maar ook geeft dit onnodige vertragingen.
Daar mag best wel eens wat meer aandacht voor komen want dit is zo gewoon niet goed. Als je een Dell laptop hebt
krijg je je Microsoft Updates ook niet via Dell! Wel de firmware en driver updates en de specifieke software die ze
er bij doen. Waarom moet het dan anders zijn als je een Samsung telefoon hebt met Android, bijvoorbeeld?
is in dit geval bij Microsoft VEEL BETER geregeld dan bij Google/Android. Die kunnen daar nog een voorbeeld
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.
is in dit geval bij Microsoft VEEL BETER geregeld dan bij Google/Android. Die kunnen daar nog een voorbeeld
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.
Natuurlijk heeft Microsoft onder druk van haar klanten het beschikbaar maken van updates goed geregeld! Dat is ook wel nodig want hun spaghetticodebouwwerk stort bijna in elkaar en heeft belachelijk veel updates nodig om überhaupt in de lucht te kunnen blijven. En de ene update veroorzaakt de andere omdat aanpassingen in de software onverwachte problemen veroorzaken op andere plekken (kenmerk van spaghetticode). En helaas voor de gebruiker is het updatemechanisme op de computer brak, traag en is continu rebooten nodig (file locking issues).
Hoe anders is het bij Android telefoons, ondanks het soort kwetsbaarheden die het onderwerp van dit topic zijn. Wanneer is jouw Android telefoon voor het laatst gegijzeld of ken je iemand waarbij dit is gebeurd? Wanneer zijn de data van jouw telefoon gestolen? Wanneer had je voor het laatst een virus op je telefoon? Weet je überhaupt nog wanneer je jouw telefoon voor het laatst opnieuw hebt opgestart? De antwoorden op bovenstaande vragen geven het verschil aan tussen robuuste software, die weinig kwetsbaar is, zelfs als er onvermijdelijke fouten in zitten en een brak spaghetticodebouwwerk als Microsoft Windows.
Inderdaad, het heeft dus niets met populariteit te maken, zoals de Windows adepten graag mogen suggereren (of denk je dat er meer Windows dan Android wordt gebruikt?)
Net als de laag op laag beveiliging, gaatjes stoppen in een lekke emmer. Of het werkt of werkt niet, zo zou het moeten zijn.
aan nemen! Microsoft biedt fabrikanten zelfs de mogelijkheid om eigen drivers via de Microsoft update te laten
bijwerken, veel beter dus dan de omgekeerde situatie zoals die bij Android geldt.
VEEL BETER .... lmho...
dat mag ook wel, aangezien ze elke 10 dagen een anoniem , remote exploiteerbare kwetsbaarheid hebben....
Maar serieus nu even:
anno 2021 roepen dat microsoft het goed heeft geregeld,
terwijl ze nog steeds unsalted passwords en hashes hebben als onderbouwing van het lekkende schip ,....... ???
really ?? Serieus ??
en dan nog denken dat je serieus met security bezig bent ... ??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Netwerk Security Engineer
Luchtverkeersleiding Nederland
Als Netwerk Security Engineer ontwerp en optimaliseer je onze technische netwerk- en beveiligingsinfrastructuur. Je stuurt tech-nische veranderingen aan op basis van de gestelde architectuur kaders en helpt mee met de uitvoering ervan. Ben jij een gedreven professional met passie voor netwerk-beveiliging? Dan is deze functie als Netwerk Security Engineer bij Luchtverkeersleiding Nederland (LVNL) iets voor jou!
Lead Network Security Engineer
Luchtverkeersleiding Nederland
Word Lead Network Security Engineer bij LVNL. Ontwerp en implementeer security-oplossingen die de luchtverkeersleidings-systemen veilig houden. Solliciteer nu en draag bij aan onze cyberweerbaarheid! Als Lead Network Security Engineer bij LVNL ben je verantwoordelijk voor het ontwerpen, implementeren en optimaliseren van de netwerkbeveiliging die cruciaal is voor de veilige en efficiënte werking van het luchtverkeersleidingssysteem in Nederland.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?