Informatie op Androidtelefoons via kritieke kwetsbaarheid op afstand te stelen
Een kritieke kwetsbaarheid maakt het mogelijk voor aanvallers om op afstand informatie van Androidtelefoons te stelen. Google heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Het komt zelden voor dat kwetsbaarheden die alleen het stelen van informatie mogelijk maken als kritiek worden bestempeld.
Tijdens de laatste patchronde van dit jaar verhielp Google in totaal 49 beveiligingslekken in Android. De gevaarlijkste kwetsbaarheid bevindt zich in het Media Framework van Android en maakt "remote information disclosure" mogelijk, zonder dat een aanvaller aanvullende permissies nodig heeft. Verder is er een kwetsbaarheid in Android System verholpen waardoor een aanvaller code op Androidtelefoons kan uitvoeren.
Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek en Qualcomm. Eén van de kwetsbaarheden in de software van Qualcomm zorgt voor een klassieke buffer overflow bij het afspelen van audiobestanden. Dit beveiligingslek, waarvan de impact op een schaal van 1 tot en met 10 met een 9,8 is beoordeeld, is op afstand door aanvallers te misbruiken.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2021-12-01' of '2021-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 9, 10, 11 en 12.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
En Microsoft, Apple, Facebook, overheden, etc, etc ,etc
Het is ondertussen een lang lijstje van alle organisaties die je in de gaten kunnen houden of data van je verzamelen.
En organisaties als banken willen dan vervolgens "veilig" hun apps op dat soort kwetsbare platformen draaien.
De behoefte om een iode of e-phone te kopen wordt steeds groter.
Maar goed niet iedereen heeft AMBI I1 gedaan lol.
En Microsoft, Apple, Facebook, overheden, etc, etc ,etc
Het is ondertussen een lang lijstje van alle organisaties die je in de gaten kunnen houden of data van je verzamelen.
En organisaties als banken willen dan vervolgens "veilig" hun apps op dat soort kwetsbare platformen draaien.
De security op smart phones is vele malen beter dan de meeste andere apparaten door middel van sandboxing etc.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.
En het was nog een ontzettend goedkoop model ook van 99 euro nieuw.
Een Moto E6 Play met Android 9.
Ja, dat Google de uitrol van security patches overgelaten heeft aan de leveranciers en telco's, die er soms ook nog eerst even hun sausje overheen willen gieten.
Eind december, half januari houd mijn Motorola er mee op en de laatste van november kreeg ik pas vorige week.
Maar dan heeft Motorola het wel precies 2 jaar volgehouden met updates.
Niet altijd even op tijd helaas.
Het zou mij verbazen als ik deze deze maand of in januari nog zou krijgen.
Er zijn merken die het slechter doen.
En het was nog een ontzettend goedkoop model ook van 99 euro nieuw.
Een Moto E6 Play met Android 9.
Weet je dat heel zeker?
Ik heb zelf recent de Motorola e6i aangeschaft, geüpdatet naar Android 10 en laatste Android/beveiligingspatch op 5 oktober.
Dit toestel is nog niet EOL hoop ik.
Ik heb het nog even na gekeken, 6 november. De laatste beveiliging update.
Raar dat dat bij andere modellen anders verloopt.
Je zou toch verwachten dat ze dan dat voor ieder model gelijk updaten.
En wat is EOL?
Dat model van jou is ook onder de 100 euro zie ik. Maar wel een verouderd model.
Android 12 hebben we inmiddels.
https://www.bol.com/nl/nl/p/motorola-moto-e6i-32gb-grijs/9300000032306660/?bltgh=lt4aAd5jvaqoO4SCuOlEjA.2_13.14.ProductTitle
Dus daar kan het verschil niet in zitten.
Mijn volgende telefoon is weer een Motorola, Als ik er 1 aanschaf.
En wat is EOL?
Daarom zal ik nooit van mijn leven ook nooit zo'n internet tv aanschaffen.
Het was eerder bekend dat daar vrijwel niets meer aan updates kreeg.
Daar zijn een hoop mensen in gestonken in dat verkoop praatje.
Ik prik er dan wel zo'n google chrome cast kastje in of sluit een pc op mijn tv aan via HDMI.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
