Miljoenen Androidtelefoons kwetsbaar voor aanval via bluetooth
Miljoenen Androidtelefoons zijn kwetsbaar voor een aanval via bluetooth waarbij een aanvaller het toestel op afstand kan overnemen. Volgens Google gaat het om een kritiek beveiligingslek. Het techbedrijf heeft beveiligingsupdates voor Android 12 en 12L uitgebracht om het probleem te verhelpen.
Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de patchronde van augustus zijn er in totaal 37 kwetsbaarheden in het platform verholpen. Eén van deze beveiligingslekken, in Android System, is aangemerkt als kritiek. Het gaat om een kwetsbaarheid aangeduid als CVE-2022-20345 die "remote code execution" via bluetooth mogelijk maakt, waarbij een aanvaller geen aanvullende uitvoerrechten nodig heeft.
Verdere details over de kwetsbaarheid, zoals hoe een aanvaller er precies misbruik van kan maken en in welke Androidversies het probleem aanwezig is, zijn niet door Google gegeven. Het lek is verholpen in Android 12 en 12L. De overige 36 kwetsbaarheden hebben een lagere impact en maken het mogelijk voor malafide apps en aanvallers met toegang tot het systeem om hun rechten te verhogen of op afstand informatie te stelen.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2022-08-01' of '2022-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12 en 12L.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.
The Matrix
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Duurt minstens 2 maanden voordat Samsung een update goedkeurt voor release.
Als ze hem uitbrengen en hij bijt is de wereld ook te klein, dus Samsung doet dit meestal in kleine stappen.
Dus deze update van 01-08-2022 DMY zul je waarschijnlijk pas op z'n vroegst 1 september zien maar meer waarschijnlijk op 1 october.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Vreemde is dat "op updates zoeken" moest drukken om de Juli 2022 update te krijgen.
Dit ondanks automatisch updaten ingeschakeld is, dus ondank automatisch updaten aan staat, liep ik al 2 maanden achter...
Door handmatige actie loop ik 1 maand achter.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Ik heb ook dit toestel.
De update van 1 juli werd meen ik anderhalve week geleden pas aangeboden.
Helaas, die van augustus zullen we pas over een week of wat krijgen.
Niveau Android beveiligingspatch op dit moment : 1 juni 2022
Op dit moment druk op op updates zoeken, dan wordt update 1 juli 2022 gevonden (dus niet 1 augustus 2022)
Er wordt vaak geklaagd over hoe snel updates op bepaalde platformen beschikbaar worden gesteld, maar op Android is dit echt om te huilen.
Bluetooth verbinding nodig voor mijn Samsung Fit 2.
https://blog.google/technology/safety-security/security-myth-busting-and-spring-cleaning/
In ieder geval als het aankomt op bluetooth veiligheid deze keer. Al weet ieder met beetje IT kennis dat niks ooit dat werkt met connecties veilig beschouwd kan worden wat een bedrijf ook beweerd.
En wat is het toch met bedrijven die zo nodig CVE nummers moeten verkondigen om vervolgens deze niet naar de correcte standaard te vermelden in de databases *voor* algemene publicatie. Heeft iemand al de exacte CVSS 2, 3 vector vemeldt gezien? Wat in godsnaam hebben we aan een critical tag als we de breakdown niet hebben voor goede risk assesment en patching strategy.
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.
The Matrix
++ :)
Al die smartphones zijn bij voorbaat lek door al die default apps die je niet kan verwijderen.
En dit zal wel weer tot een storm van reacties opleveren. Maar sorry het is nou eenmaal zo.
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.
The Matrix
Ook geen 3G of 4G ondersteuning? Ik heb ook een dumb phone, maar ik verwacht weinig last te krijgen van het verdwijnen van 2G. Misschien ander abonnementje nemen of een nieuwere dumb phone?
Of kan ik straks ook de vibrator van mijn buurvrouw pwnen.
krijgt blijkt dat misschien wel dat er veel meer wel met jou eens zijn.
Of kan ik straks ook de vibrator van mijn buurvrouw pwnen.
Kom van die zolderkamer af, en ga een kopje suiker lenen ;)
Al die smartphones zijn bij voorbaat lek door al die default apps die je niet kan verwijderen.
Je bedoelt dat JIJ ze niet kan verwijderen. Met adb, of desnoods met root, is dat simpel genoeg. Ik heb mijn Samsung flink opgeruimd.
omdat ik gebruik maak van een mobiele telefoon,
maar dit wordt van je afgepakt omdat het 2G GSM netwerk stopt
de komende jaren.
The Matrix
Ga naar KPN, die houden 2G vo0orlopig in de lucht omdat veel moeilijk vervangbare industriele apparatuur dat nog gebruikt. Ze gooien wel 3G eruit.
Overigens zijn dumbphones juist extreem onveilig, de overheid kan alles afluisteren want versleutelde chat en voip apps kun je er niet op draaien dus ben je op het onveilige gewoon bellen en sms aangewezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
