Androidtelefoons met Qualcomm-chip kwetsbaar voor wifi-aanvallen
Androidtelefoons met een Qualcomm-chipset zijn kwetsbaar voor verschillende wifi-aanvallen waardoor een aanvaller op afstand code op het toestel kan uitvoeren. Google heeft tijdens de maandelijkse patchcyclus updates uitgebracht om de problemen te verhelpen. De updates zijn beschikbaar voor Android 10, 11, 12, 12L en 13.
Deze maand heeft Google met de maandelijkse Android-update in totaal 42 kwetsbaarheden verholpen, waarvan er vier als kritiek zijn aangemerkt. Naast beveiligingslekken in de eigen Androidcode gaat het ook om kwetsbaarheden in software van fabrikanten zoals MediaTek en Qualcomm.
Onder de verholpen beveiligingslekken bevindt zich een kritieke kwetsbaarheid in het Android Framework waardoor een malafide app of aanvaller met lokale toegang zonder aanvullende permissies zijn rechten kan verhogen. Lokale "escalation of privilege" kwetsbaarheden, zoals het probleem wordt genoemd, worden zelden als kritiek bestempeld, wat aangeeft dat het om een serieus beveiligingslek gaat.
De overige drie kritieke kwetsbaarheden (CVE-2022-25720, CVE-2022-25718 en CVE-2022-25748) zijn aanwezig in de wifi-host en wifi-firmware van Qualcomm. Tijdens het verbinden met een wifi-netwerk, roaming, het verwerken van de authenticatie-handshake en het verwerken van GTK-frames kan er onder andere memory corruption plaatsvinden, wat kan leiden tot een buffer overflow. Daarmee kan een aanvaller zijn eigen code op het toestel uitvoeren. De impact van CVE-2022-25720 en CVE-2022-25748 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. CVE-2022-25718 heeft een impactscore van 9.1 gekregen.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2022-10-01' of '2022-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
of nog steeds ??
blijf het gebruiken zolang dit netwerk van kpn nog
in gebruik is (end 2025) sms en bellen meer niet.
Waarom moet een burger in deze huidige tijd
in de stress zitten?
Geen zorgen over beveiligingsupdates en privacy problemen
The Matrix
Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).
Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).
Hoezo is een bedraad toestel veilig ? De overheid kon zeer makkelijk meeluisteren.
Of heb je het over ontploffende accu's :)
blijf het gebruiken zolang dit netwerk van kpn nog
in gebruik is (end 2025) sms en bellen meer niet.
Waarom moet een burger in deze huidige tijd
in de stress zitten?
Geen zorgen over beveiligingsupdates en privacy problemen
The Matrix
Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
