image

Androidtelefoons met Qualcomm-chip kwetsbaar voor wifi-aanvallen

donderdag 6 oktober 2022, 15:58 door Redactie, 6 reacties

Androidtelefoons met een Qualcomm-chipset zijn kwetsbaar voor verschillende wifi-aanvallen waardoor een aanvaller op afstand code op het toestel kan uitvoeren. Google heeft tijdens de maandelijkse patchcyclus updates uitgebracht om de problemen te verhelpen. De updates zijn beschikbaar voor Android 10, 11, 12, 12L en 13.

Deze maand heeft Google met de maandelijkse Android-update in totaal 42 kwetsbaarheden verholpen, waarvan er vier als kritiek zijn aangemerkt. Naast beveiligingslekken in de eigen Androidcode gaat het ook om kwetsbaarheden in software van fabrikanten zoals MediaTek en Qualcomm.

Onder de verholpen beveiligingslekken bevindt zich een kritieke kwetsbaarheid in het Android Framework waardoor een malafide app of aanvaller met lokale toegang zonder aanvullende permissies zijn rechten kan verhogen. Lokale "escalation of privilege" kwetsbaarheden, zoals het probleem wordt genoemd, worden zelden als kritiek bestempeld, wat aangeeft dat het om een serieus beveiligingslek gaat.

De overige drie kritieke kwetsbaarheden (CVE-2022-25720, CVE-2022-25718 en CVE-2022-25748) zijn aanwezig in de wifi-host en wifi-firmware van Qualcomm. Tijdens het verbinden met een wifi-netwerk, roaming, het verwerken van de authenticatie-handshake en het verwerken van GTK-frames kan er onder andere memory corruption plaatsvinden, wat kan leiden tot een buffer overflow. Daarmee kan een aanvaller zijn eigen code op het toestel uitvoeren. De impact van CVE-2022-25720 en CVE-2022-25748 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. CVE-2022-25718 heeft een impactscore van 9.1 gekregen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2022-10-01' of '2022-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (6)
06-10-2022, 16:42 door spatieman
alweer ??
of nog steeds ??
06-10-2022, 17:05 door Anoniem
Een mobiele telefoon op het mobile 2G netwerk
blijf het gebruiken zolang dit netwerk van kpn nog
in gebruik is (end 2025) sms en bellen meer niet.

Waarom moet een burger in deze huidige tijd
in de stress zitten?

Geen zorgen over beveiligingsupdates en privacy problemen

The Matrix
07-10-2022, 10:38 door Anoniem
Door Anoniem: Waarom moet een burger in deze huidige tijd in de stress zitten?

Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).
07-10-2022, 12:01 door Anoniem
Door Anoniem:
Door Anoniem: Waarom moet een burger in deze huidige tijd in de stress zitten?

Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).

Hoezo is een bedraad toestel veilig ? De overheid kon zeer makkelijk meeluisteren.
Of heb je het over ontploffende accu's :)
07-10-2022, 14:33 door ocraM
Door Anoniem: Een mobiele telefoon op het mobile 2G netwerk
blijf het gebruiken zolang dit netwerk van kpn nog
in gebruik is (end 2025) sms en bellen meer niet.

Waarom moet een burger in deze huidige tijd
in de stress zitten?

Geen zorgen over beveiligingsupdates en privacy problemen

The Matrix
Dat riedeltje van de oude 8-track hoef je v.w.m. en een hoop anderen niet meer af te spelen, dat weten we nu wel.
07-10-2022, 19:59 door Anoniem
Door Anoniem:
Door Anoniem: Waarom moet een burger in deze huidige tijd in de stress zitten?

Uiteindelijk ben je ook overstag gegaan van een veilig bedraad analoog toestel naar een 2G (GPRS) toestel. Bij elke vooruitgang komen ook nieuwe bedreigingen, niet anders dan met rooksignalen (meelezen) of duivenpost (uitvalpercentrage).
Als de nieuwe bedreigingen ernstiger zijn, is het geen vooruitgang maar achteruitgang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.