Androidtelefoons kwetsbaar omdat fabrikanten lek in GPU-driver niet patchen
Androidtelefoons van onder andere Google, Samsung, Xiaomi, Oppo en andere fabrikanten zijn kwetsbaar voor aanvallen omdat bekende kwetsbaarheden in de kerneldriver van de grafische processor (GPU) van de toestellen nog altijd niet zijn verholpen. Daarvoor waarschuwt beveiligingsonderzoeker Ian Beer van Google Project Zero.
Begin dit jaar werd bekend dat aanvallers misbruik maakten van een zerodaylek in de kerneldriver van de ARM Mali GPU van Google Pixel-telefoons. Chipfabrikant ARM had op 6 januari een update voor de kwetsbaarheid uitgebracht. Via het beveiligingslek kan een malafide app of lokale gebruiker rootrechten krijgen. Vorig jaar werd de Mali GPU ook al het doelwit van zeroday-aanvallen.
Het Androidlandschap is erg versnipperd doordat fabrikanten hun eigen hardware en Androidversies gebruiken, wat het lastig voor aanvallers maakt om een kwetsbaarheid te vinden die tegen meerdere toestellen kan werken. Veel Androidtelefoons maken echter gebruik van dezelfde GPU plus driver, waardoor aanvallers zich op dit onderdeel richten.
Naar aanleiding van de zeroday-aanval op Pixel-telefoons eerder dit jaar besloot Google een onderzoek naar de Mali GPU-driver uit te voeren. Dat leverde vijf kwetsbaarheden op waardoor een malafide app of gebruiker met toegang tot het toestel volledige controle over het systeem kan krijgen. Een dergelijke kwetsbaarheid kan bijvoorbeeld worden gecombineerd met een kwetsbaarheid in de browser om telefoons op afstand over te nemen.
Google waarschuwde ARM, dat in juli en augustus met patches voor de kwetsbaarheden kwam. Het gaat hier om updates die aan fabrikanten worden aangeboden. Vervolgens maakte Google de details eind augustus en halverwege september openbaar. Soms controleert Google Project Zero de kwaliteit van beschikbaar gemaakte beveiligingsupdates of kijkt of er een variant van de verholpen kwetsbaarheid bestaat.
In dit geval bleek dat alle geteste Androidtelefoons nog steeds kwetsbaar waren en het beveiligingslek in geen enkel beveiligingsbulletin van de Androidfabrikanten wordt genoemd. Google Project Zero roept telefoonleveranciers dan ook op om beschikbaar gestelde patches snel in hun eigen beveiligingsupdates te verwerken en onder gebruikers te verspreiden.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.
In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.
Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
en ze zijn niet veilig ook die Apple apparaten niet.
en ze zijn niet veilig ook die Apple apparaten niet.
Dit is prima te voorkomen, het probleem zit 'm er in dat de makers van de smartphones zoals Samsung geen verstand hebben van software en dit voor hun een nare bijkomstigheid is.
Ze dwingen je hun software te draaien en anders heb je geen garantie op je toestel meer.
Dit zou hetzelfde zijn als HP z'n eigen versie van windows zou leveren bij je PC die je er niet af kunt of mag halen(want doei garantie).
Dat was lang geleden de realiteit voor PC's.
Met open bootloaders zou dit hele probleem nauwelijks bestaan.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.
In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.
Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
Het wordt hoog tijd dat we RISC-V krijgen en processoren die gemaakt zijn in Europa. Ja, ik weet dat dit niet morgen gaat gebeuren, maar ik zie dit als onoverkomelijk. Opensource software is/was een eerste stap, nu nog open source hardware.
Min 2 centen als bijdrage.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.
In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.
Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
Heb je al eens naar de Volla Phone icm bv Ubuntu gekeken?
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.
In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.
Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
Heb je al eens naar de Volla Phone icm bv Ubuntu gekeken?
Yes, evenals de alternatieven, wel een van de betere.
Zit eigenlijk net wat te krap in de memory.
Maar ik had al een tijdje niet gekeken en ik moet zeggen dat voor 425 euro het nog helemaal niet zo gek is.
8 cores @ 2 GHz is dan best wel weer leuk.
In veel gevallen een pain-in-the-ass om andere ROMs te draaien los nog van de warranty void.
In vele opzichten is de telefoon wereld een vreemde, in het PC landschap zou zoiets ondenkbaar zijn in 2022.
Dit zijn lessen die al geleerd zijn in late jaren 80, begin 90. Toen wist iedereen al dat dit een slecht idee was.
Ik ben geen bomenknuffelaar maar ik vind het zonde dat ik mijn nog steeds perfect werkende Lenovo telefoon nu weg moet gaan doen omdat ik hier geen actueel OS meer op kan draaien.
Het liefst zou ik overschakelen op een Linux telefoon maar helaas is dit ook nog steeds geen redelijk alternatief (erg duur en underpowered)
Het wordt hoog tijd dat we RISC-V krijgen en processoren die gemaakt zijn in Europa. Ja, ik weet dat dit niet morgen gaat gebeuren, maar ik zie dit als onoverkomelijk. Opensource software is/was een eerste stap, nu nog open source hardware.
Min 2 centen als bijdrage.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
