Androidtelefoons via bluetooth-kwetsbaarheid op afstand over te nemen
Google waarschuwt eigenaren van een Androidtelefoon voor een kritieke kwetsbaarheid waardoor toestellen via bluetooth op afstand zijn over te nemen. Er zijn beveiligingsupdates beschikbaar gemaakt om het probleem, aangeduid als CVE-2022-20411, te verhelpen. Gebruikers wordt dan ook aangeraden om hun smartphone te updaten.
Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de laatste patchronde van dit jaar zijn in totaal 81 kwetsbaarheden in het besturingssysteem verholpen. Vier daarvan zijn als kritiek aangemerkt. Het gaat om twee beveiligingslekken in het Android Framework die remote code execution mogelijk maken. Op welke manier precies laat Google niet weten.
De andere twee kritieke kwetsbaarheden bevinden zich in het Android System. Eén daarvan maakt het mogelijk voor een aanvaller om informatie te stelen. Het komt zelden voor dat dergelijke kwetsbaarheden als kritiek worden bestempeld. Google geeft echter geen details. Het gevaarlijkste beveiligingslek deze maand is volgens Google de andere kritieke kwetsbaarheid in Android System, CVE-2022-20411. Dit lek laat een aanvaller namelijk via bluetooth op afstand code op Androidtoestellen uitvoeren, zonder dat er enige rechten zijn vereist. Net als bij de andere kwetsbaarheden wordt er geen verdere informatie gegeven.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2022-12-01' of '2022-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
-W
Ja of gewoon helemaal ontkoppeld maar dan kunnen ze geen rommel-ware meer dumpen op je telefoon.
Doet denken aan de vroege dagen in PC land toen elke vendor z'n eigen OS leverde.
Gek genoeg doen we dit hele feestje opnieuw terwijl toen al duidelijk was dat dit niet de oplossing is.
Op dit moment verlies je meestal je warranty als je toch iets anders op je toestel wilt draaien.
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
-W
Ik heb nog een oude Android-7, is die ook kwetsbaar?
Natuurlijk krijg ik geen updates meer, maar er staat ook niet dat ik hier kwetsbaar voor ben.
Er was laatst een exploit waar mijn telefoon te oud voor was... :)
-W
-W
Misschien moeten we stoppen met alles smart maken?
Waarom moet alles in verbinding staan?
Je klaagt dat het door jou geïntroduceerde aanvalsoppervlakte lek is.
Je kunt ook handmatig je bloeddruk/hartslag/cholesterol meten maar je kiest voor gebruikersgemak.
Gemaakt door een mens, gekraakt door een mens.
-W
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
Wat probeer je te zeggen? Ik snap er echt helemaal niets van?
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
Android 11 is goed zat, 12 en 13 maakt het echt niet beter. Security updates krijgen maakt wel enorm veel uit.
Ik heb nog een oude Android-7, is die ook kwetsbaar?
Natuurlijk krijg ik geen updates meer, maar er staat ook niet dat ik hier kwetsbaar voor ben.
Er was laatst een exploit waar mijn telefoon te oud voor was... :)
Er zijn veel exploits bekend op Android 7.
https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/version_id-545648/opbyp-1/Google-Android-7.0.html
sinds Oktober 2019 zijn er geen security update meer.
Denken dat je wel veilig bent omdat het oud is wel vreemde gedachte.
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
hun eigen keuzes laten maken. Maar nee hoor zoals met alles hebben ze ongeveer een jaar of tien nodig om
iets te begrijpen, en zij die nu al waarschuwen voor idioten uitmaken.
Mee eens. Ik had ook ergens ooit gelezen dat het de bedoeling zou zijn dat dit soort beveilinsupdates via de Play Store zouden gaan lopen zodat dit sneller uit te rollen is en niet meer afhankelijk zou zijn van fabrikant. Nou is het al een tijd geleden dat ik dat had gelezen dus ik weet niet meer zeker hoe accuraat die info is. Maar dat lijkt me in ieder geval geen verkeerd idee.
-W
Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.
-W
Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.
U zegt "heb ik voor mijn gezondheid moeten aanschaffen"
Is het niet corecter om te zeggen"deze wilde ik voor mijn gezondheid aanschaffen"
Geen enkele dokter zou U dwingen om z'on apparaat aan te schaffen,
Het is beter om te bedenken hoe je je gedrag zo aanpast dat je jouw gezondheid bevorderd(bewegen,geen overgewicht,niet roken etc) En als zo een apparaat je daarmee help; prima.
Dat neemt niet weg dat het bedrijf van de smart watch allerlei data van U wil hebben.
En of dat gewensr is?
Het zijn Uw privé data.
Die 2e reactie lijkt me totaal ongepast:"Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.[/quote]Ik weet niet of U het weet:Er zijn veel middelen om het lijden te verlichten.
Wellicht is dit cynisch bedoeld en flapt U het er zo uit.
Jammer.
Ik denk dat we op dit Forum meer op steekhoudende argumenten zitten te waxhten
-W
Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.
En je bron (beter nog: bronnen) waarop deze met grote stelligheid geponeerde hypothese is gebaseerd?
-W
Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.
Ik snap de klacht niet.
Wat doet die smartwatch dan met het lichaam wat een persoon niet zelf kan doent?
"Ondragelijk" lijden kon in de decennia voor het smartwatch tijdperk al goed behandeld worden.
Daar had je geen smartwatch voor nodig.
Onderbouw je stelling eens met cijfers dat smartwatches sterfte terug gedrongen hebben.
En dat dat niet door andere oorzaken gebeurd is: bv door andere medicijnen en ingrepen.
Die kaas zit ook vol gaten. Maar wel de beste kaas.
Je hebt het dan wel over ongevaarlijke gaten. Met software ligt dat natuurlijk anders. Dus ik nù naam en toenaam van de developer en tester weten die dit over het hoofd heeft gezien. Foto's, biometrie, en ook zeker de live locatie waar die nu zitten. Verder alle hobbies en interesses en alle websites die die de laatste 20 jaar bezocht hebben. Zonder adult filter. Want ik heb wel betààld he, voor die Android telefoon. En het is nou al de zoveelste keer! In elk geval geen prijzen aan geven!
In het kader van energiebesparing is het trouwens raadzaam als mensen sowieso 's nachts hun Wifi en Bluetooth uitzetten. Dat scheelt veel sluipverbruik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
