image

Androidtelefoons via bluetooth-kwetsbaarheid op afstand over te nemen

dinsdag 6 december 2022, 09:58 door Redactie, 21 reacties

Google waarschuwt eigenaren van een Androidtelefoon voor een kritieke kwetsbaarheid waardoor toestellen via bluetooth op afstand zijn over te nemen. Er zijn beveiligingsupdates beschikbaar gemaakt om het probleem, aangeduid als CVE-2022-20411, te verhelpen. Gebruikers wordt dan ook aangeraden om hun smartphone te updaten.

Elke maand komt Google met beveiligingsupdates voor Android. Tijdens de laatste patchronde van dit jaar zijn in totaal 81 kwetsbaarheden in het besturingssysteem verholpen. Vier daarvan zijn als kritiek aangemerkt. Het gaat om twee beveiligingslekken in het Android Framework die remote code execution mogelijk maken. Op welke manier precies laat Google niet weten.

De andere twee kritieke kwetsbaarheden bevinden zich in het Android System. Eén daarvan maakt het mogelijk voor een aanvaller om informatie te stelen. Het komt zelden voor dat dergelijke kwetsbaarheden als kritiek worden bestempeld. Google geeft echter geen details. Het gevaarlijkste beveiligingslek deze maand is volgens Google de andere kritieke kwetsbaarheid in Android System, CVE-2022-20411. Dit lek laat een aanvaller namelijk via bluetooth op afstand code op Androidtoestellen uitvoeren, zonder dat er enige rechten zijn vereist. Net als bij de andere kwetsbaarheden wordt er geen verdere informatie gegeven.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2022-12-01' of '2022-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (21)
06-12-2022, 10:07 door Anoniem
Het zou goed zijn als dit soort patches minder afhankelijk zouden zijn van de leveranciersupdates.
06-12-2022, 10:22 door Anoniem
Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
06-12-2022, 10:30 door Anoniem
Door Anoniem: Het zou goed zijn als dit soort patches minder afhankelijk zouden zijn van de leveranciersupdates.

Ja of gewoon helemaal ontkoppeld maar dan kunnen ze geen rommel-ware meer dumpen op je telefoon.
Doet denken aan de vroege dagen in PC land toen elke vendor z'n eigen OS leverde.
Gek genoeg doen we dit hele feestje opnieuw terwijl toen al duidelijk was dat dit niet de oplossing is.

Op dit moment verlies je meestal je warranty als je toch iets anders op je toestel wilt draaien.
06-12-2022, 11:27 door Anoniem
Ja hoe bedoel je slecht..a30 van Samsung 3 jaar oud en geen grote updates meer ik heeft nog steeds Android 11
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
06-12-2022, 11:38 door Anoniem
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
06-12-2022, 11:39 door Anoniem
Welke versies zijn nu kwetsbaar?

Ik heb nog een oude Android-7, is die ook kwetsbaar?
Natuurlijk krijg ik geen updates meer, maar er staat ook niet dat ik hier kwetsbaar voor ben.
Er was laatst een exploit waar mijn telefoon te oud voor was... :)
06-12-2022, 12:50 door Anoniem
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Hoe deden mensen dit voor het smartwatch tijdperk??
06-12-2022, 13:34 door Anoniem
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Ik krijg er elke maand flink voor betaald, dus ja.
Misschien moeten we stoppen met alles smart maken?
Waarom moet alles in verbinding staan?

Je klaagt dat het door jou geïntroduceerde aanvalsoppervlakte lek is.
Je kunt ook handmatig je bloeddruk/hartslag/cholesterol meten maar je kiest voor gebruikersgemak.

Gemaakt door een mens, gekraakt door een mens.

-W
06-12-2022, 13:36 door Anoniem
Door Anoniem: Ja hoe bedoel je slecht..a30 van Samsung 3 jaar oud en geen grote updates meer ik heeft nog steeds Android 11
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.

Wat probeer je te zeggen? Ik snap er echt helemaal niets van?
06-12-2022, 13:36 door Anoniem
Door Anoniem: Ja hoe bedoel je slecht..a30 van Samsung 3 jaar oud en geen grote updates meer ik heeft nog steeds Android 11
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.

Android 11 is goed zat, 12 en 13 maakt het echt niet beter. Security updates krijgen maakt wel enorm veel uit.
06-12-2022, 13:45 door Anoniem
Door Anoniem: Welke versies zijn nu kwetsbaar?

Ik heb nog een oude Android-7, is die ook kwetsbaar?
Natuurlijk krijg ik geen updates meer, maar er staat ook niet dat ik hier kwetsbaar voor ben.
Er was laatst een exploit waar mijn telefoon te oud voor was... :)

Er zijn veel exploits bekend op Android 7.
https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/version_id-545648/opbyp-1/Google-Android-7.0.html
sinds Oktober 2019 zijn er geen security update meer.

Denken dat je wel veilig bent omdat het oud is wel vreemde gedachte.
06-12-2022, 14:02 door Anoniem
Door Anoniem:
Door Anoniem: Ja hoe bedoel je slecht..a30 van Samsung 3 jaar oud en geen grote updates meer ik heeft nog steeds Android 11
en Android 12 13 ..moet ik even een nieuwe toestel aanschaffen zo goed is Samsung bagger. Op .op naar een appeltje..die heeft een betere update beleid.
Wat probeer je te zeggen? Ik snap er echt helemaal niets van?
Ik heb het niet geschreven, maar ingewikkeld is het niet, wat daar wordt geponeerd. Anoniem nummer 1 vindt het vervelend dat Samsung op een telefoon van 3 jaar oud niet eens de voorgaande versie Android aanbiedt, maar zelfs die van daarvoor. En dat hij of zij daarom ernstig overweegt om een Apple telefoon aan te schaffen. En Anoniem 2 (jij) is daardoor ernstig in verwarring. En Anoniem 3 (ik) vind het iets toevoegen om dat uit te spellen.
06-12-2022, 14:24 door Anoniem
Dat die dingen lek zijn ok dat weten nu wel maar waarom niet stoppen met die digidrang of dwang en mensen
hun eigen keuzes laten maken. Maar nee hoor zoals met alles hebben ze ongeveer een jaar of tien nodig om
iets te begrijpen, en zij die nu al waarschuwen voor idioten uitmaken.
06-12-2022, 16:08 door Anoniem
Door Anoniem: Het zou goed zijn als dit soort patches minder afhankelijk zouden zijn van de leveranciersupdates.

Mee eens. Ik had ook ergens ooit gelezen dat het de bedoeling zou zijn dat dit soort beveilinsupdates via de Play Store zouden gaan lopen zodat dit sneller uit te rollen is en niet meer afhankelijk zou zijn van fabrikant. Nou is het al een tijd geleden dat ik dat had gelezen dus ik weet niet meer zeker hoe accuraat die info is. Maar dat lijkt me in ieder geval geen verkeerd idee.
06-12-2022, 16:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Hoe deden mensen dit voor het smartwatch tijdperk??

Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.
06-12-2022, 17:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Hoe deden mensen dit voor het smartwatch tijdperk??

Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.

U zegt "heb ik voor mijn gezondheid moeten aanschaffen"
Is het niet corecter om te zeggen"deze wilde ik voor mijn gezondheid aanschaffen"
Geen enkele dokter zou U dwingen om z'on apparaat aan te schaffen,
Het is beter om te bedenken hoe je je gedrag zo aanpast dat je jouw gezondheid bevorderd(bewegen,geen overgewicht,niet roken etc) En als zo een apparaat je daarmee help; prima.
Dat neemt niet weg dat het bedrijf van de smart watch allerlei data van U wil hebben.
En of dat gewensr is?
Het zijn Uw privé data.

Die 2e reactie lijkt me totaal ongepast:"Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.[/quote]Ik weet niet of U het weet:Er zijn veel middelen om het lijden te verlichten.
Wellicht is dit cynisch bedoeld en flapt U het er zo uit.
Jammer.
Ik denk dat we op dit Forum meer op steekhoudende argumenten zitten te waxhten
06-12-2022, 17:35 door Anoniem
Bluetooth kan handig zijn mbt bijv. video casting en het snel uitwisselen van bestanden in kleine (huiselijke) kring. Het is m.i. niet bedoeld voor onnodig 24/7 inschakeling. Er kan gepatched worden tot in den treure, het sterk verouderde protocol is en blijft security-technisch een gedrocht.
06-12-2022, 18:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Hoe deden mensen dit voor het smartwatch tijdperk??

Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.

En je bron (beter nog: bronnen) waarop deze met grote stelligheid geponeerde hypothese is gebaseerd?
06-12-2022, 18:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een moment stilte voor alle auto entertainment systemen en smart koelkasten.
-W
Jij lacht daarom, maar mijn smartwatch heb ik voor mijn gezondheid moeten aanschaffen. Daar wel eens aan gedacht?
Hoe deden mensen dit voor het smartwatch tijdperk??

Die gingen een paar jaar eerder dood. Al dan na ondraaglijk lijden.

Ik snap de klacht niet.
Wat doet die smartwatch dan met het lichaam wat een persoon niet zelf kan doent?

"Ondragelijk" lijden kon in de decennia voor het smartwatch tijdperk al goed behandeld worden.
Daar had je geen smartwatch voor nodig.

Onderbouw je stelling eens met cijfers dat smartwatches sterfte terug gedrongen hebben.
En dat dat niet door andere oorzaken gebeurd is: bv door andere medicijnen en ingrepen.
06-12-2022, 22:50 door Anoniem
Onlangs is een Gruiére kaas tot de allerbeste kaas uitgroepen van het hele jaar.

Die kaas zit ook vol gaten. Maar wel de beste kaas.

Je hebt het dan wel over ongevaarlijke gaten. Met software ligt dat natuurlijk anders. Dus ik nù naam en toenaam van de developer en tester weten die dit over het hoofd heeft gezien. Foto's, biometrie, en ook zeker de live locatie waar die nu zitten. Verder alle hobbies en interesses en alle websites die die de laatste 20 jaar bezocht hebben. Zonder adult filter. Want ik heb wel betààld he, voor die Android telefoon. En het is nou al de zoveelste keer! In elk geval geen prijzen aan geven!
14-12-2022, 09:48 door Anoniem
Door Anoniem: Bluetooth kan handig zijn mbt bijv. video casting en het snel uitwisselen van bestanden in kleine (huiselijke) kring. Het is m.i. niet bedoeld voor onnodig 24/7 inschakeling. Er kan gepatched worden tot in den treure, het sterk verouderde protocol is en blijft security-technisch een gedrocht.
Mensen doen dat oa omdat ze dachten dat zoiets veiliger is dan via Wifi dat je koppelt aan het World Wide Web. Zo ken ik mensen die 1 internetradiospeler in huis hebben en in meerdere kamers Bluetooth-speakers. Die laten Bluetooth 24/7 aanstaan.

In het kader van energiebesparing is het trouwens raadzaam als mensen sowieso 's nachts hun Wifi en Bluetooth uitzetten. Dat scheelt veel sluipverbruik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.