Androidtelefoons kwetsbaar voor aanvallen via bluetooth en wifi
Eigenaren van een Androidtelefoon zijn gewaarschuwd voor verschillende kritieke kwetsbaarheden waardoor een aanvaller via wifi of bluetooth op afstand code op het toestel kan uitvoeren. Google heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. Tijdens de eerste patchronde van 2023 heeft het techbedrijf in totaal zestig kwetsbaarheden in Android verholpen.
Het gaat onder andere om vier kwetsbaarheden in de Android-kernel (CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 en CVE-2022-41674) die als kritiek zijn aangemerkt. Via deze beveiligingslekken kan een aanvaller door middel van het injecteren van WLAN-frames een buffer overflow veroorzaken en zo code op de Androidtelefoon uitvoeren. Daarnaast heeft Google ook nog een patch aan Android toegevoegd voor een kritiek lek in de software van chipgigant Qualcomm, aangeduid als CVE-2022-22088.
De kwetsbaarheid bevindt zich in de Bluetooth host-software en zorgt ervoor dat een aanvaller via remote responses een buffer overflow kan veroorzaken, waardoor remote code execution mogelijk is. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verder zijn er meerdere Androidlekken verholpen waardoor een malafide app zonder aanvullende permissies hogere rechten kan krijgen.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2023-01-01' of '2023-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Je bedoeld alle deuren van je huis opzetten zodat iedereen alles mee kan nemen, aanpassen en bekijken? Interresante kijk op eigendom.
Alleen jammer dat Google de distributie bij de telco's en fabrikanten neerlegt, waardoor de patches slecht doorkomen in het hele Android-ecosysteem.
Het effect van die patches is dus beperkt.
voornamelijk de use-after-free lekken om WLAN frames te kunnen injecteren en dat deze dan ook op een zodanige manier uitgevoerd worden is gewoon te dom voor woorden anno 2022.
ook dat het pas van 5.1 tot 5.19.16 misbruikt kan worden geeft aan dat iemand op dat moment pas code injecteerde om dit te fasciliteren.
nadeel van open source he... iedereen kan bijdragen, ook de NSA, GCHQ en de MOSS of FSO.
Je bedoeld alle deuren van je huis opzetten zodat iedereen alles mee kan nemen, aanpassen en bekijken? Interresante kijk op eigendom.
Nee, om de deuren dicht te zetten zodat de leverancier geen achterdeur meer heeft.
Alleen jammer dat Google de distributie bij de telco's en fabrikanten neerlegt, waardoor de patches slecht doorkomen in het hele Android-ecosysteem.
Het effect van die patches is dus beperkt.
Een Oneplus Nord 2 eigenaar hier.
Updates lopen minimaal 30 dagen achter, een zero day is dus niet nodig.
Het belangrijkste is om je aanvalsoppervlakte te verkleinen (bluetooth, nfc en dat soort fratsen uit, wifi uit 4g aan en gebruik maken van een VPN)
Dit is ook de laatste keer dat ik een Motorola koop de volgende wordt een Pixel die hebben wel goede ondersteuning.
Pixel hardware en google loos os.
Dus ook geen playstore.
FDroid kan er makkelijk op. En als je wil kun je ook playstore her introduceren. Evt als 2nd class citizen.
????????
Ik heb iets gemist, denk ik.
Tenzij Spatieman verwacht dat er gedachten gelezen worden. Dat kan natuurlijk ook.
Je bedoeld alle deuren van je huis opzetten zodat iedereen alles mee kan nemen, aanpassen en bekijken? Interresante kijk op eigendom.
Nee, om de deuren dicht te zetten zodat de leverancier geen achterdeur meer heeft.
Accu er uit is voldoende.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
