Androidtelefoons via kritieke kwetsbaarheid op afstand over te nemen
Androidtelefoons zijn door middel van een kritieke kwetsbaarheid op afstand over te nemen, waarbij geen enkele interactie van gebruikers is vereist. Google heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Tijdens de patchronde van augustus zijn in totaal 48 kwetsbaarheden in Android verholpen, waarvan er vier als kritiek zijn aangemerkt.
Van de vier kritieke beveiligingslekken is CVE-2023-21273 volgens Google het gevaarlijkst. Deze kwetsbaarheid bevindt zich in het System-onderdeel van Android een laat een aanvaller op afstand code op de telefoon uitvoeren, zonder dat enige interactie van gebruikers of speciale permissies vereist zijn. Google geeft geen verdere details over het probleem, maar stelt tussen haakjes dat een aanvaller "dichtbij" zou moeten zijn. Mogelijk gaat het dan om een aanval via bluetooth, maar dat is zonder verdere details niet met zekerheid te zeggen.
Een ander beveiligingslek, aanwezig in het Media Framework en aangeduid als CVE-2023-21282, maakt ook remote code execution mogelijk. In dit geval is wel gebruikersinteractie vereist. Google laat echter niet weten waaruit die interactie precies moet bestaan. De derde kritieke kwetsbaarheid (CVE-2023-21264) bevindt zich in de Android-kernel en laat een malafide app of gebruiker die al toegang heeft zijn rechten verhogen.
De vierde en laatste kritieke kwetsbaarheid (CVE-2022-40510) is aanwezig in een onderdeel van chipfabrikant Qualcomm. Een aanvaller zou via een telefoongesprek voor "memory corruption" kunnen zorgen. De impact van dit beveiligingslek, aanwezig in "audio" is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2023-08-01' of '2023-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Ja terechte vraag bij 'closed propriety software'. Google has to play ball with some (as ordained by law).
Je zult er helaas nooit een bevestiging van krijgen, al zat het er al jaren in.
Gelijkaardige vraag zou zijn, zitten er dezelfde kwetsbaarheden in MS Office als in LibreOffice?
Ik kan het je niet vertellen. En die het je kunnen vertellen, doen dat zeker niet.
Misschien jaren na dato als mosterd na de maaltijd.
Ja terechte vraag bij 'closed propriety software'. Google has to play ball with some (as ordained by law).
Je zult er helaas nooit een bevestiging van krijgen, al zat het er al jaren in.
Gelijkaardige vraag zou zijn, zitten er dezelfde kwetsbaarheden in MS Office als in LibreOffice?
Ik kan het je niet vertellen. En die het je kunnen vertellen, doen dat zeker niet.
Misschien jaren na dato als mosterd na de maaltijd.
Ik gebruik altijd LibreOffice in de vorm van een flatpak op GNU+Linux. Linux Mint in mijn geval, geen Arch. (-;
Daarnaast verwijder ik de ingebouwde LibreOffice (geen flatpak) en al haar afhankelijkheden met behulp van de de Synaptic packache manager. (Eveneens ingebouwd)
En al is het open source en dus transparant, ik blokkeer de internetverbinding voor de zekerheid met FlatSeal.
Flatpaks zorgen daarnaast voor een iets betere sandboxing geloof ik.
Het gebruik van een "immutable" OS (read-only) zou zelfs nog beter zijn.
Ingewikkelde terminal commands zijn hiervoor niet vereist.
in een 'echte' omgeving betekent het vaak dat je net te laat bent met patches voor die ene toch wel snel voortplantende malware...
Het is geen heilige graal en niet een oplossing voor 'alle' problemen en je krijgt er zelfs nieuwe problemen voor terug.
Kijk, anoniem van 13:59, hoeven we dat natuurlijk niet te vertellen,
die weet kennelijk van de hoed en de rand en weet zich zo goed als het kan te beschermen.
Maar er zijn er ook velen, die al wisten ze het, dat zeker niet willen weten.
Je wilt toch boven alles als 'een deuger' te boek staan, zo heeft men je opgevoed.
Dat geldt zeker voor een natie als Nederland.
Dat degenen, die nooit hebben willen deugen, hoog en laag, daarvan volop profiteren,
is de andere zijde van deze medaille.
Android, het grote publiek vast laten wennen aan een "spionnetje in de zak".
En alles wat we nu van u te weten kunnen komen,
kunnen we eventueel ook later weer tegen u gebruiken.
Zie het zo het is, niet zoals het u voorgesteld/voorgehouden wordt.
Gevonden: Android 13 August update for the Pixel 4a, 4a 5G, 5, 5a, 6, 6 Pro, 6a, 7, 7 Pro, 7a, and Fold.
Dan heeft u een foon uit de A-klasse.
Mijn S21 FE krijgt keurig elke maand een update.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
