Lekker veilig dat Android.

Wat is dan wel veilig?

nou niet aleen Android ook andere software producten..wakker worden..

Windows. Linux, Apple, en bv Oracle hebben ook patch-rondes.
Dat doen ze niet voor de lol.


Een groter probleem bij Android is dat die patches niet of heel laat in het grootste deel van haar ecosysteem binnen komen.
Daar zou Google meer verantwoordelijkheid in kunnen nemen dan ze nu doet.

Als dit soort veiligheidsproblemen als kritiek wordt bestempeld, dan vraag ik me af hoe het zit met de mobieltjes waar de fabrikant geen updates meer voor uitbrengt. In hoeverre kun je dan nog veilig bankieren via je mobiel, of digid gebruiken. In mijn omgeving ken ik heel wat mensen die een ouder mobieltje (> 5 jaar) hebben, dat verder probleemloos werkt, maar al een tijd geen android-updates meer krijgt, maar nog wel van apps. Banken (bijvoorbeeld) blijven ook voor oudere android-versies updates uitgeven, wat suggereert dat je op een ouder mobieltje veilig kunt bankieren, ondanks de in het artikel genoemde kritieke kwetsbaarheden. De vraag is: wanneer wordt een mobieltje te onveilig en hoe kom je daarachter?

Er is geen een stuk software dat geheel en volkomen veilig is. Er is alleen een schaal van nauwelijks kwetsbaar tot heel erg kwetsbaar. Wat een systeem meer veilig maakt is o.a. hoe moeilijk een kwetsbaarheid te misbruiken is, wat de mogelijkheden zijn voor mitigatie van problemen, of en hoe er defense-in-depth is, en hoe snel een fabrikant problemen verhelpt.
Dat er kritieke beveiligingsproblemen zijn zegt an sich eigenlijk niets. dat is te verwachten bij een product als Android waarin zoveel mensen zoveel tijd en energie steken om kwetsbaarheden te vinden. Zowel Google als Apple reageren over het algemeen snel en adequaat op problemen. Het is natuurlijk niet optimaal, dat is ook niet altijd mogelijk, maar meestal zijn issues verholpen voordat ze grootschalig kunnen worden misbruikt.

nou dan hebben ze nog wat te doen bij Google want de updates van de maand december komen niet goed door heeft ik het aleen over Google Android 12 13.verzie..en niet over Samsung of andere merken...het ga weer lekker zo de 1 na de andere fout
ik zou zeggen Google wakker worden..

Allemaal bangmakerij voor de verkoop van toestellen
Als het echt erg was zouden de banken al lang gewaarschuwd zijn en de apps hebben geblokkeerd.
En er allemaal lekken en [problemen waren, Maar die zijn er niet
Dus niets van aan trekken

Ze doen het best goed!
Smartphones zijn over het algemeen een stuk veiliger dan desktop PCs, en Android is tenminste transparant. (AOSP is FOSS, en dat bevat geen Play Services)
Zie hier:
"Why phones are more secure than desktops"

https://www.youtube.com/watch?v=Wd4Pa03LvLk

Nist meldt hierover:
https://nvd.nist.gov/vuln/detail/CVE-2023-40088

Het zou dus in het Bluetooth-subsysteem zitten.

Dat was bij voorbaat al een slecht idee. Nu zie je een reden waarom...

Of misschien gaan banken er toch iets anders mee om dan jij zonder al te veel kennis van zaken denkt en is het niet zo verstandig van jou om dit soort adviezen te geven en voor anderen om ze op te volgen.

Lezen is moeilijk: “ Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.”.

Schrijven overigens ook, zo blijkt.

Dus hoe minder patches, hoe veiliger?
Of,
des te meer -niet knullige- patches, de meer ik een organisatie serieus durf te nemen?
Of
lekker closed en ongeinformeerd is de allerveiligste aanpak?

Dit valse argument blijft maar wederkeren.

Wat een kwats; daar wordt Windows gebruikt als Desktop OS, en dan ben je per definitie al af wat security betreft.

Als je Android met een distributie als Debian vergelijkt is Android beduidend slechter dan de desktop.

Appels != peren.

Een mobieltje met alleen sms en bellen
maar het netwerk voor mobiele telefoons
wordt stopgezet in 2025 (kpn)dus dan moet je verder leven met een privacy schendende en lekkende smartphone
van 5-6,7 inch in je broekzak,tenzij je dit liever niet wilt.
wellicht een fairphone aanschaffen of un-google phone
of een senioren telefoon of een telefoon die op 3/4/5G lte aankan voor alleen willen smsen en bellen

The Matrix

Inloggen, en dan de accu leeg. Wordt uiteraard niet behandeld in de video....

Veilig tegen wie? In elk geval beslist niet tegen de grootste privacy schender in dit land, de overheid, want sms en bellen zijn makkelijk af te luisteren. Dat gaat met WhatsApp en zeker Signal een stuk lastiger.

Tja, Linux he.. /s

Je kunt een Nokia feature phone nemen.

Hoezo het wordt/is toch gepatcht ? en het hangt niet direct aan het internet!

Nee, SMS en bellen is onveilig, SMS is niet versleuteld en word verzameld door de mobiele provider, de audio van bellers is eveneens onversleuteld en word naar tekst omgezet (transcribing) waarna deze gegevens in de opslag van de AIVD terecht komen via de sleepwet.
Neem altijd een versleutelde chat als voorkeur tenzij men de SMS zelf versleuteld via PGP.

Telefoons zijn veel veiliger dan Desktops, Windows is een gatenkaas/zwarte doos qua beveiliging en deelt metadata met veel derden waaronder geheime diensten. (NSAkey)
Een GNU+Linux distributie zoals Debian is een stuk veiliger dan Windows, maar niet veiliger dan een AOSP-versie van Android.
Android heeft oa. een SElinux protocol en full-disk encryption.
GrapheneOS is het meest veilig dankzij de security strongbox (Pixel telefoons) en heeft functies zoals autoreboot, hardened kernel en secure app spawning, en met de Pixel 8/8pro (ARMv9) MTE, dat voorkomt de meeste framebuffer exploitaties.

Bij Debian kan men eveneens full-disk encryption aanzetten, men is niet standaard rootgebruiker en de sandboxing is erg goed, zeker met flatpaks als applicaties, maar ik zou een Android telefoon nog steeds op nummer 1 zetten qua veiligheid.

Privacy aan de andere kant is een geheel andere zaak, dat ligt volledig aan wat mensen zelf installeren, hoeveel trackers in welke apps, gebruikt men een DeGoogled telefoon of niet, etc, etc.
Ik heb zelf een DeGoogled GrapheneOS telefoon met uitsluitend transparante FOSS apps zonder trackers.

The Hated One heeft wel wat goede informatieve videos op YouTube over dit onderwerp.

GrapheneOS:
https://www.youtube.com/watch?v=yTeAFoQnQPo

Desktops vs. telefoons:
https://www.youtube.com/watch?v=Wd4Pa03LvLk

Privacy en smartphones:
https://www.youtube.com/watch?v=8FDIef7tVFg

iPhone vs. Android telefoon:
https://www.youtube.com/watch?v=nQ9LR8homt4

Info over trackers:
https://privacylab.yale.edu/trackers.html

Info over Memory Tagging Extension: (MTE)
https://source.android.com/docs/security/test/memory-safety/arm-mte

Wanneer de accu leeg is, is de telefoon volledig versleuteld, de telefoon is dan juist het meest veilig, praktisch obreekbaar qua veiligheid aangezien men nig niet zijn/haar wachtwoord/verificatie heeft ingevoerd om het systeem te ontsleutelen.
Vandaar dat de "auto reboot" functie bestaat op een GrapheneOS telefoon, als men de telefoon verliest gaat deze na de ingestelde hoeveelheid uren uit, en het is zeer onwaarschijnlijk dat er net een nieuwe exploitatie is uitgebracht en deze binnen deze tijd toepast.
En het inloggen op accounts heeft weing met veiligheid te maken, meer met privacy.
Op een desktop/laptop zijn juist gevaren zoals een onversleutelde Windows Home, en de versleuteling op Pro wordt gedeeld met Microsoft.
Wanneer een laptop gestolen wordt is dat veel schadelijker.
Daarnaast kan oa. met een exploitatie de TPM of BIOS worden uitgebuit op zowel GNU+Linux als Windows.
De Mac is een gesloten systeem, een zwarte doos, dat is net zoals Windows niet transparant in tegenstelling tot GNU+Linux distributoes.

Ook Nederland heeft net zoals de Verenigde Staten een soort derde parrij doctrine:
https://en.m.wikipedia.org/wiki/Third-party_doctrine
Inlihhen of hacken op een desktop of telefoon hoeven ze helemaal niet, ze slepen alle informatie van derden (Google, Meta, Microsoft, Amazon, Apple, ISPs, mobiele providers, zeer veel analytische en advertentiebedrijven, en nog veel meer) en slaan dat op in hun databanken, (ook versleutelde informatie aangezien diensten zoals Google verplicht worden deze te delen waarna ze een knevelorder krijgen dat voorkomt dat ze erover mogen praten, dat gebeurd ook in Amerika en veel andere landen) deze informatie wordt door een algoritme doorgespit op "woorden" en media (zoals het woord varken, Rutte, etc, ook deze informatie zal gesleept worden, hoi ambtenaren!) en mogelijk daarna bekeken door ambtenaren in functie. (Denk aan PRISM+XKeyscore, maar dan met een vernederlands...verbasterde naam)
Alleen "normale" hackers (black-hat hackers) zijn een potentieel gevaar voor uw telefoon, maar ook die zoeken liever hun heil bij alle info die men online achterlaat.
Vandaar dat men maar al te graag in uw versleutelde chats wil kijken (CSS) dat is een grote onaangeboorde beerput van privé informatie die ze kunnen slepen.
De beste manier om privé te kunnen zijn is door niet al uw info weg te geven aan big-tech, sla dingen lokaal en versleuteld op, neem een chat messenger zonder tussenserver/bedrijf (Briar) en zet geen synchronisatie aan met Google, Apple en Microsoft.
Neem een DeGoogled telefoon zonder Google services, neem een GNU+Linux distributie in de hand aangezien dat geen metadata van gebruikers verscheept. (LMDE6 is goed voor beginners, mooi volledig pakket)
En vooral; bespreek dit soort belangrijke dingen met uw geliefden, vrienden en familie, mond tot mond reclame verspreid zeer effectief.
Terroristen ge ruiken toch wel een andere methide, het zijn de normale mensen die met de sleepwet en dergelijke opgescheept blijven zitten, daarnaast wordt deze informatie "geanonimiseerd" en verkocht, wat een grote drijfveer is voor het land om dit soort wetten alsnog door te drukken.
Immers; Metadata is het nieuwe zwarte goud. (-;

GNU + Linux distributie zegt mij niet zo veel. Is GNU/Linux net zo iets als Debian Linux of Redhat Linux?

Criminelen gaan gouden tijden tegemoet wanneer de banken besluiten dat je enkel nog kan bankieren via hun applicaties.
Hoelang zou dat nog duren? Jaartje of 2 á 3?

Maar als ik nou geen Bluetooth gebruik/ niet heb ingeschakeld - ben ik dan ook kwetsbaar voor CVE-2023-40088?

Als je zulke stellige beweringen doet, dan graag ook plausibel maken. Hier in Nederland (EU) hebben we de AVG. Dat verschilt wezenlijk van het systeem in de VS en zorgt ervoor dat die "third parties" data niet zomaar mogen delen, zelfs niet met autoriteiten.

Ik ben ook benieuwd wie u precies bedoelt met "ze". Als u bedoelt "de overheid", dan heeft u die zelf gekozen. Ik vraag me werkelijk af hoe en waarom mensen zo wantrouwend kunnen worden naar de overheid. Kritiek is gezond en scherp blijven ook, maar uw verhaal is echt op geen enkele manier hard te maken, dan wel plausibel.

En een Windows PC of Mac is dat wel? Dat is nog een slechter idee.
Dan moet je het geld op gaan halen bij de bank zonder pin. eigenlijk is de enige veilige optie geen bank account hebben. Lekker alles bewaren in een oude sok en je werkgever je contant laten uitbetalen. niet dat je dan weer andere problemen krijgt.

Het is wat de meeste mensen gewoon "Linux" noemen, maar eigenlijk is Linux alleen een kernel, GNU is de rest van het besturingsysteem, vaak wordt dus alleen naar de kernel verwezen en niet naar de rest van het systeem.
https://en.m.wikipedia.org/wiki/GNU/Linux_naming_controversy
https://nl.m.wikipedia.org/wiki/Linux
https://www.gnu.org/gnu/linux-and-gnu.en.html

Daarom waren zoveel mensen tegen de sleepwet, het staat gewoon in de wet dat dit mag al was het meerendeel van de Nederlanders daar tegen.
Waarom zou men het anders de "sleep"wet noemen, men sleept grote massa's informatie bij voorbaat schraapt alvorens deze door te spitten.

https://nl.m.wikipedia.org/wiki/Wet_op_de_inlichtingen-_en_veiligheidsdiensten_2017

https://wetten.overheid.nl/BWBR0039896/2022-05-01

Massaal slepen mag helaas wel.
Het inkijken daarvan is een andere zaak, maar als een algoritme het doet "is het niet erg"... Alleen bij " vermoedens van een strafbaar feit" mag men de gegevens inkijken, dus bij het woord " varken, Rutte, etc, maar zulke woorden (en meer) zijn toepasselijk op heel veel onschuldige mensen.
Misschien had ik het niet goed uitgelegd.
Zeer veel mensen hebben geen vertrouwen in de overheid, zij bepalen de wet en wat er met geheime diensten mag gebeuren.
Naast het pushen voor inzage in privéberichtjes (schending van het digitale briefgeheim) en aanvraag naar onbeperkte inzage daarin (niet alleen KP) evenals commerciele belangen heeft men allerlei vage wetten toegepast die eigenlijk zeer onethisch zijn, alleen maar vanwege wantrouwen naar het volk toe.
Uiteraard wantrouwd dat volk de overheid nu ook, dit soort dingen schaad het vertrouwen enorm.
Zie ook:
https://vu.nl/nl/nieuws/2021/sterk-dalend-vertrouwen-in-de-overheid

https://www.bitsoffreedom.nl/2022/07/04/goed-nieuws-de-geheime-diensten-vernietigen-informatie-over-miljoenen-onschuldige-burgers/

Gegevens van miljoenen onschuldige burgers verzameld?
Mhh, ik dacht dat ze alleen achter terroristen aanzaten...
Het is maar goed dat er een aanvraag wordt gedaan voor het vernietigen daarvan, dan is het bijna alsof het nooit is gebeurd.

Ik denk niet dat anoniem van 18:20 onzin spreekt;

https://www.amnesty.nl/wat-we-doen/landen/nederland/veiligheid-en-mensenrechten/sleepwet

En onder het vakje "geheime diensten" in bits of freedom vind u veel informatie over dit onderwerp:

https://www.bitsoffreedom.nl/

Ik weet niet of hij/zij (anoniem 18:20) gelijk heeft, daarvoor heb ik te weinig verstand van het onderwerp, maar als Nederland het niet doet, dan doen andere landen het wel, dat is het probleem van deze geheime diensten, ze opereren vaak wereldwijd, en delen die info met elkaar, zie ook;
https://www.security.nl/posting/821100/Senator+VS%3A+overheden+bespioneren+Android-+en+iPhone-gebruikers+via+pushnotificaties