Androidtelefoons via kritieke kwetsbaarheid op afstand over te nemen
Een kritieke kwetsbaarheid maakt het mogelijk om Androidtelefoons op afstand over te nemen. Google heeft beveiligingsupdates uitgebracht om het probleem te verhelpen. Tijdens de patchronde van februari heeft Google in totaal 46 kwetsbaarheden verholpen. Een van de beveiligingslekken, in het System-onderdeel van Android, is volgens Google het gevaarlijkst.
Via deze kwetsbaarheid, aangeduid als CVE-2024-0031, is remote code execution mogelijk. Een aanvaller kan zo op afstand willekeurige code op Androidtelefoons uitvoeren. Het beveiligingslek is verholpen in Android 11, 12, 12L, 13 en 14. Google laat niet weten of het probleem ook in oudere Androidversies aanwezig is, aangezien die niet meer door het techbedrijf worden ondersteund. Details over de kwetsbaarheid zelf, zoals hoe het precies te misbruiken is, zijn niet door Google gegeven.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2024-02-01' of '2024-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L,13 en 14.Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Ik heb er genoeg van. Ik stap over.
fantastisch eco systeem...
afhankelijk van de fabrikant.
telefoons wel op de markt maar ondersteund ho maar!
wordt het niet eens tijd dat de wetgeving dit gewoon gaat afdwingen?
OS minimaal 10 jaar ondersteuning (ook goed voor het milieu)
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
En dat is bij Android hardware onmogelijk?
fantastisch eco systeem...
Ik heb er genoeg van. Ik stap over.
De Pixel telefoons krijgen elke maand een update, en dat 7 jaar lang voor de laatste modellen.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Vertel.
Ik heb er genoeg van. Ik stap over.
De Pixel telefoons krijgen elke maand een update, en dat 7 jaar lang voor de laatste modellen.
Ga dan wel voor de Pixel 8a of 8 Pro want de batterij van de reguliere 8 is nogal slecht te noemen (ben zelf een eigenaar van de 8). Het verkrijgen van maandelijkse patches gaat razendsnel (je ontvangt ze dus snel).
Bij uitzonderingen voegen ze zelfs een eigen patch toe indien vereist.
De code van GrapheneOS is upstream, zelfs Google ontleent soms code uit GrapheneOS, en andersom ook. (AOSP is vrije en open software)
Ik adviseer tegenwoordig een Pixel 8/8pro aangezien deze Memory Tagging Extension hebben en maakt veel framebuffer exploits onmogelijk, GrapheneOS heeft inmiddels een zeer goede implementatie van MTE.
MTE wordt uitsluitend ondersteund op telefoons met ARMv9 hardware, maar dat betekent uiteraard niet dat Pixel 6/7's met GrapheneOS onveilig zijn, integendeel.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Die hebben geen exploits.
Ik heb er genoeg van. Ik stap over.
Waarnaar? Bij Apple zitten er exploits in de hardware, daar valt niks aan te patchen.
Die hebben geen exploits.
Ken uw klassieken
https://www.hacktic.nl/magazine/1824.htm
Wat ik zo lees over CVE 2024-0031 is dat het de Android bluetooth stack betreft. Een OOB - Out of band Exploitation.
https://source.android.com/docs/security/bulletin/2024-02-01
En in meer detail:
https://android.googlesource.com/platform/packages/modules/Bluetooth/+/de53890aaca2ae08b3ee2d6e3fd25f702fdfa661
Ik heb er genoeg van. Ik stap over.
Ben je gelijk van google play af.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
