Google dicht kritiek beveiligingslek in Androidtelefoons met Qualcomm-chip
Tijdens de patchcyclus van april heeft Google 28 kwetsbaarheden in Android verholpen, waaronder een kritieke kwetsbaarheid waardoor telefoons met een Qualcomm-chipset op afstand zijn aan te vallen. Met de maandelijkse patches verhelpt Google zowel kwetsbaarheden in de eigen Androidcode als onderdelen van chipfabrikanten zoals Qualcomm, MediaTek en Arm.
Het gevaarlijkste beveiligingslek volgens Google in de eigen Androidcode van deze maand maakt het mogelijk voor een malafide app om zonder enige interactie van de gebruiker zijn rechten te verhogen. Zo zou de malafide app bijvoorbeeld toegang tot data kunnen krijgen waar die eigenlijk geen toegang toe zou moeten hebben of acties kunnen uitvoeren die de app eigenlijk niet hoort te kunnen uitvoeren. De impact van deze kwetsbaarheid (CVE-2024-23704) is door Google als 'high' bestempeld.
Daarnaast zijn er ook meerdere kwetsbaarheden in onderdelen van chipfabrikanten verholpen, waaronder één die kritiek is. Het gaat om een beveiligingslek in de 'Data Modem' van Androidtelefoons met een Qualcomm-chipset. Via dit beveiligingslek (CVE-2023-28582) kan een aanvaller op afstand, tijdens de verificatie van een Datagram Transport Layer Security (DTLS) protocol handshake, een buffer overflow veroorzaken en zo code uitvoeren. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Verdere details zijn niet gegeven.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2024-04-01' of '2024-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13 en 14.Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Want een slimme formule om zo je geld te verdienen en tegelijkertijd de mensen van hun privay te beroven en al hun gegevens te jatten, waarvoor de fabrikanten dus ook nog eens dik betaald worden door=dat we steeds weer een nieuwe telefoon kopen
En dat al vanaf groep 4 basis school
kleine kinderen lopen al met brilletjes hun ogen verpest, en al die andere fysieke beschadigingen
Wat een ellende. En het einde is in zicht
De elektronische enkelband = smartphone
geheel vrijwillig stonken we er in met hulp fan de firma
gemakkelijk& snel
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
