image

Google waarschuwt voor actief aangevallen RCE-kwetsbaarheid in Android

dinsdag 6 augustus 2024, 09:17 door Redactie, 23 reacties

Google waarschuwt voor een actief aangevallen kwetsbaarheid in de Androidkernel waardoor remote code execution (RCE) mogelijk is. Het techbedrijf heeft updates beschikbaar gemaakt, maar het beveiligingslek werd er al voor het verschijnen van de patches misbruikt bij aanvallen. Google geeft geen details over deze aanvallen, behalve dat het om "beperkte, gerichte" aanvallen gaat.

Via de kwetsbaarheid in de Androidkernel, aangeduid als CVE-2024-36971, kan een aanvaller op afstand code op het systeem uitvoeren. Hiervoor moet de aanvaller wel eerst over 'system execution privileges' beschikken. Vanwege deze vereist is de impact als 'high' beoordeeld. In totaal heeft Google deze maand 47 kwetsbaarheden in Android verholpen. Eén daarvan is als kritiek aangemerkt. Het gaat om een beveiligingslek in de code van chipfabrikant Qualcomm. Hierdoor is een permanente denial-of-service mogelijk.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2024-07-01' of '2024-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13 en 14. In het geval van CVE-2024-36971 is de update hiervoor upstream aan de Androidkernel toegevoegd.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (23)
06-08-2024, 10:01 door Anoniem
Wat een rommel toch die Android toestellen. Iedere keer weer wat. Ik ben er wel een beetje klaar mee. En dan de prijs
Ook de dure toestellen hebben die kwetsbaarheid.
Is het eigenlijk niet een mislukt project?
Wie het weet mag het zeggen
06-08-2024, 10:05 door Anoniem
Daarom heeft Antivirus software ook niet zo veel nut op een Android. Systeemproblemen zijn het. Daar kan een AV niet mee. SCHIJNVEILIGHEID. Zonde van je geld.
06-08-2024, 10:29 door Anoniem
Ah, de maandelijkse beveiligingspatch, heel goed! (-:
06-08-2024, 11:33 door Anoniem
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.
06-08-2024, 11:45 door Anoniem
Ow ja wat hebben jullie dan ? APPLE ZEKER!

verstuurd vanaf mijn Iphone!
Hahahahaha
06-08-2024, 11:52 door Anoniem
Door Anoniem: Wat een rommel toch die Android toestellen. Iedere keer weer wat. Ik ben er wel een beetje klaar mee. En dan de prijs
Ook de dure toestellen hebben die kwetsbaarheid.
Is het eigenlijk niet een mislukt project?
Wie het weet mag het zeggen
Prijs van het enige alternatief is inderdaad heeel veeel beter, nietwaar?

Rommel vergeleken met Blackberry, Nokia en Windows ME?

Of kan het zijn dat iOS zoveel beter lijkt omdat het niet-transparant is?

Met Bind was het ook altijd het mantra dat het slecht was omdat er altijd zoveel bugs waren.
Terwijl in realiteit het aantal niet-opgeloste bugs een probleem is - en heel veel verholpen bugs in mijn optiek getuigd van serieus support - en dat zoveel bugs gevonden worden komt door een actieve userbase (die ze zonder omwegen kan melden, zonder van kastje naar de muur gestuurd te worden, en uiteindelijk met een kluitje in het riet gestuurd te worden).
06-08-2024, 11:53 door Anoniem
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:
Ah, mijn remleiding hebben een zwakke plek. Ah de jaarlijkse beurt. geweldig. Weer veilig.
06-08-2024, 12:06 door Anoniem
Door Anoniem: Wat een rommel toch die Android toestellen. Iedere keer weer wat. Ik ben er wel een beetje klaar mee. En dan de prijs
Ook de dure toestellen hebben die kwetsbaarheid.
Is het eigenlijk niet een mislukt project?
Wie het weet mag het zeggen

Het is pas rommel als Google geen updates meer uitbrengt voor Android. Dit is gewoon simpelweg een veelgebruikt OS. Alles wat veel gebruikt wordt, is kwetsbaar. iOS heeft ook genoeg kwetsbaarheden. Als je niet wilt updaten, dan stel ik voor een oude Nokia te gebruiken.
06-08-2024, 12:09 door Anoniem
Door Anoniem: Daarom heeft Antivirus software ook niet zo veel nut op een Android. Systeemproblemen zijn het. Daar kan een AV niet mee. SCHIJNVEILIGHEID. Zonde van je geld.

Dat is niet helemaal waar. System execution privileges krijg je niet zomaar. Vaak worden deze privileges verkregen door een malafide app uit de store die een antivirus kan omzeilen.
06-08-2024, 12:13 door Anoniem
Door Anoniem:
Door Anoniem: Daarom heeft Antivirus software ook niet zo veel nut op een Android. Systeemproblemen zijn het. Daar kan een AV niet mee. SCHIJNVEILIGHEID. Zonde van je geld.

Dat is niet helemaal waar. System execution privileges krijg je niet zomaar. Vaak worden deze privileges verkregen door een malafide app uit de store die een antivirus kan omzeilen.

Edit: Die een antivirus kan detecteren.
06-08-2024, 12:24 door Anoniem
Door Anoniem: Wat een rommel toch die Android toestellen. Iedere keer weer wat. Ik ben er wel een beetje klaar mee. En dan de prijs
Ook de dure toestellen hebben die kwetsbaarheid.
Is het eigenlijk niet een mislukt project?

Net zo mislukt als de Linux kernel, waar de vulnerability vandaan komt.

De vulnerability is https://nvd.nist.gov/vuln/detail/CVE-2024-36971

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=2295a7ef5c8c49241bff769e7826ef2582e532a6


Lees maar en roep maar DUH WAT DOM, ziet iedereen dat dat fout is, zie je wel, Linux coders inserten backdoor .


Wie het weet mag het zeggen

Ik weet het, en wat je zegt is BS.
06-08-2024, 15:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Daarom heeft Antivirus software ook niet zo veel nut op een Android. Systeemproblemen zijn het. Daar kan een AV niet mee. SCHIJNVEILIGHEID. Zonde van je geld.

Dat is niet helemaal waar. System execution privileges krijg je niet zomaar. Vaak worden deze privileges verkregen door een malafide app uit de store die een antivirus kan omzeilen.

Edit: Die een antivirus kan detecteren.
Welkrebijvoorbeeld? Eset
Kaspersky?
Er zijn ook veel Av apps die je gegevens misbruiken of gewoon slecht zijn
06-08-2024, 16:28 door Anoniem
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.

Precies, dat is wat er slecht aan is.
Dergelijke updates zouden direct naar alle toestellen moeten gaan die deze software gebruiken, niet via de fabrikant
van het toestel.
Als je Windows op je Dell of HP of Lenovo draait dan gaan Windows Updates toch ook niet eerst ter goedkeuring en vertraging langs die fabrikant van je computer?
(die dan ook nog kan besluiten dat dit model uit support is en geen updates meer hoeft te hebben)

Dit is een groot nadeel en zwak punt van Android, daar zou men toch eens wat aan moeten doen!
06-08-2024, 17:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.

Precies, dat is wat er slecht aan is.
Dergelijke updates zouden direct naar alle toestellen moeten gaan die deze software gebruiken, niet via de fabrikant
van het toestel.
Als je Windows op je Dell of HP of Lenovo draait dan gaan Windows Updates toch ook niet eerst ter goedkeuring en vertraging langs die fabrikant van je computer?
(die dan ook nog kan besluiten dat dit model uit support is en geen updates meer hoeft te hebben)

Dit is een groot nadeel en zwak punt van Android, daar zou men toch eens wat aan moeten doen!

Als u een Samsung Mobiel in de S-klasse of een Google Pixel hebt, krijt uw apparaat elke maand de beloofde FW update.
06-08-2024, 19:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.

Precies, dat is wat er slecht aan is.
Dergelijke updates zouden direct naar alle toestellen moeten gaan die deze software gebruiken, niet via de fabrikant
van het toestel.
Als je Windows op je Dell of HP of Lenovo draait dan gaan Windows Updates toch ook niet eerst ter goedkeuring en vertraging langs die fabrikant van je computer?
(die dan ook nog kan besluiten dat dit model uit support is en geen updates meer hoeft te hebben)

Dit is een groot nadeel en zwak punt van Android, daar zou men toch eens wat aan moeten doen!

Als u een Samsung Mobiel in de S-klasse of een Google Pixel hebt, krijt uw apparaat elke maand de beloofde FW update.
En anders heeft u het nakijken. Met andere woorden: SLECHT
06-08-2024, 19:34 door Anoniem
Als u een Samsung Mobiel in de S-klasse of een Google Pixel hebt, krijt uw apparaat elke maand de beloofde FW update.
Alleen op de wereld, rename Google Remi, rename Samsung Remi. De rest, al heb je 2k voor je toestel betaald, kan de T krijgen. Als ik geld had procedeerde ik ze allemaal helemaal de grond in.
06-08-2024, 20:41 door Anoniem
Door Anoniem:
Als u een Samsung Mobiel in de S-klasse of een Google Pixel hebt, krijt uw apparaat elke maand de beloofde FW update.
Alleen op de wereld, rename Google Remi, rename Samsung Remi. De rest, al heb je 2k voor je toestel betaald, kan de T krijgen. Als ik geld had procedeerde ik ze allemaal helemaal de grond in.

Want alle mensen die wel geld hebben om te procederen missen jouw juridische inzicht dat het gewonnen zaak waar de fabrikanten 'helemaal de grond van in gaan' , natuurlijk ?
Evenals de graaiers met juridische titel die graag op massaclaim (zoals staatsloterij) sprongen, maar ook zij missen dat open doel dat jij ziet en alleen maar moet laten liggen omdat je een arme drommel bent...
06-08-2024, 20:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.

Precies, dat is wat er slecht aan is.
Dergelijke updates zouden direct naar alle toestellen moeten gaan die deze software gebruiken, niet via de fabrikant
van het toestel.
Als je Windows op je Dell of HP of Lenovo draait dan gaan Windows Updates toch ook niet eerst ter goedkeuring en vertraging langs die fabrikant van je computer?
(die dan ook nog kan besluiten dat dit model uit support is en geen updates meer hoeft te hebben)

Het verschil is tweeledig :

Alle PCs zijn , technisch gezien "hetzelfde" - begonnen als "IBM compatibel", en later onderling compatibel gebleven.
OMDAT de fabrikanten geen OS wilden leveren.

En omdat Microsoft "HET" OS leverde , waren PCs erg inwisselbaar - en zag van alles er hetzelfde uit.

De (relatief) kleine verschillen zaten dan in hardware drivers ,geschreven vaak door de hardware fabrikant, en natuurlijk de bron van veel ellende - waar Microsoft dan de schuld van krijgt.
Erger nog - dat soort drivers wordt er later bijgeladen.

Begrijpelijk dat zowel de fabrikanten van telefoons als google een ander model wilden.

De fabrikanten mogen Android aanpassen om zich te onderscheiden en unieke features aan te bieden.

En google wil/gaat/kan geen generiek Android OS maken met support voor al die tikje verschillende hardware platformen (of erg verschillende - andere CPU kan ook ) en dan ook nog de schuld krijgen als de fingerprint scanner van Oneplus net even anders werkt.


Dit is een groot nadeel en zwak punt van Android, daar zou men toch eens wat aan moeten doen!

Nee, niet terug naar Windows .

Je moet gewoon leren dat je ALLES koopt van de telefoon vendor. Een stuk hardware MET OS .
Van die die telefoonvendor het OS gekocht, gekloond of gekregen heeft is niet jouw probleem en heb je niks mee te maken.

Koop je een Apple, dan krijg je hardware en software van Apple.
Koop je (ooit) een Blackberry dan koop je hardware en software van RIM.
Koop je ooit een Nokia, dan kocht je hardware en OS van Nokia.

Koop je een Samsung, dan koop je telefoon en OS van Samsung.

WIl je telefoon en OS van Google kopen ? Dan koop je een Pixel. Het boeit je dan ook niet bij welke OEM Google de hardware heeft laten ontwerpen en maken.

Je auto koop je van een autofabrikant. Je hebt er helemaal niks mee te maken dat het motormanagement OS misschien van Bosch ingekocht is. Brengt Bosch een update uit ? Whatever. Je hebt alleen met je auto merk en merkdealer te maken.

Wil je een Android telefoon met langere support en snelle updates ? Dan zoek je een merk die je dat levert.
06-08-2024, 22:15 door Anoniem
Door Anoniem: Ow ja wat hebben jullie dan ? APPLE ZEKER!

verstuurd vanaf mijn Iphone!
Hahahahaha

Er zijn teveel redenen om Apple absoluut niet te vertrouwen (zie videos hieronder)
Daarnaast is het beter om een "zero-trust" polucy aan te nemen waarbij je niemand hoeft te vertrouwen, maar in plaats daarvan men het bewijst via transparantie van code en vrije licenties.

The Hated One videos over Apple:

Apple Is Terrible for Your Privacy
https://youtu.be/r38Epj6ldKU

How Tim Cook Surrendered Apple to the Chinese Government
https://youtu.be/Ev9_oDHNf-4

Actually! Android is more private than the iPhone!
https://youtu.be/nQ9LR8homt4

Don't Believe Apple's Privacy Grandstanding
https://youtu.be/shxTTon5lfs

Apple and Google contact tracing is a dystopian nightmare
https://youtu.be/WRalTWAFBY4

Do NOT trust Apple Intelligence!
https://youtu.be/6YbeGjnqEZ8
07-08-2024, 08:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.

Precies, dat is wat er slecht aan is.
Dergelijke updates zouden direct naar alle toestellen moeten gaan die deze software gebruiken, niet via de fabrikant
van het toestel.
Als je Windows op je Dell of HP of Lenovo draait dan gaan Windows Updates toch ook niet eerst ter goedkeuring en vertraging langs die fabrikant van je computer?
(die dan ook nog kan besluiten dat dit model uit support is en geen updates meer hoeft te hebben)

Het verschil is tweeledig :

Alle PCs zijn , technisch gezien "hetzelfde" - begonnen als "IBM compatibel", en later onderling compatibel gebleven.
OMDAT de fabrikanten geen OS wilden leveren.

En omdat Microsoft "HET" OS leverde , waren PCs erg inwisselbaar - en zag van alles er hetzelfde uit.

De (relatief) kleine verschillen zaten dan in hardware drivers ,geschreven vaak door de hardware fabrikant, en natuurlijk de bron van veel ellende - waar Microsoft dan de schuld van krijgt.
Erger nog - dat soort drivers wordt er later bijgeladen.

Begrijpelijk dat zowel de fabrikanten van telefoons als google een ander model wilden.

De fabrikanten mogen Android aanpassen om zich te onderscheiden en unieke features aan te bieden.

En google wil/gaat/kan geen generiek Android OS maken met support voor al die tikje verschillende hardware platformen (of erg verschillende - andere CPU kan ook ) en dan ook nog de schuld krijgen als de fingerprint scanner van Oneplus net even anders werkt.


Dit is een groot nadeel en zwak punt van Android, daar zou men toch eens wat aan moeten doen!

Nee, niet terug naar Windows .

Je moet gewoon leren dat je ALLES koopt van de telefoon vendor. Een stuk hardware MET OS .
Van die die telefoonvendor het OS gekocht, gekloond of gekregen heeft is niet jouw probleem en heb je niks mee te maken.

Koop je een Apple, dan krijg je hardware en software van Apple.
Koop je (ooit) een Blackberry dan koop je hardware en software van RIM.
Koop je ooit een Nokia, dan kocht je hardware en OS van Nokia.

Koop je een Samsung, dan koop je telefoon en OS van Samsung.

WIl je telefoon en OS van Google kopen ? Dan koop je een Pixel. Het boeit je dan ook niet bij welke OEM Google de hardware heeft laten ontwerpen en maken.

Je auto koop je van een autofabrikant. Je hebt er helemaal niks mee te maken dat het motormanagement OS misschien van Bosch ingekocht is. Brengt Bosch een update uit ? Whatever. Je hebt alleen met je auto merk en merkdealer te maken.

Wil je een Android telefoon met langere support en snelle updates ? Dan zoek je een merk die je dat levert.
Veiligheid lijkt me een eerste vereiste op de smarphones omdat iedereen , ook jan met de pet en de smalle beurs en geen tech kennis er een moet hebben, Dat is bij autos ook zo. remmen werken Punt.Airbags? doen het, Punt. Smartphone???
nee ja weet niet misschien even paar maand wachten.... dus. iedere keer weer wat. tenzij je je de duurste kunt permitteren en ook nog verstand van zaken hebt.Kan eigenlijk dus niet.
07-08-2024, 09:11 door Anoniem
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

super, alleen dan wordt die niet door jouw fabrikant uitgerold ... want die zitten niet te wachten op updates voor toestellen maar op dat jij een nieuwe koopt waardeloos

laten we wel wezen, dat android geupdate wordt betekent niet dat jouw toestel die update krijgt
(zou het even fijn zijn als DAT afgedwongen kon worden)
07-08-2024, 11:25 door Anoniem
Door Anoniem:
(lang verhaal niet gequote)
Wil je een Android telefoon met langere support en snelle updates ? Dan zoek je een merk die je dat levert.
In dit geval is het wel weer handig dat we een EU hebben die dat soort bullshit redeneringen niet accepteert en gewoon eist dat als je iets op de markt brengt dat je het dan ook ondersteunt.
Het is niet aan de consument om uit te moeten zoeken hoe de supply chain van een fabrikant precies in elkaar zit en wat de kwade geesten in de directie wel goed genoeg vinden.
Dat bepaalt een regulerende autoriteit. Wil je als fabrikant niet aan die regels voldoen, ook goed, dan mag je de markt niet op.
09-08-2024, 20:57 door Anoniem
Door Anoniem:
Door Anoniem: Ah, de maandelijkse beveiligingspatch, heel goed! (-:

Nu moet die alleen nog de meerderheid van de in omloop zijnde toestellen zien te bereiken.
Google gaat dat niet doen. De telco's en de fabrikanten ook niet.
Ik gebruik GrapheneOS, vaak zit de update er dezelfde dag al in. (Althans, in de beta release, stable is een dagje of twee later)
Maar inderdaad, veel andere fabrikanten zijn daar erg laks in...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.