Google verhelpt actief aangevallen kwetsbaarheid ook in Androidtelefoons
Google heeft een actief aangevallen kwetsbaarheid die afgelopen juni in Pixel-telefoons werd gepatcht nu ook in Androidtoestellen verholpen. De kwetsbaarheid wordt aangeduid als CVE-2024-32896 en laat een aanvaller die toegang tot een kwetsbare Androidtelefoon heeft zijn rechten verhogen. Het beveiligingslek is op zichzelf niet voldoende om een toestel op afstand over te nemen.
'Escalation of privilege' kwetsbaarheden worden daarom vaak gecombineerd met andere kwetsbaarheden, bijvoorbeeld in de browser, misbruikt via malafide apps die de gebruiker zelf installeert of wanneer een aanvaller fysieke toegang heeft. Google geeft geen details over de waargenomen aanvallen. Het techbedrijf spreekt van 'beperkt, gericht misbruik'. De kwetsbaarheid is aanwezig in Android 12, 12L, 13 en 14.
In totaal heeft Google deze maand in Android 36 kwetsbaarheden verholpen. Twee daarvan, in onderdelen van chipfabrikant Qualcomm, zijn als kritiek aangemerkt. De twee beveiligingslekken (CVE-2024-33042 en CVE-2024-33052) zijn volgens de omschrijving van Qualcomm alleen lokaal te misbruiken.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2024-08-01' of '2024-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13 en 14.Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Dus is het Android-ecosysteem zo lek als een mandje.
Gebruikers zijn nu afhankelijk van de willekeur van de fabrikanten, die er belang bij hebben om bestaande toestellen na 2-3 jaar te vervangen door een nieuw toestel. Dus waarom zouden ze langdurig updates blijven distribueren. Dat snijdt in hun inkomsten.
Als we met zijn allen echt een circulaire economie willen optuigen (als!), dan zou een van de eerste maatregelen in deze industrie moeten zijn om een toestel gedurende zijn gehele technische levensduur van OS-updates en security patches te blijven voorzien. Of door de fabrikanten of de OS leverancier zelf.
Aangezien het niet veilig wordt gevonden dat gebruikers zelf op hun toestellen gaan klooien met installatiebestanden, ligt dit balletje toch echt bij Google cs.
Nu moeten ze er nog een keer iets aan doen.
En willen ze er niets aan doen, laat dan die security patch meldingen maar achterwegen.
Het gros van de gebruikers heeft daar toch niets (meer) aan.
Lees ik nergens terug
(Heb de update gisteren geinstalleerd op mijn Pixel 8)
Lees ik nergens terug
(Heb de update gisteren geinstalleerd op mijn Pixel 8)
Volgens AndroidPolice wel.
Zie dit artikel: https://www.androidpolice.com/september-2024-security-update-android-14-google-pixel-rolling-out/
Lees ik nergens terug
(Heb de update gisteren geinstalleerd op mijn Pixel 8)
Net als bij Apple is Google verantwoordelijk voor het OS, en is de telefoon fabrikant verantwoordelijk voor het schilletje en de handvol met apps die ze meeleveren.
Daarnaast zou Google nauw moeten samenwerken met Qualcomm om ook deze updates mee te nemen in hun eigen security update systeem.
Hardware gaat tegenwoordig vele malen langer mee dan fabrikanten graag zien, en zij straffen consumenten met 'afgedankte' telefoons na een paar jaar gebruik.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
