Google verwijdert vooraf geïnstalleerde app van Pixel-telefoons
Tijdens de patchronde van september heeft Google een vooraf geïnstalleerde app van Pixel-telefoons verwijderd. Het tecbedrijf laat niet weten om welke app het precies gaat, maar eerder maakte het bekend de vooraf geïnstalleerde Showcase-app te verwijderen. De Showcase-app is door een externe partij voor telecomprovider Verizon ontwikkeld en wordt sinds 2017 standaard op Pixel-telefoons geïnstalleerd. Via de app is het mogelijk om Pixel-telefoons in een demonstratiemodus te zetten.
De app staat standaard uitgeschakeld. Onlangs maakte een securitybedrijf bekend dat een aanvaller met fysieke toegang tot een Pixel-telefoon de app kan inschakelen, om vervolgens misbruik van een kwetsbaarheid in de applicatie te maken voor het installeren van malware. Critici stelden dat het om een non-issue ging, aangezien een aanvaller al toegang tot het toestel heeft en dan allerlei andere aanvallen kan uitvoeren. Vanwege de berichtgeving kondigde Google aan de app te zullen verwijderen.
In het Pixel-beveiligingsbulletin van september is een kwetsbaarheid opgenomen aangeduid als CVE-2024-29779, met de omschrijving "Pre-install App". Verdere informatie ontbreekt. Het is voor het eerst dat Google een dergelijke omschrijving gebruikt. De impact van het beveiligingslek is als "high" beoordeeld. Daarnaast zijn er vier kritieke kwetsbaarheden verholpen waardoor een aanvaller die toegang tot de telefoon heeft zijn rechten kan verhogen.
Beveiligingslekken waardoor aanvallers, gebruikers of malafide apps met toegang tot een systeem hun rechten kunnen verhogen, ook wel aangeduid als escalation of privilege (EoP), worden meestal niet als kritiek bestempeld. Dat is wel het geval bij CVE-2024-44092, CVE-2024-44093, CVE-2024-44094 en CVE-2024-44095. Verdere details ontbreken echter. De update wordt automatisch aan ondersteunde Pixel-telefoons aangeboden en Google adviseert gebruikers om die te accepteren.
Van de OS-leverancier denk ik.
Je (ik) kan er nauwelijks wat aan aanpassen zonder in de problemen te komen.
Idem dito met windows.
Ik gebruik een PiHole.
Het is schrikbarend hoe vaak een android phone of tablet in idle modus naar huis belt.
voor 99% google gerelateerd.
Dat de telefoon mijn eigendom is betekent ook dat er het recht van kapotmaken voor bestaat.
Bij alles wat je doet, ben je het Alphabet product.
Jij bent in feite constant gegijzeld door Big Tech en Big Guv.
De fourteen eyes kijken naar jouw via tracking en profilering.
Straks zit het allemaal ook nog binnen in je lijf.
Kun je eindelijk die smartphone eens wegleggen,
als je dat om andere redenen al niet gedaan had.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
