Nou lekker dan...

Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)

Weer een undocumented backdoor ontdekt. Het blijft lachwekkend.

28 backdoors gefixed omdat ze door de russen/chinezen herkend zijn?
Kom op zeg, remote code execution ZONDER privileges in 2024, in android van google?
Dat is gewoon 1 ding en dat een backdoor.

GrapheneOS is voorzien van allerlei exploit-beschermingen, (hardened OS) daarnaast zijn framebuffer exploits op telefoons met MTE (memory tagging extension) zeer onwaarschijnlijk, de meeste exploits bestaan uit framebuffer overflows.
Alleen telefoons met ARMv9 architectuur hebben de mogelijkheid tot MTE, mits juist geimplementeerd innde software. (Bijv. Pixel 8 en hoger via GrapheneOS)
Maar over het algemeen zou ik me geen zorgen maken, bijna elke computer (waaronder telefoons van ieder merk, ook Apple) hebben beveiligingsrisico's, vandaar die patches, vaak gaat het om gerichte aanvallen, en die gebeuren echt niet zomaar bij de gemiddelde gebruiker, en tegen de tijd dat een hacker een exploit heeft gebouwd zijn de telefoons allang gepatched.
Wel zou ik een telefoon nemen met lnge ondersteuning. (7 jaar ofzo, zoals de nieuwere Pixel telefoons)

Elke computer kan gehcked worden, waaronder Windows, Android, IOS, Mac, Linux, etc.
Bij sommige besturingsystemen zijn exploitaties onwaarschijnlijker (niet onmogelijk) dan bij anderen. (Onder andere TailsOS, QubesOS en GrapheneOS hebben speciale bescherming tegen aanvallen)

Of het tegen specifiek deze vulnerability geholpen heeft weet ik niet. Maar ik denk dat je in het algemeen kan stellen dat een Google Pixel 8 telefoon met daarop GrapheneOS dat je dan redelijk secure by design bent. Een bedrijf als Nitrokey verkoopt ze met dit OS voorgeinstalleerd. Maar ook het zelf doen gaat verrassend simpel via web-usb (in een half uur heb je het er wel op staan).

Ik gebruik dat zelf ook. Op voorhand was ik bang dat veel apps het niet zouden doen, maar tot nu toe ben ik niets tegengekomen dat het niet deed.

Een firewall gebruiken en enkel de verbindingen toestaan die jij wil.

Inderdaad!
Netguard is bijvoorbeeld wel aardig.
https://f-droid.org/en/packages/eu.faircode.netguard/
Ook hebben sommige custom firmwares een firewall ingebouwd.

Gewoon - NIET.

Lees je lekker uit met https://events.linuxfoundation.org/wp-content/uploads/2023/10/security-stuff.pdf

Over Linux kernel vulnerabilities.

Het Android team doet z'n best om de kernel (meer) te hardenen .
(zoek op Kees Cook en wat voor patches die voorstelt)


Die zijn (of waren) er deels - met name door een heel basale set applicaties te bieden.

Dan blijft er nog de ietwat voodoo zorgen van hardware-'OS' (de firmware in ethernet, mobiele chips e.d.) . Ook daar zitten bugs in die soms gevonden worden. Dat is 'software' die totaal buiten "het OS" en de normale CPU leeft.


Tegen de tijd dat je dat kan snap je ook waarom 'perfect veilig' een nogal onmogelijk doel is.

Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.

Nog niet, maar die zal een dezer dagen in de beta terechtkomen.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)

Bedankt, ik heb de Beta release aan staan, dan zie ik het binnenkort wel verschijnen.

Geen probleem! (-:
Dit doe ik ook vaak tijdens de maandelijkse patch, ik zet hem daarna weer op de stable release, al is de stable release meestal gelijkwaardig aan de beta, de kans op fouten is minder met de stable.
Meestal komt de stable release van de maandelijkse patch een dag later, al wacht hij wel tot de telefoon idle is, dus u kunt hem ook "forceren" via de updater.
Ik zou hem overigens niet op de alpha releases zetten, die kunnen onstabiel zijn.

Dus alsnog een aanrader om niet te delen dan wat je al van plan was met de hele wereld en de gootsteen te delen.

De data , die er niet is, kan je later niet in je *chterste komen bijten.

Wees altijd op je hoede voor niet gedocumenteerde hacks.

Je hoeft er geen slachtoffer van te worden, maar het kan altijd,
zeker als men streeft naar totaal monitoren en totale surveillance.

Hij ligt al klaar: (Alleen nog handmatig installeerbaar, zal inderdaad wel morgen worden)
https://github.com/GrapheneOS/platform_manifest/releases/tag/2024100800

Changes since the 2024092900 release:
-full 2024-10-01 security patch level
-overhaul the implementation of our USB-C port control feature to -improve robustness and error reporting
-fix an upstream Android Bluetooth use-after-free bug uncovered by -GrapheneOS hardware memory tagging that's triggered when obtaining -internet access from another device via Bluetooth
-fix an upstream Android race condition bug in handling of system error files to avoid using the wrong timestamps for system errors and then reporting them as new errors after reboot
-work around an upstream Android bug causing our Log Viewer feature to stop working after system_server restarts
-add handling for early boot-time system journal notifications
-kernel (5.10, 5.15, 6.1, 6.6): backport upstream patch fixing a hole in SELinux W^X enforcement
-kernel (5.10): update to latest GKI LTS branch revision including update to 5.10.226
-kernel (5.15): update to latest GKI LTS branch revision including update to 5.15.167
-kernel (6.1): update to latest GKI LTS branch revision including update to 6.1.112
-kernel (6.6): update to latest GKI LTS branch revision including update to 6.6.53
-TalkBack (screen reader): update dependencies
Vanadium: update to version 129.0.6668.81.0
-GmsCompatConfig: update to version 140

Bron:
https://grapheneos.org/releases