image

Androidtelefoons bevatten lek dat remote code execution mogelijk maakt

dinsdag 8 oktober 2024, 11:10 door Redactie, 15 reacties
Laatst bijgewerkt: 08-10-2024, 17:25

Een kwetsbaarheid in Android maakt remote code execution mogelijk, waardoor aanvallers code op kwetsbare toestellen kunnen uitvoeren. Google heeft beveiligingsupdates beschikbaar gemaakt om het probleem te verhelpen. Tijdens de patchcyclus van oktober kwam het techbedrijf met patches voor in totaal 28 kwetsbaarheden. Het gevaarlijkste beveiligingslek bevindt zich volgens Google in het System-onderdeel van Android.

De kwetsbaarheid (CVE-2024-40673) maakt remote code execution (RCE) op Android 12, 12L, 13 en 14 mogelijk, zonder dat een aanvaller over aanvullende 'execution privileges' hoeft te beschikken. Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2024-10-01' of '2024-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (15)
08-10-2024, 11:34 door Anoniem
Nou lekker dan...

Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
08-10-2024, 11:44 door Anoniem
Weer een undocumented backdoor ontdekt. Het blijft lachwekkend.
08-10-2024, 12:16 door Anoniem
28 backdoors gefixed omdat ze door de russen/chinezen herkend zijn?
Kom op zeg, remote code execution ZONDER privileges in 2024, in android van google?
Dat is gewoon 1 ding en dat een backdoor.
08-10-2024, 12:48 door Anoniem
Door Anoniem: Nou lekker dan...

Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
GrapheneOS is voorzien van allerlei exploit-beschermingen, (hardened OS) daarnaast zijn framebuffer exploits op telefoons met MTE (memory tagging extension) zeer onwaarschijnlijk, de meeste exploits bestaan uit framebuffer overflows.
Alleen telefoons met ARMv9 architectuur hebben de mogelijkheid tot MTE, mits juist geimplementeerd innde software. (Bijv. Pixel 8 en hoger via GrapheneOS)
Maar over het algemeen zou ik me geen zorgen maken, bijna elke computer (waaronder telefoons van ieder merk, ook Apple) hebben beveiligingsrisico's, vandaar die patches, vaak gaat het om gerichte aanvallen, en die gebeuren echt niet zomaar bij de gemiddelde gebruiker, en tegen de tijd dat een hacker een exploit heeft gebouwd zijn de telefoons allang gepatched.
Wel zou ik een telefoon nemen met lnge ondersteuning. (7 jaar ofzo, zoals de nieuwere Pixel telefoons)
08-10-2024, 12:53 door Anoniem
Door Anoniem: Weer een undocumented backdoor ontdekt. Het blijft lachwekkend.
Elke computer kan gehcked worden, waaronder Windows, Android, IOS, Mac, Linux, etc.
Bij sommige besturingsystemen zijn exploitaties onwaarschijnlijker (niet onmogelijk) dan bij anderen. (Onder andere TailsOS, QubesOS en GrapheneOS hebben speciale bescherming tegen aanvallen)
08-10-2024, 13:00 door Freeaqingme
Door Anoniem: Nou lekker dan...

Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)

Of het tegen specifiek deze vulnerability geholpen heeft weet ik niet. Maar ik denk dat je in het algemeen kan stellen dat een Google Pixel 8 telefoon met daarop GrapheneOS dat je dan redelijk secure by design bent. Een bedrijf als Nitrokey verkoopt ze met dit OS voorgeinstalleerd. Maar ook het zelf doen gaat verrassend simpel via web-usb (in een half uur heb je het er wel op staan).

Ik gebruik dat zelf ook. Op voorhand was ik bang dat veel apps het niet zouden doen, maar tot nu toe ben ik niets tegengekomen dat het niet deed.
08-10-2024, 13:22 door Anoniem
Door Anoniem: Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Een firewall gebruiken en enkel de verbindingen toestaan die jij wil.
08-10-2024, 13:42 door Anoniem
Door Anoniem:
Door Anoniem: Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Een firewall gebruiken en enkel de verbindingen toestaan die jij wil.
Inderdaad!
Netguard is bijvoorbeeld wel aardig.
https://f-droid.org/en/packages/eu.faircode.netguard/
Ook hebben sommige custom firmwares een firewall ingebouwd.
08-10-2024, 13:51 door Anoniem
Door Anoniem: Nou lekker dan...

Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?

Gewoon - NIET.

Lees je lekker uit met https://events.linuxfoundation.org/wp-content/uploads/2023/10/security-stuff.pdf

Over Linux kernel vulnerabilities.

Het Android team doet z'n best om de kernel (meer) te hardenen .
(zoek op Kees Cook en wat voor patches die voorstelt)


Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?

Die zijn (of waren) er deels - met name door een heel basale set applicaties te bieden.

Dan blijft er nog de ietwat voodoo zorgen van hardware-'OS' (de firmware in ethernet, mobiele chips e.d.) . Ook daar zitten bugs in die soms gevonden worden. Dat is 'software' die totaal buiten "het OS" en de normale CPU leeft.


Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)

Tegen de tijd dat je dat kan snap je ook waarom 'perfect veilig' een nogal onmogelijk doel is.
08-10-2024, 14:01 door Anoniem
Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.
08-10-2024, 15:42 door Anoniem
Door Anoniem: Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.
Nog niet, maar die zal een dezer dagen in de beta terechtkomen.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
08-10-2024, 16:31 door Anoniem
Door Anoniem:
Door Anoniem: Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.
Nog niet, maar die zal een dezer dagen in de beta terechtkomen.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
Bedankt, ik heb de Beta release aan staan, dan zie ik het binnenkort wel verschijnen.
08-10-2024, 18:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.
Nog niet, maar die zal een dezer dagen in de beta terechtkomen.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
Bedankt, ik heb de Beta release aan staan, dan zie ik het binnenkort wel verschijnen.
Geen probleem! (-:
Dit doe ik ook vaak tijdens de maandelijkse patch, ik zet hem daarna weer op de stable release, al is de stable release meestal gelijkwaardig aan de beta, de kans op fouten is minder met de stable.
Meestal komt de stable release van de maandelijkse patch een dag later, al wacht hij wel tot de telefoon idle is, dus u kunt hem ook "forceren" via de updater.
Ik zou hem overigens niet op de alpha releases zetten, die kunnen onstabiel zijn.
08-10-2024, 21:18 door Anoniem
Dus alsnog een aanrader om niet te delen dan wat je al van plan was met de hele wereld en de gootsteen te delen.

De data , die er niet is, kan je later niet in je *chterste komen bijten.

Wees altijd op je hoede voor niet gedocumenteerde hacks.

Je hoeft er geen slachtoffer van te worden, maar het kan altijd,
zeker als men streeft naar totaal monitoren en totale surveillance.
08-10-2024, 21:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is de patch al uitgerold op Graphene of moet dat nog? Ik kan geen patchniveau met 2024-08-01 of 2024-08-0 vinden, maar wel Android security update 5 september 2024.
Nog niet, maar die zal een dezer dagen in de beta terechtkomen.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
Bedankt, ik heb de Beta release aan staan, dan zie ik het binnenkort wel verschijnen.
Hij ligt al klaar: (Alleen nog handmatig installeerbaar, zal inderdaad wel morgen worden)
https://github.com/GrapheneOS/platform_manifest/releases/tag/2024100800

Changes since the 2024092900 release:
-full 2024-10-01 security patch level
-overhaul the implementation of our USB-C port control feature to -improve robustness and error reporting
-fix an upstream Android Bluetooth use-after-free bug uncovered by -GrapheneOS hardware memory tagging that's triggered when obtaining -internet access from another device via Bluetooth
-fix an upstream Android race condition bug in handling of system error files to avoid using the wrong timestamps for system errors and then reporting them as new errors after reboot
-work around an upstream Android bug causing our Log Viewer feature to stop working after system_server restarts
-add handling for early boot-time system journal notifications
-kernel (5.10, 5.15, 6.1, 6.6): backport upstream patch fixing a hole in SELinux W^X enforcement
-kernel (5.10): update to latest GKI LTS branch revision including update to 5.10.226
-kernel (5.15): update to latest GKI LTS branch revision including update to 5.15.167
-kernel (6.1): update to latest GKI LTS branch revision including update to 6.1.112
-kernel (6.6): update to latest GKI LTS branch revision including update to 6.6.53
-TalkBack (screen reader): update dependencies
Vanadium: update to version 129.0.6668.81.0
-GmsCompatConfig: update to version 140

Bron:
https://grapheneos.org/releases
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.