Androidtelefoons bevatten lek dat remote code execution mogelijk maakt
Een kwetsbaarheid in Android maakt remote code execution mogelijk, waardoor aanvallers code op kwetsbare toestellen kunnen uitvoeren. Google heeft beveiligingsupdates beschikbaar gemaakt om het probleem te verhelpen. Tijdens de patchcyclus van oktober kwam het techbedrijf met patches voor in totaal 28 kwetsbaarheden. Het gevaarlijkste beveiligingslek bevindt zich volgens Google in het System-onderdeel van Android.
De kwetsbaarheid (CVE-2024-40673) maakt remote code execution (RCE) op Android 12, 12L, 13 en 14 mogelijk, zonder dat een aanvaller over aanvullende 'execution privileges' hoeft te beschikken. Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2024-10-01' of '2024-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
Kom op zeg, remote code execution ZONDER privileges in 2024, in android van google?
Dat is gewoon 1 ding en dat een backdoor.
Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
Alleen telefoons met ARMv9 architectuur hebben de mogelijkheid tot MTE, mits juist geimplementeerd innde software. (Bijv. Pixel 8 en hoger via GrapheneOS)
Maar over het algemeen zou ik me geen zorgen maken, bijna elke computer (waaronder telefoons van ieder merk, ook Apple) hebben beveiligingsrisico's, vandaar die patches, vaak gaat het om gerichte aanvallen, en die gebeuren echt niet zomaar bij de gemiddelde gebruiker, en tegen de tijd dat een hacker een exploit heeft gebouwd zijn de telefoons allang gepatched.
Wel zou ik een telefoon nemen met lnge ondersteuning. (7 jaar ofzo, zoals de nieuwere Pixel telefoons)
Bij sommige besturingsystemen zijn exploitaties onwaarschijnlijker (niet onmogelijk) dan bij anderen. (Onder andere TailsOS, QubesOS en GrapheneOS hebben speciale bescherming tegen aanvallen)
Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
Of het tegen specifiek deze vulnerability geholpen heeft weet ik niet. Maar ik denk dat je in het algemeen kan stellen dat een Google Pixel 8 telefoon met daarop GrapheneOS dat je dan redelijk secure by design bent. Een bedrijf als Nitrokey verkoopt ze met dit OS voorgeinstalleerd. Maar ook het zelf doen gaat verrassend simpel via web-usb (in een half uur heb je het er wel op staan).
Ik gebruik dat zelf ook. Op voorhand was ik bang dat veel apps het niet zouden doen, maar tot nu toe ben ik niets tegengekomen dat het niet deed.
Netguard is bijvoorbeeld wel aardig.
https://f-droid.org/en/packages/eu.faircode.netguard/
Ook hebben sommige custom firmwares een firewall ingebouwd.
Hoe kan je eigenlijk voorkomen dat je telefoon niet kwetsbaar is voor dit soort zaken?
Gewoon - NIET.
Lees je lekker uit met https://events.linuxfoundation.org/wp-content/uploads/2023/10/security-stuff.pdf
Over Linux kernel vulnerabilities.
Het Android team doet z'n best om de kernel (meer) te hardenen .
(zoek op Kees Cook en wat voor patches die voorstelt)
Zijn er speciale "hardened" telefoons die goed afgeschermd zijn?
Die zijn (of waren) er deels - met name door een heel basale set applicaties te bieden.
Dan blijft er nog de ietwat voodoo zorgen van hardware-'OS' (de firmware in ethernet, mobiele chips e.d.) . Ook daar zitten bugs in die soms gevonden worden. Dat is 'software' die totaal buiten "het OS" en de normale CPU leeft.
Of moet je er dan zelf een bouwen? (lijkt mij wel leuk te doen, kan ik waarschijnlijk niet, helaas.)
Tegen de tijd dat je dat kan snap je ook waarom 'perfect veilig' een nogal onmogelijk doel is.
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
Ik denk vandaag of morgen.
Het is inderdaad iets later dan normaaal, maar dan doen ze het nog steeds razendsnel tegenover andere merken. (Behalve Google, die doet het eveneens heel snel, het is hun firmware)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.