Opnieuw lek in Androidtelefoons dat remote code execution mogelijk maakt
Androidtelefoons bevatten opnieuw een kwetsbaarheid waardoor remote code execution mogelijk is, zo laat Google weten. Het techbedrijf heeft beveiligingsupdates beschikbaar gemaakt. De kwetsbaarheid (CVE-2024-43091) in het System-onderdeel van Android laat een aanvaller op afstand code uitvoeren op Android 12, 12L, 13, 14 en 15, zonder dat aanvullende 'execution privileges' zijn vereist.
Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven. Zo is onduidelijk hoe een aanvaller de kwetsbaarheid zou kunnen misbruiken. Vorige maand waarschuwde Google ook al voor een RCE-kwetsbaarheid in het System-onderdeel.
Daarnaast is er ook een kritieke kwetsbaarheid (CVE-2024-38408) in een onderdeel van chipfabrikant Qualcomm verholpen. Het gaat om 'cryptografische problemen' met de Bluetooth-controller. Verdere details zijn niet gegeven, behalve dat misbruik op afstand kan plaatsvinden en Qualcomm het beveiligingslek als kritiek heeft bestempeld. Google komt elke maand met updates voor Android. In totaal zijn er met de patchronde van november 46 kwetsbaarheden verholpen.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2024-11-01' of '2024-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
CVE-2024-23369, CVE-2024-34733, CVE-2024-34732, CVE-2024-33049, CVE-2024-40651, CVE-2024-40649, CVE-2024-34748, CVE-2024-38399, CVE-2024-33069, CVE-2024-40670, CVE-2024-40669, CVE-2024-20103, CVE-2024-20094, CVE-2024-20090, CVE-2024-20091, CVE-2024-20092, CVE-2024-20093, CVE-2024-20100, CVE-2024-20101, CVE-2024-40660, CVE-2024-43081, CVE-2024-43085, CVE-2024-43093, CVE-2024-43082, CVE-2024-43084, CVE-2024-43086, CVE-2024-43091, CVE-2024-29779, CVE-2024-34719, CVE-2024-40661, CVE-2024-43080, CVE-2024-43087, CVE-2024-43088, CVE-2024-43089, CVE-2024-43090, CVE-2024-43083, CVE-2024-31330, CVE-2024-38402
ff allemaal handmatig checken, donwloaden en installeren.
niet doen is het beste flikker die app er af. Als privacy voor jou belangrijk is.
security is ook een punt maar daarover is niemand het met elkaar eens
Ook twijfelachtig dus
niet doen is het beste flikker die app er af. Als privacy voor jou belangrijk is.
security is ook een punt maar daarover is niemand het met elkaar eens
Ook twijfelachtig dus
Het beste kan men een read-only live OS GNU+Linux distributie gebruiken in combinatie met een identiyer hardware oplossing.
Helemaal niks.
Als je wilt weten welke dingen wat betekenen voor je bankierzaken, moet je kijken bij al die _werkelijke_ gevallen waarin dingen misgingen - en of de oorzaak een of andere diep technische hack (zero day RCE etc ) was .
En dat is het eigenlijk nooit meer - waar , in de tijden van desktop bankieren - dat zeker nog wel een component was (browser exploits tegen IE ).
Wat technisch gaaf/interessant/mogelijk is, is lang niet altijd de manier waarop iets in de praktijk misbruikt wordt.
Analoog - lockpicking is ook gaaf, en - door een ervaren professional - heel effectief. Voor je inbraak risico is het onzettend marginaal .
Medisch - gebruik 'House' niet als je risico inschatting of diagnose. Je kwaaltjes zijn NIET die "30 mensen in de hele wereld hebben deze ziekte die zich voordoet als iets anders" .
Dit apparaat zit vrijwel zeker vol met verborgen gebreken. Aanschaf is op eigen risico. Heeft u er schade van dan kunt u altijd uw geld terugkrijgen.
Als er een paar jaar niks meer geupdate moest dan mag dat bordje weg. Als consument heb ik niks aan al die boetes. Maar dan kijk ik in de winkel enkel nog naar telefoons waar dat verplichte bordje niet bij staat. Dus dan regelt de natuur zichzelf.
Dan mag je je beseffen dat het op je telefoon nog een graadje erger is. Zie hiervoor https://reports.exodus-privacy.eu.org/en.
Het minste wat je dan zou moeten doen is een Live CD booten van een read-only medium.
Beter zou zijn om iets van ChromeOS of FydeOS oid te gebruiken.
er staat wel zoals vaak "laat een aanvaller op afstand code uitvoeren" maar niet hoe die aanvaller dan binnen komt.
is dat door het installeren van een malafide app, door het bezoeken van een malafide website, door toegang via wifi
of bluetooth, whatever.
dat bepaalt nogal wat je risico is.
ook is het nog lang niet zeker dat een bankieren app kan worden gecompromitteerd als er code op je telefoon kan worden uitgevoerd. Android is behoorlijk goed gecompartimenteerd, heel wat beter dan een PC met de gebruikelijke setup.
Het minste wat je dan zou moeten doen is een Live CD booten van een read-only medium.
Beter zou zijn om iets van ChromeOS of FydeOS oid te gebruiken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
