image

Opnieuw lek in Androidtelefoons dat remote code execution mogelijk maakt

dinsdag 5 november 2024, 09:02 door Redactie, 12 reacties

Androidtelefoons bevatten opnieuw een kwetsbaarheid waardoor remote code execution mogelijk is, zo laat Google weten. Het techbedrijf heeft beveiligingsupdates beschikbaar gemaakt. De kwetsbaarheid (CVE-2024-43091) in het System-onderdeel van Android laat een aanvaller op afstand code uitvoeren op Android 12, 12L, 13, 14 en 15, zonder dat aanvullende 'execution privileges' zijn vereist.

Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven. Zo is onduidelijk hoe een aanvaller de kwetsbaarheid zou kunnen misbruiken. Vorige maand waarschuwde Google ook al voor een RCE-kwetsbaarheid in het System-onderdeel.

Daarnaast is er ook een kritieke kwetsbaarheid (CVE-2024-38408) in een onderdeel van chipfabrikant Qualcomm verholpen. Het gaat om 'cryptografische problemen' met de Bluetooth-controller. Verdere details zijn niet gegeven, behalve dat misbruik op afstand kan plaatsvinden en Qualcomm het beveiligingslek als kritiek heeft bestempeld. Google komt elke maand met updates voor Android. In totaal zijn er met de patchronde van november 46 kwetsbaarheden verholpen.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2024-11-01' of '2024-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (12)
Vandaag, 11:30 door Anoniem
Inmiddels in voor de samsungs patch level 5 Nov uitgekomen, 43091 zit erbij:

CVE-2024-23369, CVE-2024-34733, CVE-2024-34732, CVE-2024-33049, CVE-2024-40651, CVE-2024-40649, CVE-2024-34748, CVE-2024-38399, CVE-2024-33069, CVE-2024-40670, CVE-2024-40669, CVE-2024-20103, CVE-2024-20094, CVE-2024-20090, CVE-2024-20091, CVE-2024-20092, CVE-2024-20093, CVE-2024-20100, CVE-2024-20101, CVE-2024-40660, CVE-2024-43081, CVE-2024-43085, CVE-2024-43093, CVE-2024-43082, CVE-2024-43084, CVE-2024-43086, CVE-2024-43091, CVE-2024-29779, CVE-2024-34719, CVE-2024-40661, CVE-2024-43080, CVE-2024-43087, CVE-2024-43088, CVE-2024-43089, CVE-2024-43090, CVE-2024-43083, CVE-2024-31330, CVE-2024-38402

ff allemaal handmatig checken, donwloaden en installeren.
Vandaag, 11:44 door Anoniem
Wat betekend dit voor bankieren met je mobiel?
Vandaag, 12:01 door Anoniem
Door Anoniem: Wat betekend dit voor bankieren met je mobiel?
https://proprivacy.io/nl/checklist/
niet doen is het beste flikker die app er af. Als privacy voor jou belangrijk is.
security is ook een punt maar daarover is niemand het met elkaar eens
Ook twijfelachtig dus
Vandaag, 12:09 door Anoniem
Daarom doe ik geen bankzaken met mijn telefoon. Het is een wandelende (en soms fietsende) tijdbom.
Vandaag, 12:27 door Anoniem
Door Anoniem:
Door Anoniem: Wat betekend dit voor bankieren met je mobiel?
https://proprivacy.io/nl/checklist/
niet doen is het beste flikker die app er af. Als privacy voor jou belangrijk is.
security is ook een punt maar daarover is niemand het met elkaar eens
Ook twijfelachtig dus
Mee eens. Deze apps bevatten vaak Google en Meta trackers, dat wordt er niet duidelijk bij vermeld.
Het beste kan men een read-only live OS GNU+Linux distributie gebruiken in combinatie met een identiyer hardware oplossing.
Vandaag, 12:33 door Anoniem
Door Anoniem: Wat betekend dit voor bankieren met je mobiel?

Helemaal niks.

Als je wilt weten welke dingen wat betekenen voor je bankierzaken, moet je kijken bij al die _werkelijke_ gevallen waarin dingen misgingen - en of de oorzaak een of andere diep technische hack (zero day RCE etc ) was .
En dat is het eigenlijk nooit meer - waar , in de tijden van desktop bankieren - dat zeker nog wel een component was (browser exploits tegen IE ).

Wat technisch gaaf/interessant/mogelijk is, is lang niet altijd de manier waarop iets in de praktijk misbruikt wordt.
Analoog - lockpicking is ook gaaf, en - door een ervaren professional - heel effectief. Voor je inbraak risico is het onzettend marginaal .

Medisch - gebruik 'House' niet als je risico inschatting of diagnose. Je kwaaltjes zijn NIET die "30 mensen in de hele wereld hebben deze ziekte die zich voordoet als iets anders" .
Vandaag, 12:33 door Anoniem
Door Anoniem: Daarom doe ik geen bankzaken met mijn telefoon. Het is een wandelende (en soms fietsende) tijdbom.
Ik gebruik meestal Firefox onder Fedora
Vandaag, 12:36 door Anoniem
Wat de wetgeving betreft zou het voldoende zijn om winkels verplicht een bordje neer te laten zetten.

Dit apparaat zit vrijwel zeker vol met verborgen gebreken. Aanschaf is op eigen risico. Heeft u er schade van dan kunt u altijd uw geld terugkrijgen.

Als er een paar jaar niks meer geupdate moest dan mag dat bordje weg. Als consument heb ik niks aan al die boetes. Maar dan kijk ik in de winkel enkel nog naar telefoons waar dat verplichte bordje niet bij staat. Dus dan regelt de natuur zichzelf.
Vandaag, 13:37 door Anoniem
Door Anoniem: Wat betekend dit voor bankieren met je mobiel?
Bankier eens vanaf een PC, vooraf open je de logger van uBO. Na het bankieren scrol je eens door het gegeneerde log.
Dan mag je je beseffen dat het op je telefoon nog een graadje erger is. Zie hiervoor https://reports.exodus-privacy.eu.org/en.
Vandaag, 13:46 door Anoniem
Door Anoniem:
Door Anoniem: Daarom doe ik geen bankzaken met mijn telefoon. Het is een wandelende (en soms fietsende) tijdbom.
Ik gebruik meestal Firefox onder Fedora
Dat is in principe een veel hoger risico dan een telefoon!
Het minste wat je dan zou moeten doen is een Live CD booten van een read-only medium.
Beter zou zijn om iets van ChromeOS of FydeOS oid te gebruiken.
Vandaag, 13:54 door Anoniem
Door Anoniem: Wat betekend dit voor bankieren met je mobiel?
het is helemaal niet duidelijk wat het betekent, de betreffende CVE heeft (nog) geen informatie over wat er mis is...
er staat wel zoals vaak "laat een aanvaller op afstand code uitvoeren" maar niet hoe die aanvaller dan binnen komt.
is dat door het installeren van een malafide app, door het bezoeken van een malafide website, door toegang via wifi
of bluetooth, whatever.
dat bepaalt nogal wat je risico is.
ook is het nog lang niet zeker dat een bankieren app kan worden gecompromitteerd als er code op je telefoon kan worden uitgevoerd. Android is behoorlijk goed gecompartimenteerd, heel wat beter dan een PC met de gebruikelijke setup.
Vandaag, 14:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Daarom doe ik geen bankzaken met mijn telefoon. Het is een wandelende (en soms fietsende) tijdbom.
Ik gebruik meestal Firefox onder Fedora
Dat is in principe een veel hoger risico dan een telefoon!
Het minste wat je dan zou moeten doen is een Live CD booten van een read-only medium.
Beter zou zijn om iets van ChromeOS of FydeOS oid te gebruiken.
Want ?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.