image

Androidtelefoons wederom kwetsbaar voor remote code execution

dinsdag 3 december 2024, 15:15 door Redactie, 14 reacties
Laatst bijgewerkt: 04-12-2024, 10:42

Voor de derde maand op rij bevatten Androidtelefoons een kwetsbaarheid die remote code execution (RCE) mogelijk maakt. Google heeft updates uitgebracht om het probleem te verhelpen. Net als in oktober en november bevindt de RCE-kwetsbaarheid zich in het System-onderdeel van Android. Het beveiligingslek laat een aanvaller op afstand code uitvoeren op Android 12, 12L, 13, 14 en 15, zonder dat aanvullende 'execution privileges' zijn vereist.

Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven. Zo is onduidelijk hoe een aanvaller de kwetsbaarheid (CVE-2024-43767) zou kunnen misbruiken. De overige kwetsbaarheden die Google deze maand in Android heeft verholpen maken het mogelijk voor malafide apps of gebruikers om hun rechten te verhogen, zonder dat hiervoor extra 'execution privileges' zijn vereist.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2024-11-01' of '2024-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (14)
03-12-2024, 15:20 door Anoniem
blijf een rot ecosysteem met dat updaten is optioneel vanuit de fabrikant, of het toestel nou nog goed is of niet.

blijft een wonder dat dat allemaal maar zo 'moeilijk' is
03-12-2024, 16:24 door Joep Lunaar
LineageOS doet het in elk geval behoorlijk prompt.
Zie https://download.lineageos.org/changes
03-12-2024, 16:56 door Anoniem
LineageOS doet het in elk geval behoorlijk prompt.

Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)

GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?

Bestaat er ergens een redelijk eerlijke vergelijking?
03-12-2024, 17:06 door Anoniem
Door Joep Lunaar: LineageOS doet het in elk geval behoorlijk prompt.
Zie https://download.lineageos.org/changes

Is dit gewoon een LineageOS SPAM losse flodder opmerking ?
Ik zie namelijk helemaal niets met betrekking tot een security update / de genoemde CVE in de changelog staan ... ?
03-12-2024, 17:38 door Anoniem
Door Anoniem:
LineageOS doet het in elk geval behoorlijk prompt.

Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)

GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?

Bestaat er ergens een redelijk eerlijke vergelijking?
Hier is een gedetailleerde vergelijking:
https://eylenburg.github.io/android_comparison.htm
GrapheneOS is bij verreweg de beste, en al helemaal aangezien deze verofied boot heeft, vaak heeft LineageOS dat niet.
DivestOS is ook niet slecht als tweede plaats, ook die heeft op Pixel-apparaten verified boot.
03-12-2024, 18:00 door Anoniem
GrapheneOS heeft zojuist de beveiligingspatch geimplementeerd, mijn telefoon wordt nu geupdate, sterker nog, die patch is van gisteren.
03-12-2024, 18:09 door Joep Lunaar
Door Anoniem:
LineageOS doet het in elk geval behoorlijk prompt.

Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)

GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?

Bestaat er ergens een redelijk eerlijke vergelijking?
Ik zou het niet weten, maar mogelijk vind je op XDA wat zinnige info.
LineageOS is de basis voor vele ander mods, GrapheneOS is dat dacht ik niet van LineageOS afgeleid, maar veel code komt via up-streaming naar Google uiteindelijk ook in andere distributies terecht.
03-12-2024, 18:28 door Joep Lunaar
Door Anoniem:
Door Joep Lunaar: LineageOS doet het in elk geval behoorlijk prompt.
Zie https://download.lineageos.org/changes
...
Ik zie namelijk helemaal niets met betrekking tot een security update / de genoemde CVE in de changelog staan ... ?

Kijk voor een toestel (device) en dan zie je dat er steeds, eens per maand, een commit is als
Bump Security String to 2024-11-01
platform android_build_release
die voor december komt er volgende week vast weer aan.
03-12-2024, 19:26 door Anoniem
Graphene OS heeft de patch voor 1 dec al verspreid.
Graphene OS is AOS + minus GSF (optioneel) +hardening.
veel componenten zijn aangepast. Er is een GSF schil waarbij google play ook gewoon een 2nd class citizen is. Je kan het ook geisoleerd in een ander account draaien.

google play is geheel optioneel.
04-12-2024, 05:52 door Hyper
Mijn toestel gaat niet verder dan Android 9. 't Zal ondertussen wel een speeltuin zijn van de internetgemeenschap daar. Ik zal ze eens vragen of ze hem via remote code execution willen updaten.
04-12-2024, 09:08 door Anoniem
Door Hyper: Mijn toestel gaat niet verder dan Android 9. 't Zal ondertussen wel een speeltuin zijn van de internetgemeenschap daar. Ik zal ze eens vragen of ze hem via remote code execution willen updaten.
Vroeger exploiteerde ik mijn telefoon altijd lokaal omdat er geen andere manier was om er custom firmware op te krijgen, toen waren Android telefoons een stuk onveiliger. Tegenwoordig let ik goed op of een telefoon custom firmware ondersteund bij aanschaf, dat bespaart een hoop ellende, exploitatie wordt moeilijker met de dag.
04-12-2024, 09:19 door dingetje
Door Anoniem:
Door Anoniem:
LineageOS doet het in elk geval behoorlijk prompt.

Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)

GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?

Bestaat er ergens een redelijk eerlijke vergelijking?
Hier is een gedetailleerde vergelijking:
https://eylenburg.github.io/android_comparison.htm
GrapheneOS is bij verreweg de beste, en al helemaal aangezien deze verofied boot heeft, vaak heeft LineageOS dat niet.
DivestOS is ook niet slecht als tweede plaats, ook die heeft op Pixel-apparaten verified boot.
Mijn probleem met GrapheneOS is niet de software, die komt ook prima uit de vergelijking, het probleem is dat het alleen op hardware van Google werkt.

Ik sponsor liever geen bedrijf dat een business model heeft waarmee privacy over de hele wereld te gelde wordt gemaakt.
En zoals ik er op vertrouw dat Google dat wel doet (zie AOSP zoals ze doen alsof het FOSS is terwijl het dat niet is), vertrouw ik er ook op dat ze hun hardware hebben aangepast.
Ik heb daar geen hard bewijs voor, alleen het idee dat het raar zou zijn als ze er wel alles aan zouden doen om de software naar hun hand te zetten, maar niet de hardware.
En een Fairphone is sowieso beter voor het milieu.
05-12-2024, 07:57 door Anoniem
Door Hyper: Mijn toestel gaat niet verder dan Android 9. 't Zal ondertussen wel een speeltuin zijn van de internetgemeenschap daar. Ik zal ze eens vragen of ze hem via remote code execution willen updaten.

Ik doe iets soort gelijks bij de overheid. Als ik een backup kwijt ben dan hebben ze mijn data vast wel opgeslagen ergens en kunnen ze mij best een kopietje geven.
06-12-2024, 10:12 door Joep Lunaar
Door Anoniem:
Door Hyper: Mijn toestel gaat niet verder dan Android 9. 't Zal ondertussen wel een speeltuin zijn van de internetgemeenschap daar. Ik zal ze eens vragen of ze hem via remote code execution willen updaten.
Vroeger exploiteerde ik mijn telefoon altijd lokaal omdat er geen andere manier was om er custom firmware op te krijgen, toen waren Android telefoons een stuk onveiliger. Tegenwoordig let ik goed op of een telefoon custom firmware ondersteund bij aanschaf, dat bespaart een hoop ellende, exploitatie wordt moeilijker met de dag.
Dan is FairPhone een aanrader, die staat zonder al te veel gedoe installatie van custom firmware toe (net als de Pixel ?).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.