Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties

Google heeft op vrijdag een tussentijdse beveiligingsupdate voor zijn Android-besturingssysteem uitgebracht om een lek te dichten. Het bedrijf heeft niet gewacht op de maandelijkse patchronde omdat de kwetsbaarheid als 'kritiek' bestempeld is door het bedrijf.

De kwetsbaarheid krijgt de benaming CVE-2015-1805 mee. Apparaten met Linux-kernelversie 3.4, 3.10 en 3.14 zijn kwetsbaar. Versie 3.18 en nieuwer van de kernel vallen al buiten schot. Hoewel deze kwetsbaarheid al langer bekend was bij Google, heeft het bedrijf kort geleden van beveiligingsbedrijf Zimperium bewijs gekregen dat het lek ook vrij gemakkelijk uit te buiten valt. Met de exploit kan een malafide applicatie permanent elevated privileges, oftewel root-toegang verkijgen. Dat zou alleen opgelost kunnen worden door het besturingssysteem opnieuw te flashen. Google meldt er wel bij dat het niet heeft geobserveerd dat de exploit ook daadwerkelijk in het wild gebruikt wordt.

Android logoHet wachten is echter niet per se op de verschillende fabrikanten om de kernel-update voor hun apparaten uit te brengen. Google heeft zelf de malware-scanner van de Play Store bijgewerkt om apps die de kwetsbaarheid benutten eruit te filteren. Bovendien is de Verify Apps-functie van Android bijgewerkt. Deze detecteert de apps in kwestie wanneer ze buiten de Play Store om geïnstalleerd worden. Daarmee lijkt het risico in dit geval al aanzienlijk kleiner. Nexus-apparaten zullen binnen enkele dagen een update krijgen, belooft Google. Voor fabrikanten van non-Nexus-toestellen zijn per direct aosp-patches beschikbaar.

Moderatie-faq Wijzig weergave

Reacties (73)

Het wordt tijd dat Samsung zijn 'flagships' gaat updaten. draai nog steeds 5.1.1(met kernel 3.10.61) op mijn Galaxy S6. Op dit soort momenten mis ik mijn Nexus toestel wel. Hopelijk komt deze security update wel snel....
Eens.

Daarom ook zo ongelofelijk zonde dat de rechtszaak van de Consumentenbond tegen Samsung onlangs werd afgewezen.

Bovengenoemd kritiek lek zal niet de laatste zijn; het is de hoogste tijd dat fabrikanten wettelijk verplicht worden kritieke lekken actief te dichten. Ook al betekent dat een gigantisch bedrijf als Samsung minder modellen op de markt moet brengen, om dit logistiek haalbaar te maken. Want dat was 't struikelblok voor de rechter; teveel verschillende modellen met afwijkende kenmerken om op maat gewerkte updates te maken.
Want als het slot van een bepaalde deur niet goed blijkt te zijn tegen bepaalde inbraak technieken moet deze ook gratis vervangen worden? Je koopt een product, niet een service contract.
Niet alle analogieŽn gaan eindeloos op.

In Nederland hebben we bepaalde consumentenrechten, bovenop de Europees geldende regels, dat ons deugdelijke producten biedt en redelijke levensduur naar gelang de verwachte houdbaarheid van 't product. Een smartphone behoort minstens twee jaar, zo niet langer, bij redelijk normaal gebruik betrouwbaar en degelijk te functioneren. Gezien de betrouwbare werking van een smartphone in belangrijke mate gebaseerd is op software, dient de softwaredegelijkheid gedurende een redelijke periode onderhouden te worden door de fabrikant.

Ik zou dit enigszins vergelijken met een PC – Microsoft onderhoudt de veiligheid en betrouwbaarheid van bestaande Windows versies middels systeemupdates. Als Samsung zich niet in staat acht de veiligheid en betrouwbaarheid van hun softwareproducten te onderhouden, dan kunnen ze hier wellicht met Google uitkomen. Het probleem, zoals ik 't begrijp, is dat Samsung de Android systeemsoftware dermate aanpast en aankleedt, dat Google's updates niet makkelijk kunnen worden geÔntegreerd in bestaande varianten van TouchWiz.

Eťn van de uitvoerige kritieken van de Consumentenbond was dat Samsung nog zelfs nieuwe modellen uitbracht met verouderde of achterhaalde systeemsoftware, met bekende en gedocumenteerde lekken. In jouw analogie zou dit vergelijkbaar zijn met 't verkopen van een nieuwe deur met een kapot slot.
Mijn analogie zou het een slot zijn dat niet 100% veilig is. Een kapot slot is anders.
Een slot dat binnen 1 seconden te kraken is door een geoefende dief is inderdaad niet 100% veilig. In dat geval zal zelfs de verzekering niet uitkeren, had je maar een fatsoenlijk slot moeten gebruiken.

Toch is dat het geval voor sloten van 10 jaar terug. Met de kennis van nu tik je ze zo open. Dat soort sloten worden vandaag de dag niet meer verkocht, nu zijn er alternatieve waar grapjes als tik sleutels e.d. niet meer op werken.

Toch vreemd dat het bij digitale zalen niet normaal gevonden wordt dat de beveiliging op orde is. Het probleem is voor een leek onzichtbaar, die vertrouwd dus op de fabrikant, maar de fabrikant heeft geen enkele aanleiding om ook daadwerkelijk veilige software bij zijn apparaten te leveren, de consument koopt, in goed vertrouwen, toch wel.

Dat is dus precies de rede waarom er wettelijke eisen nodig zijn, laat dan op zijn minst bij de verkoop melden dat updates te duur zijn, dus dat elke Chinees met jou webcam mee kan kijken, en elke Nigeriaan jou bankrekening leeg kan trekken als je dat onbeveiligde apparaat gebruikt. Dan zul je zien dat de consument ineens wel een paar tientjes extra over heeft voor een model dat wel updates krijgt.

[Reactie gewijzigd door Dorus op 20 maart 2016 01:51]

En, bij een deur kun je zelf gaten dichtplamuren. Bij een device kun je dat niet tenzij je de source code erbij krijgr.
Dus zou een organisatie die bedrijven aanklaagt beter in kunnen zetten op vrijgave van broncode van kernel/drivers. Daarmee kunnen er voor devices snel Cyanogenmod-roms worden uitgebracht.
Hoeveel gewone gebruikers (dus geen tweakers) zie jij hun apparaat flashen met alternatieve roms? Dit is echt een non-oplossing.
Bovendien is het volledig irrelevant voor het probleem uit dit artikel want het gaat hier om een linux kernel bug die allang al gepatched is, dus de broncode is er al. Alleen zul je wel geen vanilla kernel op android kunnen installeren, anders hoefde google er niet eens tussen te zitten.
Dat is een lastige idd. Dat is de reden dat ik "gewone" gebruikers altijd een iPhone adviseer. Altijd goede support.
Of andere sloten bijplaatsen
Als je dan inmiddels niet al door de analogie politie bent gepakt :X :X :X
Er zit een heel groot verschil tussen deze situaties, deze kun je eigenlijk niet zo vergelijken. Bij een slot is het het geval dat het om een fysiek product gaat, gemaakt van fysieke materialen etc. Mocht dit vervangen worden, kost dit een fabrikant bakken met geld en kan het mogelijk de kop kosten.
Als je dan gaat kijken naar een smartphone, hier gaat het om software. Dat zijn bitjes, deze zijn digitaal te verspreiden. Enige kosten die jij als fabrikant maakt zijn ontwikkelkosten, en deze zijn tegenover jou voorbeeld een stuk lager.
Zou bijna zeggen dat die 0'tjes en 1'tjes niet ergens "fysiek" bestaan.

In ieder geval werken die ontwikkelaars ook niet voor niks. Het is gewoon hetzelfde alleen door de context eromheen denken we er anders over.
Totaal verkeerde beredenering natuurlijk.

Tuurlijk werken de ontwikkelaars niet voor niks, maar een update uitrollen wat automatisch door alle devices wordt opgepikt is natuurlijk iets heel anders dan bij elke deur het slot 1 voor 1 vervangen.

Ik snap je punt wel maar deze analogie gaat helaas niet op.

Je hebt met een telefoon gewoon een device in handen die makkelijk up-to-date te houden is. Maar veel fabrikanten en providers moeten zo nodig hun eigen sausje over de OS'en gooien.

Waardoor je, bij kritieke patches als deze, nooit gelijk kan updaten en altijd maar moet wachten tot een van net genoemde partijen maar zin heeft om hun OS aan te passen en een patch uit te rollen.
En toch moeten bedrijven als Samsung hiertoe gedwongen worden! Dan heeft dit maar voorrang. Een patch op de huidig releasete versie, intern even goed testen (kleine patch zou niet veel moeten uitmaken qua sausje) en deployen! Op mijn Nexus krijg ik nu elke maand een security update. Erg mooi dat 1 partij het tenminste doet
Jou analogie is vergelijkbaar met dat wat laatst bij zo'n consumentenprogramma was: bepaalde series scootmobielen hebben identieke sleutels. Je kan dus ťťn sleutel X keer kopiŽren en dan X scootmobielen stelen door simpelweg de sleutel er in te steken. Hierbij gaat het dan wel om een bewuste actie van de fabrikant (namelijk het makkelijk maken voor de bedrijven er om heen voor bezorging/onderhoud/verhuur van die dingen) maar de consument dacht dat die 'op slot' staat. 'Op slot' als in: ik ben de enige met de sleutel en de kans is 1 op xxxx dat iemand eenzelfde sleutel heeft/maakt. Hierbij ben ik van mening dat de fabrikant de consument bedrogen heeft door het te laten lijken alsof het slot veilig is. Ik zou dus verwachten dat een rechter in dit geval zal oordelen dat de fabrikant de sloten moet vervangen door 'echte' sloten.

Ik snap je punt wel hoor. Er zijn misschien wel meer ondeugdelijke producten op de markt dan deugdelijke producten en het is in principe aan de consument om zelf de keuze te maken. Echter is dit niveau van software voor veel mensen onbegrijpelijk. Daarom ben ik, net als vele anderen, van mening dat de overheid hier regels voor moet maken, net als er regels zijn voor het omgaan met persoonsgegevens van anderen.
Want als het slot van een bepaalde deur niet goed blijkt te zijn tegen bepaalde inbraak technieken moet deze ook gratis vervangen worden? Je koopt een product, niet een service contract.
Een product moet degelijk werken. Je verkoopt een product, niet gebakken lucht. Dat daar kosten bij komen voor de makers is niet het probleem van de klant. Dat moeten ze dan maar doorberekenen in hun product.
Als ik een fiets koop, verwacht ik dat het slot okť is ja. Mocht dat na 1 week blijken niet zo te zijn, dan hoord de fietsenmaker dat slot te vervangen. Als het probleem pas 4 jaar later opdoemt (ondertussen loopt het dievengilde standaart met hydraulische tangen rond), dan zal ik dat nieuwe slot zelf moeten betalen. De fietsenmaker bied dat aan voor 4 tientjes, maar ik hoef niet mijn hele fiets te vervangen.

Dat zou bij mobieltjes ook zo horen. Eerste 1-2 jaar service garanderen, daarna desnoods voor een paar tientjes/jaar updates verkopen. Zelfs dat is nog overdreven aangezien de software toch geschreven moet worden voor later verkochte modellen, maar zou geen onredelijk verkoopmodel zijn.
Slechte vergelijking hoor. Bovendien kan ome Kor zich nog het geval van Kryptonite sloten herinneren (ong. 12 jaar geleden). Toen bleek dat deze beugelsloten met een eenvoudige Bic-balpen geopend konden worden, toen heeft de fabrikant gratis die sloten vervangen.

[Reactie gewijzigd door Ome Kor op 20 maart 2016 12:31]

Al je de link leest is de zaak niet inhoudelijk behandeld, zegt dus niets over wie er gelijk heeft maar alleen dat het niet spoedeisend genoeg is voor een kort geding en dus deze kortgeding procedure niet de juiste weg is.
ik hoop dat mijn voordeur langer meegaat dan een paar jaar...
Dus geen Samsung kopen. Ik koop alleen Nexus-devices of devices met goede Cyanogenmod support (zoals Motorola), en draai altijd de nieuwste Android software.

Die rechtszaak van de comsumentenbond is zinloos. Update-verplichtingen zijn lastig te handhaven. Wat moet wel en wat hoeft niet gefixed te worden? Daarnaast maakt een update-verplichting voor Samsung nog geen einde aan die vreselijke bloatware op die toestellen.

Als we massaal al die bloated toestellen zonder updates zoals Samsung en LG links laten liggen, en blijven vanzelf de toestellen met goede software-support over.
Ik weet niet hoor, maar zo bloated zijn die van LG nou ook niet hoor. Volgens mij alleen McAfee Family safety, ThinkFree viewer en Box. En die kan je er gewoon van af halen.

Voor de rest alleen Google, LG (voice recorder, camera, file manager,FM Radio) en Android apps.
Sowieso waarom heel het bloatware verhaal er bij halen, zn onzin, 90% van die troep kan je disablen maar ja dat weet hij niet omdat ie zich al blind staart op het feit dat het er inderdaad wel op staat.

Anyway ik blijf gewoon lekker het toestel kopen wat mij het fijns lijkt, dus vol tegen zijn adviezen in ;) Net als 80% van de android koper dus :)
Mijn Galaxy S6 Edge+ Is inmiddels geupdate naar Android 6.0, de kernel is echter nog steeds versie 3.10.61. De nieuwe update zal dit probleem dus nog niet gaan verhelpen (In mijn geval althans). Ik ben het volledig met je eens dat Samsung best wel eens wat sneller updates mag uitbrengen, ik ben dan ook benieuwd wanneer dit 'kritieke' probleem verholpen zal zijn op de recente topmodellen. Ik hou in ieder geval mijn adem niet in.
Bij Android houd je vaak dezelfde kernelversie, maar er worden wel security-patches aan toegevoegd (gebackport). Dat is het voordeel van open source (dat tegelijk een nadeel kan zijn omdat je niet alle verbeteringen krijgt cq. de draad kwijt raakt).
Mijn vriendin heeft ook een S6, die heeft eergister de update gekregen naar android 6.x
Vodafone als provider.
Net m'n vriendin d'r S6 net uur geleden geupdate naar Android M. (heb je handmatige check nog een x) gedaan?
Ik heb een OnePlusOne en maak gebruik van een custom rom. De dev hiervan zegt

"btw, you might already heard security vulnerability that google patched 2 or 3 days ago. we have already that patch in our kernel since dec 2015."

Security patch van maart die staat er vanaf de eerste week maart erop.

Imho enthousiaste hobbyisten, die gaan de waarde van een telefoon bepalen.
Dan heb je geen nederlandse versie, voor alle nederlandse versies is de software op het moment beschikbaar.

ik heb zelf mijn toestel geupdate met odin naar de europese open versie van 6.0.1 ( je verliest geen data) en het is een kwestie van drivers installeren en stappen volgen.

kou eerst even kijken welke versie je hebt:

Type in je telefoon app *#1234#, daarna krijg je een nieuw venster waar je AP, CP, CSC en Model in staat. Het CSC nummer is waar de je regio versie instaat. De eerste 3 nummers na je model nummer is je regio versie.
Voorbeeld:
Model: SM-G920F
CSC: G920FAUV3QOJ1.

Voorbeeld 2:
Model: SM-G925F
CSC: G925FPHN1AOCN

lees anders de startpost van dit topic eens voor de smartwitch uitleg :)

[Samsung Galaxy S6 Serie] Update en Ervaringen MM
Ik heb de update twee weken geleden al gehad op de s6 edge..
Alle toestellen van alle providers (en losse toestellen) die verkocht zijn in Nederland hebben al Marshmallow.
Liever een S6 die werkt dan een Nexus waarbij elke grote update ervoor zorgt dat video's niet meer afgespeeld kunnen worden voor een week of 4.

Edit: Hier zojuist de 6.0 update ontvangen op de S6.

[Reactie gewijzigd door fantafriday op 19 maart 2016 17:26]

Of de BlackBerry Priv, die gooit alle security updates er ook gelijk door.
Ik heb afgelopen week de 6.0 update handmatig binnengehaald. Misschien ook even proberen...T Monile jier..
LG G4 met MM draait ook nog kernel 3.10.84 :(
Die update is er al, mijn S6 werd begin deze week geŁpdatet naar 6.0.
on eens, wordt eerder tyd dat je android versies zelf kunt bijwerken, google zou daar een patch voor moeten maken, waarbij bestaande roms (of een rom maken van je huidige nand/emmc) gedicht kunnen worden met veiligheids updates en dan opnieuw flashen via een usb tooltje of een app dat te snappen is voor iedere gebruiker

[Reactie gewijzigd door bbstreams op 20 maart 2016 19:43]

mijn flagship S6 edge is geupdate....
ik had de 15de van maart al android 6 update binnen.mischien iets eerder weet de datum niet meer.
ik zit bij t-mobile, beni niet echt blij met t-mobile maar, ze leveren de updates wel snel gelukig.

vind wel raar dat t zo lang duurt.
Ik heb helaas nog geen update gezien voor mijn OnePlus One met Cyanogen. Ik ben bang dat ik ga moeten wachten totdat Cyanogen 13 gebaseerd op Android 6 uit komt. :-(
Ik kan Sultan's CM13 ROM voor de OnePlus One van harte aanraden.
Bedankt voor de tip, mocht ik ooit de tijd en zin maken om mijn OnePlus One te flashen met een custom rom dan zal ik hem ter harte nemen. Echter, aangezien dit mijn dagelijkse gebruikstelefoon is is het niet erg waarschijnlijk dat dit gaat gebeuren, ik wacht liever op de officiŽle update.
Ik gebruik de nightlys van cm13.0 voor de oneplus ons nu al sinds release. En op het moment is deze naar mijn ervaring zeer stabiel!
Begrijpelijk. 100% waterdicht is 'ie niet. Desalniettemin neem ik dat voor lief in ruil voor de Marshmallow-features.
Fusionjack zijn rom moet je naar eens proberen.
Ik ben niet bekend met asop patches, kun je die zelf installeren, of moet je als non-Nexus gebruiker wachten op de fabrikant van je toestel? Ik heb een Oneplus X, en na checken net draait mijn toestel kernel 3.4 dus is het ook kwetsbaar.

Edit: sleutelwoord blijkbaar over het hoofd gezien. Thanks Pimorez :)

[Reactie gewijzigd door LankHoar op 19 maart 2016 16:30]

> Voor fabrikanten van non-Nexus-toestellen zijn per direct aosp-patches beschikbaar.

Voor gebruikers is het dus nog even wachten tot de fabrikanten een update beschikbaar stellen.
Mijn Sony draait ook nog op linux-kernel 3.10 maar ik heb ook geen update van de Google Play store gezien. Terwijl Google die ook geupdate heeft volgens het artikel.
Welke linux-versie Marshmellow gaat krijgen op mijn Sony weet ik niet.
Je hoeft ook geen update van de play store te hebben om beveiligd te zijn. En je kernel versie blijft hetzelfde
Net mijn telefoon handmatig laten zoeken voor een update en ik haal op het moment een update binnen van bijna 1348 MB.

Ik heb zelf een Samsung 6 edge plus.
Dat zal de 6.0 update zijn zeker?
Klopt 6.0.1 Geen idee of deze security patch er ook in zit.Vaag dat mijn telefoon niet automatisch een update aangaf..
thanx voor de heads up, was die helemaal vergeten. gelijk maar even downloaden :)
Ik heb aan het begin van het jaar de update naar 6.0 al gekregen, maar de kernel is nog 3.10.84
En nog een reden voor mij om geen Android te nemen. Ik heb een aantal toestellen van verschillende fabrikanten gehad met Android. En eerlijk gezegd vind ik het persoonlijk gewoon een troep OS. In het begin werkt het prima maar naar verloop van tijd wordt het steeds minder fijn om mee te werken. Geen updates, telefoon 'wordt' trager etc...

(Nee ik ben geen "Apple fanboy")
Geen updates
Tegenwoordig ontvangen de meeste flagships wel degelijk security updates elke maand.
telefoon 'wordt' trager
Daar heb ik ook last van gehad op mijn Samsung telefoons, maar op mijn Nexus geen last van... lijkt dus niks met Android te maken te hebben..
Leuk nieuws weer voor de mensen met een non-Google Android device. Die zitten nu dus maanden, een half jaar of voor altijd met een kritiek beveiligingslek.
Je bedoeld met een gevonden kritiek lek, je bent toch niet in de waan dat er lekvrije OSen bestaan? Das imho een beetje erg naÔef voor iemand op tweakers...
Waar ik op doel is dat een groot aandeel van de Android gebruikers geen updates ontvangt en daardoor dus met dit beveiligingslek blijft zitten.
Net op de Note 4 (Vodafone) een update gekregen, dacht eindelijk Android 6. maar was een update met security patches van maart 2016. geen idee of dit ook gedaan is. M'n Nexus 5X had ik ook enkele dagen geleden een update.
Nee, de update van maart staat helemaal los van dit nieuwsbericht.
Ik kreeg diezelfde update namelijk een paar dagen geleden binnen, voordat dit nieuws bekend was dus.
Nog geen update binnen gekregen op een N5... Maf. Wel de maandelijkse patch ronde binnen gekregen eerder deze week.
Er staat ook dat ie nog komen gaat...

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True