Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 193 reacties

Een beveiligingsprobleem in Android zorgt ervoor dat een kwaadwillende enkel iemands telefoonnummer hoeft te weten om in veel gevallen toegang te krijgen tot zijn systeem. Het is onduidelijk of er al een patch is voor het probleem.

Android-logoDetails over het beveiligingsprobleem ontbreken vooralsnog. Duidelijk is wel dat het gaat om een beveiligingsprobleem in het Stagefright-framework in Android, dat verantwoordelijk is voor het afspelen van filmpjes. Een aanvaller kan malware verstoppen in de video, dat wordt ingeladen zodra het filmpje wordt gestart. Daarbij krijgt een aanvaller vergaande bevoegdheden: zo kan hij de microfoon en de camera activeren of het scherm 'aftappen'.

In het geval van bijvoorbeeld Hangouts worden filmpjes direct verwerkt door Stagefright, waardoor de malware direct bij het ontvangen al wordt geactiveerd. Een slachtoffer hoeft dus niet zelf een malafide filmpje op te starten. Beveiligingsonderzoeker Joshua Drake van Zimperium, die het probleem ontdekte, zegt tegenover NPR dat bij de standaard-berichten-app van Android filmpjes moeten worden ingeladen voordat ze schade kunnen veroorzaken. Het is niet duidelijk of apps als WhatsApp en Telegram dat ook doen, of filmpjes net als Hangouts direct inladen.

Ook kan de bug worden misbruikt door aanvallers op internet, door video's met malware aan te bieden aan potentiële slachtoffers. Dat kan bijvoorbeeld via malafide advertenties. Op die manier kunnen grote hoeveelheden Android-gebruikers worden geïnfecteerd met malware.

Daarnaast is onduidelijk of het probleem is gepatcht. Volgens onderzoeker Drake heeft Google zijn patches overgenomen, maar het is niet duidelijk of die in de meest recente Android-versie aanwezig zijn. Zeker is wel dat veel Android-toestellen niet zijn gepatcht: omdat fabrikanten software-updates voor Android meestal zelf nog aanpassen, kan het maanden duren voordat ze een patch krijgen, als de hardware überhaupt nog wordt ondersteund. Wel is sommige functionaliteit in Android ondergebracht in Play Services, waardoor die via de Play Store kan worden bijgewerkt.

Op dit moment wordt het probleem nog niet actief misbruikt, maar dat kan veranderen nu het bestaan van de bug aan het licht is gekomen. Volgende week, op de Black Hat-beveiligingsconferentie in Las Vegas, maakt Drake meer details over het beveiligingsprobleem bekend.

Update, 10:19: Google laat weten dat patches zijn uitgegeven en dat die door fabrikanten kunnen worden uitgerold. Dat duidt er op dat in ieder geval voor Nexus-toestellen al een patch beschikbaar is.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (193)

Afgaande op de code die Joshua Drake in CyanogenMod's repository heeft gecommit1 lijkt de bug te zitten in het inlezen van metadata uit een 3GPP-video (de boundaries van een buffer kunnen worden overschreden).

Het lek kan dus ook misbruikt worden als een 3GPP-video online wordt bekeken (of in een andere messaging-app).

Update: er zijn nog meer relevante commits van Drake2. Waar het precies misbruikt kan worden durf ik niet te zeggen, maar het lijkt er sterk op dat het in ieder geval te maken heeft met het inlezen van metadata van een videobestand (zij het 3GPP of MPEG-4 maakt verder niet uit). Waarbij dus het probleem van Hangouts is dat metadata bij ontvangen wordt ingelezen, maar dat zou WhatsApp of een andere client net zo goed kunnen doen. Blijft nog even wachten op meer details, wat waarschijnlijk volgende week volgt.

1 https://github.com/Cyanog...751f609ac7e5539367e9f01a6
2 https://github.com/Cyanog...mits/cm-12.0?author=jduck

[Reactie gewijzigd door jacobras op 27 juli 2015 19:46]

Kortom, simpelweg door een MMS'je of door het kijken van een filmpje kun je slachtoffer worden. Het is echt kinderlijk eenvoudig.

Het ernstigste is dat schijnbaar het probleem niet opgelost zal gaan worden voor honderden miljoenen toestellen met een niet meer de nieuwste versie van Android.

Misschien is het tijd om, als je zo'n kwetsbare telefoon hebt, gewoon te eisen van de verkoper om je aanschafbedrag terug te geven, en hem anders te dagen voor de rechter.

Een kwetsbaarheid als deze hoort gefixed te worden, en als de fabrikant/winkelier je rond laat lopen met deze lek, loop je eigenlijk gewoon rond met een ondeugdelijk product dat elk moment misbruikt kan worden.
Weet niet of je dat uberhaupt van de verkoper KAN eisen. Zij zijn slechts tussenpersonen die geen invloed kunnen uitoefenen op dit soort dingen. Je moet gewoon naar de fabrikant(en) zelf stappen.

Daarom lijkt het me zaak dat Google de fabrikanten gewoon dwingt die update voor AL hun toestellen uit te rollen met dat lek, anders moet Google hun licentie voor Android gewoon intrekken. Met zo'n ernstig lek moet je een flinke stok achter de deur hebben om de fabrikanten tot actie te manen.

[Reactie gewijzigd door Sahri op 27 juli 2015 16:42]

Het is ook één van de redenen dat mijn volgende telefoon een Windows phone wordt. Android is een chaos en de update support is slecht. Wat updates betreft doet Microsoft het wel beter. Er is misschien wel een relatief kleine markt qua Apps, maar het Windows Phone gebuik stijgt wel en App makers kunnen dat niet lang meer negeren.
Ik begrijp niet waarom je naar beneden word gemod.
Je hebt namelijk gewoon gelijk.
Voor mij ook geen android meer.
Zeker met windows 10 is voor mij de keuze zeer makkelijk geworden.
Die duizenden vage android versies zijn gewoon een grote puinhoop.
En updates gaan er nooit komen.
Google vind het niet hun probleem, de telefoon en tablet fabrikanten ook niet, dus zijn de betalende consumenten overgeleverd aan hackers.
Android is gratis, en zo zie je maar weer, je krijgt waar je voor betaald: Rommel.
Het is ook één van de redenen dat mijn volgende telefoon een Windows phone wordt. Android is een chaos en de update support is slecht. Wat updates betreft doet Microsoft het wel beter. Er is misschien wel een relatief kleine markt qua Apps, maar het Windows Phone stijgt wel en App makers kunnen dat niet lang meer negeren.
Zelf zijn er een aantal Android apps waar ik liever niet zonder wil. De Android runtime uit aosp is heeft gewoon de ondersteuning voor het meeste aantal apps. En na jarenlang Android gebruik heb je ook Apps 'waar je gewend aan bent'.

Dus ik heb gekozen voor BlackBerry. Die draait ook prima Android apk's. Maar wel in een 'veiligere' runtime dan op android zelf, en ook op een veel veiliger qnx gebaseerd OS dat wel kan rekenen op frequente updates. De runtime zelf heeft ook nog als voordeel dat ook bijvoorbeeld je lokatie-gegevens veiliger zijn, doordat de google api's van play-services er bewust niet inzitten.

BlackBerry android runtime biedt dus wel veel van de mogelijkheden van die van de gewone android, maar zonder de risico's.
Misschien dat een jurist het beter weet, maar volgens mij zit in Europa en Nederland het consumentenrecht zo in elkaar dat je de verkoper moet/mag aanspreken wanneer blijkt dat jij geen degelijk product meer hebt.
Daarom lijkt het me zaak dat Google de fabrikanten gewoon dwingt die update voor AL hun toestellen uit te rollen met dat lek, anders moet Google hun licentie voor Android gewoon intrekken
Google kan dat wel doen, maar het is toch een beetje raar. Want de fout ligt niet percé bij de fabrikanten. Het Stagefright-framework is iets dat zit in android zelf. Gemaakt is in zowel oude als nieuwe versies door google's android developpers. Fabrikanten kunnen wel gaan 'sleutelen' aan de code van google, maar logischer lijkt mij dat google dat voor dit specifieke defect zelf doet. Als google in het SF-framewerk dit gaatje dichten, en dat leveren aan alle fabrikanten dan lijkt mij het voor de fabrikanten 'makkelijk' om een rom te maken, die exact hetzelfde was als de rom die nu op een toestel draait, met alleen de bug-fix van Google.

Of google moet naar een heel ander concept qua veiligheid. Net als windows op PC's, gewoon een OS met daarbij driver-support voor specifieke hardware van de fabrikanten. Waaraan een fabrikant dan eventueel zijn eigen software en skin kan toevoegen op die manier kan google zelf centraal veiligheidsupdates uitrollen, net als MS nu doet.
Het zou een interessante zaak zijn als de consument inderdaad de verkoper aanspreekt op het feit dat hij door het niet updaten door de fabrikant beschikt over een smartphone met een beveiligingslek waardoor hij feitelijk zijn smartphone niet meer kan gebruiken waarvoor hij deze heeft aangeschaft. Omdat er een beveiligingslek zit in de core van Android is het als gebruiker hier enige actie tegen te ondernemen. Het niet langer update van de browser door Google bijvoorbeeld is gemakkelijk op te lossen door niet langer die browser te gebruiken en één van de vele alternatieven uit de Play Store te downloaden.

Google kan natuurlijk wel een patch uitbrengen voor een bestaand OS nummer, ook al is dat bijvoorbeeld Android 4.3.x. Het zou nog beter zijn als Google dit soort zaken aangrijpt om fabrikanten te bewegen tot het pushen van Android 5.1 omdat daar alle beveiligingsproblemen sowieso in zijn verholpen en worden verholpen.
Google wil helemaal niet pushen. Google wil zo veel mogelijk android toestellen om marktaandeel te krijgen. Dat aandeel hebben ze nu en met de paly store en het loggen van alles wat jij doet en zoekt verdienen ze nu geld aan jou.

Ze heben echter nooit nagedacht over patches en de problemen om fabrikanten te laten updaten. Het nu zelf in de hand nemen is een onbegonnen werkt met honderden en misschien duizenden fabrikanten en evenveel toestellen. Tel daar ook nog eens tablets bij op dan zie je hoe grtoot het goog android probleem is.

Google gaat wel prat op veiligheid en vindt het leuk om MS en anderen zwart te maken, onder druk te zetten met gaten en die op tijd te dichten.
Android begint steeds meer gaten te vertonen die google zelf niet wil dichten.

Laat ze vooral lekker doorgaan op deze manier. Een paar grote misbruik zaken en windows zal er goed van profiteren.
Ik heb nu nog android maar mijn volgende telefoon zal toch een windows phone zijn. Al is het maar voor de centrale updates door 1 partij.
Ze heben echter nooit nagedacht over patches en de problemen om fabrikanten te laten updaten.
Daar hebben ze wel degelijk over nagedacht en zien zelf ook het probleem met vendor issued ROM's, en derhalve hebben ze mogelijkheden ingebouwd om zelf cruciale updates te pushen naar bepaalde delen van het OS...
Google gaat wel prat op veiligheid en vindt het leuk om MS en anderen zwart te maken, onder druk te zetten met gaten en die op tijd te dichten.
Dat is je reinste onzin. Google vind het helemaal niet leuk om wie dan ook zwart te maken.

Responsible Disclosure is behoorlijk de standaard in de gehele IT wereld tegenwoordig. Google's project dat zoekt naar 0-days in software doet dat bij alles en iedereen, echt niet enkel bij Microsoft. Bedrijven/vendors krijgen vervolgens een specifiek tijdframe de tijd om het probleem te patchen, voordat het publiek wordt gemaakt.

En die setup werkt nu eenmaal, want:
1.) De vendor krijgt ruim voldoende tijd om het probleem op te lossen, dat ze er zelf maaaaaaanden over willen doen is gewoon onredelijk
2.) Als de vendor het niet fixed, krijgen sysadmins de kans om zichzelf te wapenen tegen een bug, of besluiten bepaalde software tijdelijk niet te gebruiken. Wel zo veilig! Als het dus niet publiek wordt gemaakt door de vinder van het lek, en de fabrikant doet er een jaar over om het te fixen: dan ben jij dat hele jaar dus kwetsbaar. Fijn verhaal! Nee, dan is 't wel zo fijn als, nadat de fabrikant een zeer redelijke termijn heeft gehad om het te fixen, de details bekend worden gemaakt zodat je er zelf nog wat aan kan doen.

En dit gebeurt ook bij Google zelf. Als in 1 van hun diensten een lek zit, krijgen ze van de ontdekker ook x tijd de tijd om het probleem te fixen; doen ze dat niet binnen die tijd dan wordt het gewoon released.
Zo werkt dat.

Als je niet weet hoe dit in elkaar steekt: gebruik het dan ook niet om Google aan te vallen. ;) Google is een van de tienduizenden die dit soort dingen uitvoeren. Al doet Google het op grote schaal.
De enige reden waarom dat Microsoft debacle zo'n gelazer is geworden is omdat Microsoft het na een verschrikkelijk lange tijd nog steeds niet gepatched had, Google vervolgens gewoon verder ging met het RD beleid (wat, nogmaals, dus een standaard is.) en de media ermee aan de haal ging... Moet je niet bij Google zijn, die kunnen er weinig aan doen dat Microsoft het niet patchete.
Android begint steeds meer gaten te vertonen die google zelf niet wil dichten.
Onzin. Google patched zo'n beetje alle gaten die gerraporteerd woren.
Ook dit gat is allang door ze gepatched.

Waar heb je het dus over? :)
Laat ze vooral lekker doorgaan op deze manier. Een paar grote misbruik zaken en windows zal er goed van profiteren.
Ja, want Windows heeft natuurlijk nooit problemen met de veiligheid.
Wacht, waarvoor zat je Google net ook alweer af te kraken? ;)

[Reactie gewijzigd door WhatsappHack op 28 juli 2015 04:48]

Of het nou is omdat een programmeerfout niet tijdig wordt opgelost, zoals soms bij Windows of Apple, of omdat de oplossing mij niet automatisch bereikt omdat de leverancier van mijn os verzuimd heeft daarvoor een fatsoenlijk systeem te maken, zoals bij Android, het resultaat is dat ik als consument rondloop met een kwetsbaar ondeugdelijk product met een ontwerpfout.

Ik heb Android 4.2 via ZTE dus mooi genaaid dan, fijn dat Google goede sier maakt en de fout repareert, maar ik en miljoenen met mij blijven rondlopen met een defect ondeugdelijk gevaarlijk product.
En dus moet je als consument klagen bij de fabrikant, en druk zetten om de fout op te lossen door de patches door te voeren.
Je hebt recht op een conform toestel, punt.
Leuk verhaal dat van links naar rechts gaat.

Feit blijft er lopen honderden miljoenen mensen rond met kwetsbare telefoons.

Je hebt het over windows en ja dat heeft veel problemen gehad en er komen er altijd boven water. Wel kan het een centrale patch krijgen.

Android is ook groot en krijgt ook steeds meer problemen. Verschil is en blijft het patch beleid van google c.q fabrikanten die je van het kastje naar de muur sturen. Ik kan er niets aan doen er is bij android telefoons gewoon een falend update beleid.
Dat is er omdat google de updates overlaat aan fabrikanten en dat blijkt dus niet te werken.
Ze hebben dat gedaan omdat die android wilden hebben maar met hun eigen mods en tja wil je groot en populair worden zoals google dan moet je geen nee zeggen tegen samsung htc en noem ze maar op.
Zeg je nee dan gaan ze misschien voor een ander OS.

De dupe van dit hele verhaal is en blijft de consument. Je kan dus een boel verhaaltjes vertellen, de consument jij ik , anders zijn en blijven de dupe.
En Google heeft dus nee gezegd, en kunnen tegenwoordig zelf ook belangrijke patches versturen bij vele toestellen. ;)
Dat er bij de eerdere versies problemen zijn met t update beleid van fabrikanten is bekend, daarom neemt Google ook maatregelen.

Dat de consumenten de dupe blijven van het falende beleid van de fabrikanten klopt.

[Reactie gewijzigd door WhatsappHack op 28 juli 2015 13:38]

Tja we moeten maar zien wat de maatregelen van gogle zijn voor bestaande gebruikers die bijv nog op android 4.0 4.1 or eerder zitten.

Feit blijft dat er gaten in android zitten, er nog geen patch voor is en het de vraag blijft of google dit echt allemaal kan patchen bij alle toestellen.
Weet niet of je dat uberhaupt van de verkoper KAN eisen. Zij zijn slechts tussenpersonen die geen invloed kunnen uitoefenen op dit soort dingen. Je moet gewoon naar de fabrikant(en) zelf stappen.
Ja; dat kan je.
De verkoper is in Nederland ten alle tijden het aanspreekpunt voor de consument en is ten alle tijden verantwoordelijk voor het leveren van een deugdelijk werkend product en het afhandelen van problemen die zich gedurende de verwachte levensduur van dat product voordoen.

Dat de verkoper op zijn beurt geen invloed op de fabrikanten of ontwikkelaars van het OS kan uitoefenen doet er niet toe. Dat is hun probleem en hun verantwoordelijkheid. Kan het euvel niet hersteld worden, dan dient de verkoper de consument van een vervangend equivalent product te voorzien (duurdere prijsklasse met bijbetaling mag, maar je bent niet verplicht het te accepteren en je hoeft geen genoegen te nemen met goedkoper) of dient de verkoper de consument een redelijkerwijs vastgesteld gedeelte van de aankoopsom te retourneren.

Pech voor de prijsstundende telefoonwinkels die leven op de rand van de winstmarges, dus.
Belangrijk punt "gedurende de verwachte levensduur van dat product."
Waarop zal de supportperiode zijn afgestemd? juist...
Sowieso is er een minimale termijn van 2 jaar die via EU richtlijnen afgedwongen wordt. Daar buiten is de verwachte levensduur gebaseerd op de technische levensduur (dwz. hoe lang mag je verwachten dat een apparaat mee kan gaan totdat het bijv. door slijtage stuk gaat) en niet de economische levensduur (dwz. afschrijving).

Er is geen enkele technische reden dat een telefoon niet tot in lengte van jaren mee kan gaan: 5 tot 7 jaar moet makkelijk kunnen. Het feit dat een leverancier vroegtijdig stopt met het patchen van het OS doet niets aan die levensduur af.
Kijk je geeft precies aan waar het om gaat kastje naar de muur.

Google schuift de schuld op de telefoon fabrikant en die schuiven het weer terug naar google.
Jij als klant bent gewoon de lul en uiteindelijk google. Google heeft een systeem in het leven geroepen waarbij dit soort updates niet centraal gebeurt maar wordt overgelaten aan fabrikanten.
Fabrikanten die er geen prioriteit mee hebben, ze willen hardware verkopen.
Android = google en gaat google dus zo door kunnen ze er een leuke image schade aan overhouden. Ja ze zijn nu leuk groot met android op de mobiele markt maar grof ten kosten van veiligheid.
Ga je goed nadenken dan is ios en windows niet eens zo een heel slecht alternatief qua update mogelijkheden.
Loopt dit uit de hand kan google wel eens behoorlijk wat tikken gaan krijgen als het op grote schall misbruikt kan worden en toestellen geen patch kunnen krijgen.
Eisen kan natuurlijk altijd, of je het dan ook krijgt is maar de vraag. Fabrikanten hebben wel een zekere verantwoordelijkheid in het up-to-date houden van de telefoon. Omdat Android zo veel word gebruikt is het een interessant doelwit. Fabrikanten weten dat best en zullen soms nog wel eens een update doen, maar na een bepaalde tijd houden ze er mee op en bij de een is dat veel eerder dan de ander.

In het geval je als user jezelf kunt beveiligen zullen de kleinere fabrikanten de telefoon echt niet meer updaten. In dit geval zou je de standaard-browser uit kunnen zetten en een andere installeren (die wel updates krijgt). Wat betreft de berichtjes die als MMS binnenkomen zal het advies luiden: "pas op met het openen van filmpjes en open geen filmpjes van personen die je niet kent."

Ben het wel zeker met je eens dat ernstige lekken door alle fabrikanten gewoon gedicht moeten worden. Helaas is dit vaak wel lastig om te doen. Oudere telefoons moeten vaak via een PC-geupdate worden en dan moet de gebruiker eerst de hele ROM downloaden. Met nieuwere telefoons kan dit OTA maar ik weet niet of er dan een hele ROM geflasht wordt of dat er alleen een kleine patch wordt geinstalleerd.

Ik zou graag zien dat Android een update-mechanisme krijgt voor systeem-apps. Dit zou op iedere telefoon standaard ingebouwd moeten zitten en ook toegankelijk zijn voor unrooted telefoons. De fabrikant stelt dan in welke apps stock zijn en waar dat afhankelijk van is en welke apps het zelf aanpast. De fabrikant hoeft dan alleen nog maar zijn eigen/aangepaste apps te updaten als er iets mis mee is.
Zover ik weet moet je naar de winkel gaan waar je de telefoon gekocht hebt, of naar je provider die de telefoon gegeven hebt.
Je hebt gewoon recht op een eugdelijk product.

Sommige fabrikanten leveren goede of zelfs betere service als je direct naar hun gaan, maar dat hoeven ze niet.

Dat de verkoper het niet kan fixen is zijn probleem, hij moet contact opnemen met de fabrikant, en niet zeggen, maar ik kan het niet fixen dus koop maar een nieuwe is geen optie.

Aan de andere kant moet je wel de kans geven om het te laten fixen, direct geld terug eisen kan ook weer niet, hoe lang deze periode is weet ik niet.
Na de geïntegreerde webviewer en browser, lijkt dus nu ook de geïntegreerde video-speler van gebruikers van android die niet meer de nieuwste versie hebben makkelijk te kraken en te misbruiken.

Op zichzelf is zo'n lek niet zo schadelijk, als het maar voor iedereen gerepareerd wordt. En het lijkt er nu toch op dat precies datgene bij zowel de webviewer als waarschijnlijk in dit geval nagelaten wordt.

Wanneer je dit als tweaker of consument leest, kun je ook eigenlijk maar een ding doen. Stoppen met het kopen van android apparaten. Tot het moment dat je fabrikant je minimaal 36 maanden veiligheidsupdates beloofd. Want officieel of officieus kun je bij de concurrentie wel op updates voor die periode rekenen.
Tot het moment dat je fabrikant je minimaal 36 maanden veiligheidsupdates beloofd.
Als je een klein beetje zuinig bent, gaat je telefoon makkelijk 6 jaar mee. Dus ik zou zeggen: zeker 72 maanden security updates.
Dat zou welkom zijn.
Tot een dikke maand geleden gebruikte ik nog een smartphone dat Samsung Bada draaide. Ik heb er 5 jaar gebruik van gemaakt. Zie https://www.reddit.com/r/...ung_bada_peasant_who_got/

Nu met mijn nieuw device - Sony Xperia Z3 Compact - wens ik ook terug aan 5 jaar te komen.
Sony brengt blijkbaar nog updates uit voor de Xperia Z, een device dat uitkwam op 9 februari 2013. Dat device heeft nu Lollipop! 36 maanden support lijkt Sony dus wel te behalen. Weliswaar enkel bij de Z serie, wat hun flagships zijn.
Android 2.6 is nog steeds mijn favoriet qua uniformiteit en was een grote aanhanger van Android sinds 1.4, maar Android is sinds 3 jaar niet meer hetzelfde en is de minste van alle platformen als het gaat om data veiligheid en privacy. Het is jammer maar waar.

Android heeft zoiezo veel problemen met de vele verschillende versies en de beveiliging van het OS ,daarnaast heeft Android zijn Google play store niet helemaal onder controle. Zo heb je nep apps, apps die vervangen zijn met een code en apps die onzichtbare click advertenties creeeren zonder dat je het weet, etc.

Dit laatste is ook het probleem bij Apple ios. Dit zorgt voor beide meer batterij verbruik, cpu belasting en data verbruik wat behoorlijk uit de hand kan lopen. Apple heeft nog een eco-systeem wat niet echt op slot zit, maar wel beperkingen heeft en wat een veiliger gevoel geeft.

De nieuwe Windows 8 is op dit moment niet veilig dan Apple ios maar zekers een betere alternatief als je een multitask toestel wilt met een HUB functie, maar het blijft wat achter op Apps.

Als je een bepaalde veiligheid en privacy zoekt zou ik zeggen BlackBerry 10 welke alle goede en specifieke functies van windows, Android en ios heeft overgenomen en dat allemaal op een enkel toestel. Een voorbeeld is de HUB van WIndows die Bij BlackBerry veel uitgebreiders is of de veel slimmere virtual keyboard met multi-taal herkenning.

De native apps zijn allemaal naar je hand toe te zetten en je kan alles uitschakelen. De Android apps op BlackBerry draaien in een container welke door een meervoudige beveiliging is afgescheiden van het OS. Android apps worden gescand en gecontroleerd. Als een Android app iets doet wat het systeem niet fijn vindt zal BlackBerry de app stopzetten of zelfs het toestel uitschakelen om de app te stoppen.

Zo zijn er veel apps voor BlackBerry ,mede dankzij Android maar er zijn ook veel alternatieve apps die erg goed zijn in BlackBerry world zoals igrann (instagram) en ook nog geschikt is voor multi-users oftewel meerdere account. Jn, maar je kan altijd instagram als Android app installeren.

Het advies is ook om bepaalde apps qua orivacy te vermijden zoals whatsapp. Dit geeft de duitste overheid aan, maar ook computer magazine C't en zelfs ISIS welke het gebruik van whatsapp verboden heeft binnen zijn organisatie.

BBM geeft meer privacy en je data is veilig omdat je toestel als server werkt via de BlackBerry Server (tijdelijk cloud opslag) en ze slaan of gebruiken je gegevens niet voor verkoop aan derden. Dit kan ook niet want BlackBerry staat voor veiligheid van data en privacy voor zowel particulier als zakelijk en dat zou ze onbetrouwbaar maken.

Een andere kant van veiligheid is alleen apps te installeren die je echt nodig hebt en te bedenken of je de app echt nodig hebt. Een gratis game is vragen om data mining en advertenties , dus lag en meer data verbruik en dan praten we nog niet over alle info die je overhandigd via je toestel.

Het is iedereen zijn keuze welke apps of platform men wil gebruiken en ik snap ook de keuze om Android of ios te kiezen, mede omdat iedereen dit gebruikt. Mijn keuze is BlackBerry mede omdat de software meer kan en doet qua mogelijkheden dan andere platformen, geweldig ondersteuning heeft voor muziek en het streamen ervan en real mutlitasking . De HUB is de heilige graal voor mijn BBM ,emails en sms berichten en voor alle soorten social media zoals whatsapp,facebook,twitter etc.

https://youtu.be/5GNzLEB3joA

[Reactie gewijzigd door nlb op 27 juli 2015 20:29]

Als ik het goed begrijp kun op een geroote telefoon in de build.prop delen van stagefright uitschakelen.
Property
[code]
media.stagefright.enable-player=true
media.stagefright.enable-meta=true
media.stagefright.enable-scan=true
media.stagefright.enable-http=true
media.stagefright.enable-rtsp=true
media.stagefright.enable-record=true
[/code]
In Android 5.1 lijkt dit al opgelost. Op mijn Nexus 5 staat namelijk al NuPlayer geactiveerd in plaats van AwesomePlayer. NuPlayer maakt gebruik van HTTP live streaming en dat staat los van Stagefright, het onderdeel waar het probleem in zit.

Voor oudere versies (ik denk 5.0 en lager?) kun je dit ook inschakelen, en zo deze bug omzeilen. Hiervoor moet je wel developer tools activeren (vanaf 4.3):
  1. Ga naar Instellingen -> Over de telefoon
  2. Scroll naar beneden, hier zie je het build nummer (varieert per toestel)
  3. Tik hier 7 keer op. Na 3 of 4x tikken zie je een melding komen dat je richting het vrijgeven van de developer tools gaat
In het instellingenmenu zie je nu bijna onderaan Opties voor ontwikkelaars. Open die, en zet bovenaan de schuif op Aan om de opties te activeren. Hier zie je onder het kopje Media de optie "NuPlayer gebruiken (experimenteel)". Daarmee zet je AwesomePlayer en daarmee Stagefright en daarmee dus ook deze bug buitenspel.

Zoals gezegd, in Android 5.1 op mijn Nexus 5 staat NuPlayer al als default en heb ik juist de optie om Awesomeplayer te gebruiken in mijn developertools. Indien dat het geval is op jouw toestel adviseer ik om die schuif niet aan te zetten.

Al met al denk ik dus dat het een beetje overdreven is. Ik hoor ze er hier op Qmusic al een kwartier over ratelen dat "Alle Android toestellen niet meer te gebruiken zijn want gigantisch lek". Dat is dus pertinent onwaar. Nu zal de DJ absoluut niet weten waar die over praat, maar het geeft maar aan hoe de massa met zo'n bericht met aan de haal gaat. In de nieuwste versie van Andoid is het dus al opgelost, het zou me niets verbazen als het in 5.0 ook opgelost is of gaat worden. En wellicht ook in oudere toestellen, maar ik durf niet te zeggen in hoeverre NuPlayer bruikbaar is op oudere Android versies.


Update: NPR zegt het volgende:
http://www.npr.org/sectio...ckers-in-with-just-a-text
Updated 5:17 p.m. ET July 27: Google Issues Statement

After this story aired, Google said: "We thank Joshua Drake for his contributions. The security of Android users is extremely important to us and so we responded quickly and patches have already been provided to partners that can be applied to any device.

"Most Android devices, including all newer devices, have multiple technologies that are designed to make exploitation more difficult. Android devices also include an application sandbox designed to protect user data and other applications on the device."

Updated 2:47 p.m. ET July 27: Companies Respond

Here are the responses we've received so far from smartphone manufacturers and wireless carriers:

Smartphone Manufacturers

HTC: "Google informed HTC of the issue and provided the necessary patches, which HTC began rolling into projects in early July. All projects going forward contain the required fix."

Silent Circle (on Twitter): "We patched Blackphone weeks ago!"

Wireless Carriers

T-Mobile: "These kinds of security fixes are usually released by our third-party device partners, so we're working with them to ensure those security updates have been deployed." Also, the company says, "You may wish to contact the device manufacturers directly, as they can tell you more about their specific plans for these security update releases."

[Reactie gewijzigd door Ger op 28 juli 2015 09:25]

Hmm ik heb helaas geen kopje Media in Developer Settings (LG G2 CloudyG2, Kitkat). Wel heb ik Stagefright uitgezet in build prop.
De vraag is of dat dit daadwerkelijk opgelost gaat worden voor alle Android toestellen. Ik denk dat toestellen van 4.4.4 of lager de update niet meer zullen krijgen.
En dat is dan ook gelijk HET probleem met Android; updates zijn fabrikant afhankelijk - en dus Is je telefoon maar 'beperkt houdtbaar'
Eigenlijk moet het eco systeem van Android veranderen. Wat nu als elk fabrikant standaard Android meeleverd en daar bovenop hun skin installeert, als een losse laag zeg maar. En android een soort update mogelijkheid geeft voor alleen de core. Dan komen we al een heel eind verder.
"Eigenlijk moet het eco systeem van Android veranderen."
Is het niet tegenwoordig zo dat Google zijn updates opsplitst en deze 'pusht' via de Play Store.? Zelf bezit ik een HTC M8 en merk dat veel updates niet meer van HTC komen maar direct van de Play Store (Google).
En dan bedoel ik updates zoals de beveiligingsfixes (in het OS) .

[Reactie gewijzigd door Dominique De B. op 27 juli 2015 15:32]

Ja, ik heb dezelfde telefoon. Ook een HTC One m8. De meeste applicaties van de buitenste laag komen vanuit de appstore. Dus bijvoorbeeld de camera applicatie. Nadeel is wel dat het meer een generieke applicatie wordt en niet specifiek voor je hardware. Ik geloof dat Google ook wat services uit elkaar trekt. Maar dit is nog lang niet op het aosp niveau.
Beperkt..
Google is bezig met de splitsing en die is in 5.x voor een heel groot gedeelte afgerond. In eerdere versies van Android is dat nog niet gedaan en daar kan Google maar zeer beperkt (alleen voor zijn services) updates uitgeven naar telefoons. De core functionaliteit kan in 4.x of lager niet worden aangepast buiten de fabrikanten (nieuwe rom) om.
Deze bug moet, zover ik het nu begrijp, gefixed worden in het Android Open Source Project - en dus helemaal niet noodzakelijk door Google -die doet mee aan AOSP, maar is daar niet alleen verantwoordelijk voor.

Nee, Google levert de extra services, zoals een Now Launcher, Play Store etc op je Android device.

Zo kun je dus een Android device hebben waar géén enkele Google dienst op staat (maar bijvoorbeeld Amazon)
Dat is niet het enige probleem: fabrikanten maken meer aanpassingen dan enkel de skin.

Zo bouwen ze hun eigen drivers in (dat moet, om de diverse hardware te ondersteunen), maar fabrikanten maken ook vaak diepere aanpassingen in het OS zelf.

Dit zorgt ervoor dat het eigenlijk onmogelijk is voor Google om een update te pushen naar alle toestellen: wie weet breekt hun update wel de camera op jouw toestel, om maar iets te zeggen.

Meer en meer maakt Google Android een meer modulair systeem om dit probleem aan te pakken. Zo is de webview component losser gemaakt van het OS, en kan deze nu los van het OS, dus als gewone app, updates ontvangen. Dat gebeurt nu via de Play Store, en google levert die aan, maar niets zou bvb Mozilla weerhouden om hun eigen render engine aan te bieden aan Android gebruikers als Web View.
In principe, zolang je niet aan de kernel raakt blijven drivers werken. Alles wat daarbovenop draait is te patchen en Google zou daar wat meer verantwoordelijkheid mogen nemen.
Correct, en dat snap ik wel hoor. Alleen vind ik het een beetje ene catch-22 wat je daar zegt: verantwoordelijkheid nemen betekent dat Google dan moet verbieden dat hun partners de Android Kernel gaan bewerken, en als ze dat doen dat wordt er wéér een bak kritiek gegooid op hen. Net zoals toen ze Chrome de standaard browser maakten, en het Google keyboard: die konden op die manier door eender wie worden geïnstalleerd, en updates van die componenten konden los van systeem udpates gebeuren. Maar de kritiek luidde toen dat het mensen afhankelijker maakt van de play store.

Als Google gaat verbieden de kernel aan te passen, dan kan je er zeker van zijn dat er weer moord en brand geschreeuwd wordt dat Google het open-source karakter van Android afmaakt, en dat ze hun macht met de het Google Play ecosysteem misbruiken.

Dus ja, damned if you do, damned if you don't!
Bovenstaande verhalen is ook de enige reden dat Android / Google zo groot is geworden op de online markt.

-
Precies, deze discussie is al vaker gevoerd hier op Tweakers natuurlijk...
Ik vind het gewoon vergelijkbaar met Windows. Bergen met fabrikanten e.d. maar updates voor security patches gaat prima. Waarom zou dit niet met Android kunnen?
niemand (ook dell,hp niet) past windows zo aan dat ze echt de core code veranderen..

Als ik windows versie X draain op MSI en jij windows versie X op jouw dell dan zijn de binairies gewoon exact gelijk.

Bij android is de UI kit (dus wat je ziet) en ook de veel diepere frameworks (heel vaak voor de camera api en zo) allemaal aangepast. Het zijn niet alleen maar apps die op de core bouwen, de core is ook anders.

Dus als android core gepushed zou kunnen worden door google naar iedereen naar elke telefoon, dan zou de core dus allemaal exact hetzelfde moeten zijn, dus all uitbreidingen zouden dan puur in apps moeten zijn van alle fabrikanten.

Maar ik weet niet goed hoe diep bepaalde dingen zitten, bv een vingerafdruk scanner die samsung nu al een tijdje heeft, met zijn eigen api's en zo
Android ondersteund dat tot nu totaal niet.. Dus dan moet dan wel redelijk gescheiden blijven van de core. Maar bv inloggen en zo moet er wel direct mee kunnen, dus waar zit dat dan want at moeten dan aanpassingen zijn in android zelf denk ik
Je zit met het probleem hardware-support/drivers, hierdoor is een 4.4.3 rom voor een galaxy s4 behoorlijk anders dan die voor een Tab 3.0, bijvoorbeeld.
De meeste apparaten hebben hun eigen sd-controllers, verschillende wireless controllers voor wifi/bt, display controllers en verschillen hij de usb-hosts.
Als ik de debug-logs van de customroms mag geloven, zijn dat nog de minst zware verschillen tussen sommige devices.

Google stelt niet vast welke onderdelen wel/niet gebruikt "kunnen worden", als ze het eco-systeem zouden laten omslaan moeten ze hierdoor voor talloze verschillende combinaties van onderdelen ondersteuning bieden...

Het is gelukkig wel zo sinds de nexus-apparaten dat steeds meer overeenkomende chips gebruikt lijken te worden tussen zowel verschillende fabrikanten als toestellen, wie weet is met die beweging dit in de toekomst een veel kleiner probleem.
Voor een Windows PC zijn de drivers toch ook allemaal anders? en de hardware verschilt ook totaal van elkaar. Hier is het allemaal geen probleem. Je kunt een OS modulair opzetten zodat de drivers op een andere partitie geschreven worden dan de Android core en de fabrikant skin. Hiermee is het probleem zo goed als opgelost.
Enerzijds klopt dat wel, hoewel het anderzijds ook simpelweg zou inhouden dat de fabrikanten evengoed een actievere rol er in moeten gaan spelen. (of ik zie het verkeerd) gezien ze nog niet actief genoeg in deze rol meespelen, durf ik zelf eigenlijk wel twijfels te hebben of het dan wel beter wordt.
Dit is toch wel een misverstand. Vele onderdelen van het besturingssysteem zijn momenteel al onderdeel van een app en kunnen dus al door google zelf worden geupdated (denk aan dingen als play services). Google is dan ook bezig om meer en meer onderdelen op die manier upgradebaar te maken.
En dat is dan ook gelijk HET probleem met Android; updates zijn fabrikant afhankelijk - en dus Is je telefoon maar 'beperkt houdtbaar'
Inderdaad, als deze PoC het tot echte malware schopt, dan is meteen 90% van alle Android devices EOL...
Als je dan nog eens een goede database van telefoonnummer wilt aanleggen kan ik zo al een aanvalsmethode bedenken. Creeër malware die zichzelf in mms naar volledige telefoonboek verzend; huidig nummer, imei, telefoonboek en andere data die je intereseert terugsturen naar control-server. Geen input van gebruiker nodig om besmetting tot stand te brengen. Verspreid zichzelf. Dit kan nog een desastreus staartje krijgen :o
Dit is de reden dat ik geen Android meer heb. Ik heb verder goed werkende telefoons moeten afschrijven vanwege beveiligingslekken en bugs die nooit opgelost worden.

De keuze was of een Nexus toestel of Android vaarwel zeggen. En met de prijs van de Nexus 6 was de keuze voor een Lumia 930 snel gemaakt.
Tja. Alsof een ander mobiel OS wel veilig is. Het raakt alleen toestellen die video's kijken. Nou zijn de meeste sources in de regel wel oke, maar voornamelijk de XXX vids is denk ik waar het 'grootste' risico hier zit.
Alsof een ander mobiel OS wel veilig is.
Nee, alle software heeft beveiligings foutjes, dat is gewoon niet te voorkomen. Belangrijker is hoe hier mee omgegaan wordt. In het geval van Android wordt je gewoon aan je lot overgelaten. Door Google's lakse beleid m.b.t. updates is Android dus significant onveiliger dan andere OSen. Niet omdat er meer fouten in zitten maar omdat er niet adequaat gehandeld wordt als er een fout gevonden wordt. (En ja, dit is Google's fout, als ze kunnen afdwingen dat fabrikanten Google apps pre-installen dan kunnen ze ook afdwingen dat updates worden doorgezet).
Het raakt alleen toestellen die video's kijken.
Beter lezen : "Een beveiligingsprobleem in Android zorgt ervoor dat een kwaadwillende enkel iemands telefoonnummer hoeft te weten om in veel gevallen toegang te krijgen tot zijn systeem"
Niet Google's lakse beleid maar dat van de fabrikanten van Android toestellen. Zij houden de levensduur van toestellen op deze manier kunstmatig kort zodat we steeds maar nieuwe kopen om de twee jaar, terwijl een toestel langer meekan.
Niet Google's lakse beleid maar dat van de fabrikanten van Android toestellen.
Google dwingt van alles af bij de fabrikanten voordat ze Google-certified zijn en dus Play services mogen meeleveren met hun toestel. Google had er gewoon voor kunnen kiezen om het binnen X dagen updaten na een security patch als een v/d voorwaarden hierin op te nemen.

100% Google's fout dus.
Dat zullen ze nu denk ik wel gaan doen. Effe kwestie van licentievoorwaarden bijwerken toch?
Waarom zouden ze dat nu opeens gaan doen ? Dit is al jaren en jaren een issue en Google doet er helemaal niets aan.
Beetje politiek druk doet wonderen. Neelie Kroes zou hiervoor geknipt zijn :) Zij heeft Microsoft ook lekker dwars gezeten en Google is nog even een slag erger dan MS.
Volgens mij moet jij beter lezen. Het telefoonnummer is nodig om iemand een link naar een video te sturen. De bug zit namelijk in het framework dat Android gebruikt om video's af te spelen (zie ook de titel van het bericht).

Volgens mij is het helemaal niet zo dat je in het geval van Android aan je lot wordt overgelaten, maar er speelt een aantal factoren mee:
- google probeert steeds meer software te verplaatsen naar apps, die via de store worden geupdatet, waardoor iedereen updates krijgt
- het "base systeem" wordt bijgehouden door je telefoonleverancier. Dus als daar problemen mee zijn, ben je ana hen overgeleverd voor een update

In beide gevallen, moet de gebruiker nog steeds zelf ervoor zorgen dat ie de update binnenkrijgt als deze beschikbaar is. Zelfs bij bijvoorbeeld iOS zie je dat een gedeelte van dde gebruikers nog op iOS7 zit, terwijl iOS9 al bijna uitkomt! Oftewel, zelfs als updates beschikbaar zijn, updaten nog steeds niet alle gebruikers!
Volgens mij moet jij beter lezen. Het telefoonnummer is nodig om iemand een link naar een video te sturen. De bug zit namelijk in het framework dat Android gebruikt om video's af te spelen (zie ook de titel van het bericht).
Het probleem is dat bepaalde apps, zoals Hangouts, het filmpje direct openen zonder dat de user hier iets voor hoeft te doen. (Volgens mij is dit om een thumbnail te genereren). In zo'n geval kan je dus met alleen het telefoonnummer een toestel overnemen.
In beide gevallen, moet de gebruiker nog steeds zelf ervoor zorgen dat ie de update binnenkrijgt als deze beschikbaar is.
Het grootste probleem is echter dat die updates vaak niet beschikbaar komen, omdat Google fabrikanten niet dwingt toestellen voor langere tijd te ondersteunen.
Dan wordt het tijd dat de politiek zich ermee gaat bemoeien maar het zal wel een non-issue voor hen zijn.
Wordt het tijd dat de politiek zich ermee gaat bemoeien?
No offence, maar daar hebben die mensen écht het inzicht niet voor... Als je het een extra-groot issue wilt maken, geef het in handen van politiek geneuzel.
Eh, beide andere mobiele OSen blijven updates krijgen direct vanuit de OS-leverancier; bij Android moet je maar hopen dat een fabrikant ooit, uiteindelijk, een google patch overneemt - en dat gebeurt dus veelal niet.

Ik ben prima tevreden met mijn (rootable, van custom firmware te voorziene, anders is deze issue inderdaad onoverkomelijk!) a Android apparatuur, maar het is onmiskenbaar het zwakste, meest problematische mobiele OS - door deze ontwerpfout/inherent problematisch businessmodel. Als je ook maar enigszins niet een complete fanboy-plank-voor-de-ogen hebt valt daar domweg niet omheen te komen.
Tja. Alsof een ander mobiel OS wel veilig is. Het raakt alleen toestellen die video's kijken. Nou zijn de meeste sources in de regel wel oke, maar voornamelijk de XXX vids is denk ik waar het 'grootste' risico hier zit.
Dan heb je het artikel niet goed gelezen. Een aanvaller die jouw telefoonnummer weet, kan je een filmpje sturen (of link naar), en daarmee jou te grazen nemen. Dat gaat bij het merendeel van de gebruikers vrijwel geen effort kosten.

Dat ieder mobiel OS issues heeft staat buiten kijf, maar de eenvoud waarmee dit issue te misbruiken is, maakt het qua potentieel extreem gevaarlijk.
Hiermee bagatalliseer je de boel nogal. Jazeker, zijn de meeste andere OS-en veiliger in de zin dat men in ieder geval in het geval van een fout een oplossing kan pushen.
Het zijn juist de "grappige" filmpjes die door jan en alleman doorgemailed worden en waar die vandaan komen is altijd een vraagteken. XXX moet je meestal zelf zoeken O-)
de video's moeten nog steeds via een 'text' (MMS) binnen komen - ik denk dat je in de regel wel veilig bent voor websites.....
Wat een bizarre reactie. Jij was erbij toen android werd ontwikkeld? Als jij een pentester/beveiligingsdeskundige/blackhatter etc, ga je dan zoeken naar exploits in een OS wat 5% van de markt gebruikt? Lijkt me niet. Dit zie je toch net zo hard bij Windows op de desktop.
Als je internet moet geloven is Android stabieler dan IOS, maar is IOS veiliger....
Een bug die geen gevaar vormde in tegenstelling tot dit wel heel belachelijke lek.
Die smsbug respringde alleen je telefoon, er kon geen toegang worden verkregen tot het systeem. Ik denk dat deze bug toch wel iets ernstiger is :)
En je sms app werkte niet meer, idd niet zo ernstig maar iOS is zeker niet beter/veiliger dan android
Neeee, iOS is zeker niet veiliger hoor! Ik bedoel, je kan android kraken met een smsje, maar nee hoor, iOS is slechter!

Doe je oogkleppen af man.
Over oogkleppen spreken terwijl je het artikel niet hebt gelezen, chapeau!
Heb ik wel gedaan. Ik denk dat ik er flink wat meer vanaf weet dan jij hoor makker ;) Maar wat je jezelf wilt vertellen hoor.
Dat ja. De meeste Android toestellen krijgen 1 of 2 keer een update en that's it. Uitgesmeerd of 1-1,5 jaar is Android feitelijk het meest onveilige OS dat er maar bestaat. Daar kan Google niets aan doen, maar ze hadden het kunnen voorkomen door OS updates in eigen hand te houden en fabrikanten niet zo-goed-als vrij spel te geven in hoe ze het OS kunnen aanpassen/verkrachten.

En dit is het resultaat. Een OS dat heel veel kan, maar bijna nooit een update krijgt.
Ik snap wat je bedoelt, maar je verwoord het verkeerd en daardoor klopt het totaal niet. Gemeten vanaf Android 4.0 zijn er sinds oktober 2011 (43 maanden t/m laatste uitrol van Android 5.1.1) 26 updates gekomen van Android, oftewel gemiddeld elke 7 weken een nieuwe update of grote nieuwe release.
In diezelfde periode (iOS 5.0 kwam eveneens uit in oktober 2011) zijn er 11 iOS updates gekomen, wat neerkomt op elke 4 maanden een update.

Het probleem zit hem niet in de frequentie van de updates, want daar doet Android het een stuk beter dan iOS, maar in het feit dat providers en met name smartphone fabrikanten niet lang en snel genoeg updates uitrollen naar hun devices. Gelukkig gaan een aantal fabrikanten van Android devices beter, langer en sneller updates uitrollen, maar ze kunnen hier nog altijd flinke stappen voorwaarts in maken.

[Reactie gewijzigd door Moi_in_actie op 27 juli 2015 19:12]

En aangezien de meeste fabrikanten al vaak vrij lang erover doen om een update uit te brengen ben ik benieuwd hoe snel die patch er is. :o
Er komt helemaal geen patch voor het merendeel van de toestellen.
Google is al bezig om meer dingen van android te updaten via play services. Geen idee of dat bij dit probleem ook kan en gedaan wordt.
Tijd voor Google om fabrikanten te dwingen een minimum patch niveau aan te houden. Uiteraard binnen een aanvaardbaar termijn.
Of een OS maken wat onafhankelijk van de fabrikant een update kan krijgen. Gewoon zoals dat bijvoorbeeld met Windows en Linux op de desktop gaat.
Volgens mij werkt Windows Phone ook op die manier.
Nee. technisch gezien is WIndows Phone neit flexibeler of zo: MS beperkt gewoon de mogelijkheden qua hardware, laat geen aanpassingen in het OS toe, en zo kunnen ze de software dus 100% aanleveren, met drivers. Daarom heb je dus ook maar een erg beperkt aantal SoCs in WP toestellen.

Google doet dit niet, je kan eender welke hardware gebruiken. Als gebruiker heb je hier miss geen boodschap aan, maar dat is dus de tehcnische achtergrond.

In de toekomst wil ARM dit oplossen door het ARM platform te voorzien van generieke drivermodellen, net zoals op desktops. Dan kan het OS dus generieke stukken hardware gaan odnersteunen, net zoals je voor Linux of windows niet perse alle specifieke drivers nodig hebt om alle hardware te gebruiken. Als dat gebeurt, dan staat de software eindelijk weer een stuk losser van de hardware, en kan Google wel bepaalde patches gewoon uitrollen, langs de fabrikanten om.

[Reactie gewijzigd door kiang op 27 juli 2015 16:09]

De mogelijkheden op gebied van hardware zijn niet beperkt. Wel verwacht MS dat als je afwijkt van wat zij ondersteunen dat je zelf bij hen drivers indient die ervoor zorgen dat de toestellen blijven werken. Aanpassingen aan het OS zijn in zeer beperkte vorm toegestaan, maar je mag inderdaad niet aan de basis raken.
In de toekomst wil ARM dit oplossen door het ARM platform te voorzien van generieke drivermodellen, net zoals op desktops.
Dit zou goed nieuws zijn en ze hebben blijkbaar naar Torvald geluisterd.
http://www.linuxuser.co.u...-threatens-to-cut-off-arm
Windows Phone had ik er inderdaad ook als voorbeeld bij kunnen zetten.
Google kan niet dwingen Android patch level up2date te houden.

Android is namelijk niet google.

Mooie gedachte, ....

Google zou kunnen afdwingen, dat de Google play services etc... alleen gebruikt mogen worden bij regelmatig update van Android.
Probleem is dat gebruikers dit zelf niet in de hand hebben.
Ik weet dat google android niet is, maar gezien ze tussen android en de hardware leverancier zitten, lijkt mij dat een mooie club om het af te dwingen.

Google is wel degene die android verkoopt namelijk. En dan zullen ze vast het een en ander mogen eisen :)
Android is gratis, dus je kunt je afvragen of je dat verkoopt. Google heeft bewust de positie gekozen waarin ze zitten, met hoop dat Android een succes zou worden. Dat is gelukt.. Neven effect, geen grip meer op updates etc..
Nu staat fase 2 op de planning, hoe krijgen ze het gehele Android speelveld onder controle. Het is maar de vraag of ze dat kunnen krijgen denk ik. We zullen het zien.

Google kan wel meer gaan eisen, maar daarmee wordt voor een aantal partijen Android gewoon minder interessant


Tijd voor slaap
Dus ik moet de koppeling tussen hangouts en sms uitschakelen en alle messenger apps checken op automatisch afspelen van video?
Of hangouts van je toestel verwijderen ?!
Dat wordt lastig op de nieuwste toestellen, Hangouts is Google's standaard messaging, chat en SMS app...
En die default kan je gewoon veranderen en hangouts uitschakelen :)
Ik kan dit dus niet. Heb alleen Hangouts. (OxygenOS van Oneplus One, bijna stock android)

Dus tja.. lastige situatie. :)
AVG Virus scanner dan maar? haha
Geen Whatsapp of een 3rd party SMS app?
Jawel, maar ik bedoelde eigenlijk dat ik geen andere app heb om smsjes in af te lezen. Er is geen sms-app. Dit kan alleen in de hangouts app.
Waarom zou dit niet kunnen? Je kunt gewoon een andere SMS app installeren of hebben ze dat onmogelijk gemaakt?
Er is zelfs een officiele niet-Hangouts SMS app van Google: Messenger! Werkt prima en ziet er IMO beter en overzichtelijker uit dan de Hangouts app.
Inderdaad. Vind Hangouts een batterijvreter en geheugen/CPUvreter. Geef mij Whatsapp en Textra maar :P
Ja, dat kan. Maar dat zijn meerdere handelingen die je moet doen, waardoor de gemiddelde gebruiker het niet doet. En het lek zit in core Android, welke zonder Android update niet weggaat. Dus als Hangouts, die bij oude Android versies via de Play Store los van Android te updaten is, dan zoeken cybercriminelen wel een andere app om het lek te misbruiken!
Dit is een zeer ernstig lek dat niet snel te dichten is omdat fabrikanten nu eenmaal beperkt updates uitbrengen voor oudere toestellen. Android moet echt op de schop wat dit betreft. De core moet ten alle tijden automatisch van updates voorzien kunnen worden, ongeacht de fabrikant! Beperk die grafische schillen zodat ze niet meer tot aan de core komen, maar eigenlijk niet meer zijn dan een veredelde app.

Het is toch van de zotten dat Google hier nog steeds niets aan doet? Je kunt nu met een simpel MMSje de controle van een toestel overnemen, met alle gevolgen van dien! En het is nog maar afwachten wat fabrikanten gaan doen, hoe lang dit gaat duren en in hoeverre ze oudere toestellen gaan ondersteunen.

Ligt het aan mij, of is dit een dusdanig groot probleem dat er wellicht voor zorgt dat Android nu echt in z'n hemd staat en dat er nu dan eindelijk drastische maatregelen worden genomen door Google?

[Reactie gewijzigd door Dannydekr op 27 juli 2015 16:22]

Overdrijven is ook een vak. Google is al lang bezig met onderdelen en apps van Android los te koppelen, zodat Google deze ten alle tijden via de Play Store kan updaten (zonder tussenkomst van een provider of fabrikant). Zie bijvoorbeeld de Google Play Services, Chrome, Hangouts, Google Camera, Google Keyboard en vele anderen. Het gaat alleen stapsgewijs en in een situatie als deze zou je kunnen zeggen dat het niet snel genoeg gaat.
Veel van de updates zijn niet meer afhankelijk van de fabrikant. Deze gaan veelal via de play store. Ik heb zo'n vermoeden dat indien dit op die manier gepatched kan worden. Dat je niet lang zult hoeven wachten op een patch
Dus als je een telefoon hebt die niet meer door de fabrikant geupdate wordt dan krijg je deze update niet? Erg handig als je die mobiel ook voor two factor authentication ergens gebruikt, dan hoeft de database van die site/app/etc maar gehakt te worden en je telefoonnummer ligt op straat, 1 smsje later en je telefoon is overgenomen en je two-factor authenticatie is ook nog eens nutteloos geworden gezien een andere partij die nu onder zijn controle heeft. Dan is het hopen dat ze door die hack ook niet achter je wachtwoord zijn gekomen. Effectief maakt dat two-factor authenticatie een double edged sword als je telefoon niet meer geupdate wordt door de fabrikant. Als dit systeem bij Android niet gaat veranderen de komende jaren dan zal mijn volgende mobiel in ieder geval geen android meer draaien, want qua veiligheid is dit echt waardeloos.

[Reactie gewijzigd door Corodix op 27 juli 2015 16:26]

Ik zie een soort slammer worm variant waarbij geinfecteerde mobieltjes smsjes gaan sturen naar andere gebruikers. Wellicht kunnen providers ook bijgeschakeld worden door smsjes met deze inhoud te blokkeren. Ben benieuwd hoe dit opgelost gaat worden aangezien het leeuwendeel van de Andriod toestellen geen upgrade ontvangt..
Aangezien het issue blijkbaar het grootste gevaar vormt wanneer men Hangouts als default SMS app gebruikt, vraag ik mij af of dit niet met een hotfix in de Hangouts app (tijdelijk) opgelost kan worden?

Google is al langer bezig met bepaalde onderdelen van Android los te halen, zodat men deze zelf via de Play Store direct kan update, waaronder dus ook Hangouts. Een dergelijke fix zal zeker niet het "be all and end all" zijn, maar een extra verificatie op inkomende SMS berichten of het niet meer direct verwerken van filmpjes moet toch mogelijk zijn.
In de changelog van de laatste nieuwe versie (v3.3 van 3 juni 2015) staat alleen "Miscellaneous bug fixes and improvements", dus of er wellicht al een hotfix is geweest is onduidelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True