Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 265 reacties

Volgende week geven beveiligingsonderzoekers exploitcode vrij voor een gevaarlijke bug in Android. Met behulp van een malafide video kan een aanvaller toegang krijgen tot een Android-systeem. Veel toestellen zijn nog kwetsbaar.

Het beveiligingsprobleem in Android, waarbij met een malafide video een Android-systeem is te kraken, kwam maandag aan het licht. Details ontbreken nog, maar daar komt verandering in: volgende week, op de Black Hat-beveiligingsconferentie in Las Vegas, geven de onderzoekers van Zimperium die het probleem ontdekten een exploit vrij. Daarmee wordt misbruik van de exploit een fluitje van een cent. Later deze week komen de onderzoekers al met een video waarin de aanval wordt gedemonstreerd.

De Android-kwetsbaarheid bevindt zich in een framework dat wordt gebruikt om video's te verwerken. Aanvallers kunnen malware verstoppen in een video; het lijkt erop dat in ieder geval 3gpp-video's kwetsbaar zijn, en mogelijk ook mpeg4-video's. De kwetsbaarheid kan op meerdere manieren worden misbruikt: zo kan een aanvaller waarschijnlijk video's met malware serveren via malafide advertenties, wat een populaire manier is om malware te verspreiden.

Ook kan een video met behulp van een chat-app worden verstuurd; in ieder geval Hangouts is kwetsbaar, omdat die app video's meteen naar het framework stuurt als ze binnenkomen. Als de exploitcode in het openbaar is, is de kans groot dat de bug snel zal worden misbruikt. Aanvallers kunnen dan onder meer de microfoon van slachtoffers aftappen, evenals de camera's, en screenshots maken.

Google stelt dat patches voor het beveiligingsprobleem al beschikbaar zijn, en dat die door fabrikanten kunnen worden uitgerold. Volgens de onderzoekers is Android 5.1.1, de nieuwste versie, echter ook kwetsbaar; de kans is groot dat een nieuwe versie dus snel volgt.

Voor de meeste Android-gebruikers zal het waarschijnlijk lang wachten zijn tot ze de update kunnen installeren; makers van Android-hardware zijn doorgaans langzaam met het uitrollen van nieuwe versies, als die er überhaupt al komen. Volgens de onderzoekers zijn 950 miljoen Android-toestellen kwetsbaar. De bug zat namelijk al in Android 2.2.

Google wijst er wel op dat een aanvaller geen onbeperkte rechten heeft, omdat Android apps in een sandbox laat draaien. Aanvallers zouden echter andere bugs kunnen misbruiken om dat te omzeilen; vooral bij oudere Android-versies is dat een risico.

Update, 13:36: In dit stuk stond aanvankelijk dat de nieuwste Android-versie, 5.1.1, niet kwetsbaar zou zijn. Dat is echter wel zo.

Update, 22:40: Cyanogen heeft een patch voor het probleem uitgebracht.

Moderatie-faq Wijzig weergave

Reacties (265)

CVE's zijn aangemaakt en de volgende worden opgevuld:
CVE's
CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829

Android

Android and derivative devices after and including version 2.2 are vulnerable. Devices running Android versions prior to Jelly Bean (roughly 11% of devices) are at the worst risk due to inadequate exploit mitigations. If ‘Heartbleed’ from the PC era sends chill down your spine, this is much worse.

Link naar de blogpost: http://blog.zimperium.com...-in-the-heart-of-android/
Android and derivative devices after and including version 2.2 are vulnerable.
Dan heb je dus mazzel met een 1.5,1.6 of 2.1 versie van android. :)

Helaas is het voor die toestellen wel vaak zo dat heel veel andere zaken als store of services niet meer werken,doordat ze niet meer ondersteund worden :(
Nouja, Android 1.5 is dan ook alweer 6 jaar oud. MS ondersteunt Windows Mobile 6.5 ook niet meer en Apple iOS 3 (voor zover ik weet) ook niet. Ik vraag me af hoe realistisch het is om van een fabrikant te eisen dat hij na al die jaren nog updates/support verleent op soft-/hardware die niks meer waard is. Ik bedoel: een Android 2.2-toestel krijg je praktisch gratis op Marktplaats ;) Ook voor de "smallere beurs" is er dus geen reden om op zo'n oude versie te blijven hangen. Misschien een mooi initiatief onder Tweakers? Geef je oude smartphones een tweede leven? Zo recent mogelijke custom rom erop en maak er iemand blij mee...

Ik zit wel in dubio over deze actie. Aan de ene kant snap ik goed waarom ze het doen: Google onder druk zetten om voor zoveel mogelijk Android-devices een fix uit te brengen, maar aan de andere kant creëren ze wel een veiligheidsprobleem zo (ja, ik weet dat dat lek/probleem er in stilte ook is).

[Reactie gewijzigd door Grrrrrene op 28 juli 2015 12:20]

je noemt nu ios3 - dat word inderdaad niet meer ondersteund.
Echter is het wel zo dat de iphone 3GS welke met ios3 geleverd is te updaten is tot 6.1.6

Kortweg wat ik wil zeggen is: een telefoon van 5-6 jaar oud zou ook nieuwe moeten kunnen draaien..... Echter is dat bij android afhankelijk van de fabrikant of de community....
Kortweg wat ik wil zeggen is: een telefoon van 5-6 jaar oud zou ook nieuwe moeten kunnen draaien.....
Dat is niet te doen. Hardware eisen veranderen ook met de jaren. Zeker in 5-6 jaar.
Dat Apple het heeft gedaan wil nog niet zeggen dat dit op alle toestellen mogelijk is. De Apple toestellen hebben een speciaal voor Apple geschreven besturingssysteem. Dan is dat veel makkelijker te regelen. Maar met Android en de honderden modellen telefoons is dit simpelweg geen doen.
Zeker in het begin was het met android al snel dat je na 1 jaar geen updates meer kreeg.

Een telefoon van x-aantal euro na een jaar "onbruikbaar" omdat er geen updates meer voor komen?

Scheef vergelijk: Windows xp heeft ook 10 jaar van ondersteuning genoten, en ook daar veranderd hardware.

Synology DS210 is in 2010 uitgekomen, krijg momenteel ook nog updates (DSM 5 draait hier prima, en krijgt updates)

Scheef vergelijk, want android vereist steeds meer resources om te draaien.... Blijkbaar kan het op andere apparaten wel, waarom dan niet op telefoons? Een install op een telefoon kan je ook specifiek op een hardware platform schrijven, helaas is daar nou net de wildgroei ontstaan...!

Het zou google sieren om hier beter mee om te gaan. Zelf doen ze t goed met de nexus serie, maar ik vind dat een telefoon van 3-4 jaar oud nog steeds recente (beveiligings)updates moet kunnen ontvangen....
Meestal ligt het niet bij google maar bij de fabriekant zelf die de telefoon maken.
Eigenlijk te zot voor woorden: Google maakt een besturingssysteem voor op de smartphone (de software dus), maar het is de hardwarebouwer die moet voorzien in de updates van de software? :?

Google is de maker van Android, dus Google moet veiligheidsupdates uitrollen voor ALLE Android-toestellen. Ook al dat toestel 4 jaar oud is. :X
Tja, maar het is niet Google die dat verzonnen heeft, maar juist de hardware fabrikanten die graag hun eigen schil om Android willen gooien en hun eigen proprietary dingen erin willen stoppen.
Als het aan Google lag zouden die vast wel de hele boel willen updaten, maar het zijn juist de hardware fabrikanten die daar tussen willen blijven zitten.
Maar dat willen de hardwarefabrikanten niet. Initieel is dat het succes van Android geweest: iedere fabrikant had een gratis OS dat ze helemaal naar eigen hand mochten zetten. Wat dat betreft heeft MS het verstandiger aangepakt: ik zie nauwelijks verschil tussen de looks van de software van de verschillende fabrikanten.
Dat gaat helaas niet op.

De aansturing van elke telefoon verschilt.
Google kan wel een patch uitbrengen, maar de fabrikant moet voor elk model telefoon die ze hebben de rom aanpassen.
Hier zouden teveel kosten in gaan zitten voor de fabrikant dus dit zal nooit gebeuren.
Wil je toch altijd up-to-date blijven neem dan een custom rom of een recentelijke telefoon.

Ik heb een Galaxy Note 2 met custom android 5.1.1.
Mijn laatste officiele samsung rom was volgens mij 4.1.1.
Er zijn 5 a 6 verschillende modellen van de Note 2.
Op de 1 verscheen de update sneller dan op de ander.
Dit had naast de fabrikant ook nog te maken met de provider.
Het probleem ligt niet bij Google. Die zullen met enig gemak een update voor oude Android versies kunnen leveren.
Het probleem is dat die updates nooit aan zullen komen bij eindgebruikers, omdat makers van de telefoons geen updates meer geven.
Overigens zie ik nog steeds niet in waarom dit proces zo slecht gaat.
Waarom moet elk device een verschillende Android versie hebben?
Als ik bijvoorbeeld naar pc's kijk is dit compleet anders.
het gaat ook over de afspraken die google en fabriekanten met elkaar maken
Google is al hard bezig om dat probleem te verkleinen, maar helemaal oplossen zal niet snel gebeuren. Ik hoop dat Google nog lang Nexus-toestellen en Play-Edition toestellen blijft maken met hun eigen support en zonder schil. Ik heb het al vaker gezegd: Android-telefoons zouden je bij de eerste keer opstarten moeten vragen "Wilt u:

1. Updates via Google en een kale Android-installatie zonder meegeleverde software of
2. Updates via de fabrikant met meegeleverde software"

Ik weet wel wat ik zou kiezen, maar zo heeft iedereen wat hij wil. En met een factory reset kun je na de supportperiode van de fabrikant nog aanspraak maken op Google-updates. Ik weet niet of dat alle problemen oplost, maar het zal zeker helpen.

Ik vind het nml echt absurd dat hardwarefabrikanten als LG, Sony, Samsung, HTC, Huawei, etc vinden dat ze zich moeten onderscheiden op softwaregebied en (zeker Samsung) bakken rommel meeleveren waar bijna niemand op zit te wachten*.

* Ja, ik weet dat er hier en daar ook handige tools bij zitten. Maar zou je daar nu echt geen alternatieven uit de Play Store voor kunnen vinden?

[Reactie gewijzigd door Grrrrrene op 28 juli 2015 17:48]

Nou, een kale Android draait niet zomaar.
Je hebt ook wat drivers en dergelijke nodig, die niet zomaar altijd beschikbaar zijn.
En als je de drivers in Android stopt, wie levert support voor die drivers?

Daarnaast wordt die vendor-specific software ook gebruikt om reclame mee te maken. Met name Samsung heeft dit een tijdje flink gedaan.

Ik ben het overigens met je eens. Ik ben in het algemeen tegen vendor-specific spul. Het is bloatware op laptops, en het is bloatware op telefoons. Ik zou het liefst hebben dat Android gewoon Android is, en dat je zo gewenst zelf die extra spullen er overheen kunt gooien.
Als Google met gemak een update kan leveren waarom doen ze dat dan niet? Ze weten hier al maanden van en toch is de laatste versie van Android nog niet gepatched. Het probleem ligt dus ook bij Google
Als Google met gemak een update kan leveren waarom doen ze dat dan niet?
Huh? Hoe moet ik dit dan lezen?
Google stelt dat patches voor het beveiligingsprobleem al beschikbaar zijn, en dat die door fabrikanten kunnen worden uitgerold.
Wat moet Google meer doen dan "alsjeblieft, stuur dit naar je klanten en het lek is gedicht"? Dat ze niet alle Nexus-toestellen (die ze zelf onderhouden) op dat 1 van een update kunnen voorzien, begrijp ik, maar ik verwacht toch wel dat ook die update een dezer dagen zal komen... En tsja, de Nexus-apparaten vormen de minderheid natuurlijk als je kijkt naar verkoopaantallen. Het gros is Samsung...

[Reactie gewijzigd door Grrrrrene op 29 juli 2015 12:10]

Ja nu het volop het nieuws komt. Als andere bedrijven een lek hebben dan is Google er als eerste bij om het lek bekend te maken. Maar zelf doen ze het dus niet veel beter. Nu is er pas een patch beschikbaar terwijl ze het al maanden wisten. Wat ze dus beter hadden kunnen doen? Sneller zijn natuurlijk.

Wat Google ook had kunnen doen was destijds toen ze Android op de markt brachten eens nadenken over de veiligheid van hun systeem en dan hadden ze bvb kunnen besluiten dat het geen goed idee is om zoveel macht bij fabrikanten of ISP's te leggen. Hun concurrent kreeg dat wel voor mekaar. Het enige dat belangrijk was voor Google is om Android zo gemakkelijk mogelijk in de handen van mensen te krijgen zodat ze die mensen kunnen bespioneren om hun adverteerders terwille te zijn. Veiligheid speelde blijkbaar geen enkele rol. Maar ja gebruik je Google producten dan ben je zelf een Google product dat is al lang geweten. Privacy en veiligheid kan je gewoon naar fluiten.
Het lek is vorige week openbaar gemaakt staat in het originele nieuwsbericht. Waar heb jij gelezen dat hij al maanden bekend is? De beveiliger geeft zelf n.b. aan dat zijn patches direct door Google zijn overgenomen.

Met je tweede alinea ben ik het opzich wel eens, hoewel je het wel heel gekleurd schrijft met "bespioneren" e.d. Een deel van het probleem ligt toch echt bij de fabrikanten die zo laks en traag updates doorvoeren en daar al vroeg mee stoppen zodra er een nieuwer model uitgekomen is. Ik begrijp nog steeds niet goed waarom ze voor een schilletje en extra software Android dusdanig moeten verbouwen dat het doorvoeren van updates blijkbaar erg moeilijk en tijdrovend is geworden.
Dat is net het probleem met vele lezers hier. Ze nemen het artikel van Tweakers als de bijbel, maar vergeten het originele artikel eens door te nemen. Meestal bevat dat artikel veel meer informatie dan het artikel op Tweakers zelf
According to Zimperium, this set of vulnerabilities affects just about every active Android phone in use. Drake says he discovered it in his lab, and he does not believe that hackers out in the wild are exploiting it — at least not yet.

In correspondence in April and May, he shared his findings with Google, which makes the Android operating system. He even sent along patches to fix the bugs.
De originele bron van dit artikel : Major Flaw In Android Phones Would Let Hackers In With Just A Text

Zoals ik dus zei in mijn vorige reactie: As het over andere bedrijven gaat dan is Google er als eerste bij om ze aan de schandpaal te nagelen maar als het over henzelf gaat dan trekken ze er zich niets van aan.
Klopt. Maar wel weer met die aanvulling dat alleen iOS 8 door Apple gesupport wordt. Wel staat iOS 8 op het leeuwendeel aan apparaten. Maar iPhone 4 met iOS 7 is met zijn 56 niet gepatchte kwetsbaarheden (die wel in iOS 8 gerepareerd zijn) behoorlijk... kwetsbaar :).
Toen Apple stopte met het repareren van IOS 7 stond dat (of een oudere versie) nog op minimaal 28% van de apparaten, volgens Apple zelf:
http://9to5mac.com/2015/0...ls-ios-7-rate-a-year-ago/
Een bedrijf dat vijf miljard winst per jaar boekt kan best een paar bebaarde ontwikkelaars in dienst houden om de ergste problemen in oude versies op te lossen. Kwestie van voor je klanten zorgen.

Voor mijn tien jaar oude auto zijn ook nog probleemloos originele reserveonderdelen te koop.
Ze zorgen ook goed voor hun klanten: door dit beleid moet je wel ca. iedere 2 jaar een nieuwe telefoon kopen van 1 van Google's klanten.... Als ze voor oude toestellen software updates blijven leveren hoef je niet zo vaak iets nieuws te kopen.
Echter is je garantie verlopen en zal je dus zelf een financiëel offer moeten maken.
De prijs die je voor reserveonderdelen betaalt staan overigens niet in perspectief met de fabricage kosten van deze onderdelen.

Je kan met je Android telefoon ook naar een willekeurige "garage" (tel. reparatie winkels) om tegen betaling te updaten naar een nieuwere versie van het OS.
Autoonderdelen zijn erg duur, maar zoals het spreekwoord zeg: beter duur dan niet te koop.

De telefoonreparatiewinkels bevinden zich in een wat grijs gebied: ze updaten mijn telefoon op een manier die Samsung liever niet ziet.

Ik zou liever ondersteuning vanuit de leverancier zien. Als daar realistische vergoeding-tegenover moet staan is dat geen bezwaar mits dat goede ondersteuning oplevert.
Mijn oude 3GS werd iedere upgrade merkbaar langzamer. IOS6 i.c.m. met een accu die slechter werd was absoluut een andere ervaring dan bij launch op IOS3.

OT:
Een iphone die na 5-6 jaar nog een accu heeft en voor enigszins bruikbare duur meegaat? De mijne niet hoor. Zelfde probleem met Iphone 5. Zelfs mijn 6 begint al slechter te worden.
Weinig sympathiek naar mijn mening om dit naar buiten te brengen inderdaad. De realiteit voor veel Android gebruikers gaat zijn dat ze een nieuw device moeten gaan aanschaffen om het probleem verholpen te zien voor ze. (Nee, custom roms draaien is geen oplossing voor de massa)

Maar goed, niemand kan ze verplichten om sympathiek te zijn, en Google weet de zere vinger bij een ander ook wel op de bugs te leggen (Al hebben die anderen het volgens mij wel zelf in handen of het gepatcht gaat worden, denken de aan leaks in IE die ze hadden gevonden)

Zelf was ik al een tijdje van plan om m'n S5 van cyanogenmod te gaan voorzien, ondanks dat Samsung die nog wel update.
Er zit meer achter, de reden om het naar buiten te brengen is om mensen bewust te maken van het gevaar.
Als die mensen het lek konden vinden is de kans groot dat iemand anders hem ook vind en die is misschien niet zo aardig om het wereldkundig te maken. De gevaarlijkste bugs zijn de gene die we niet kennen en waar we ook niet op kunnen reageren.

Dit laat wel heel duidelijk het probleem zien wat de grootste zwakte van android is op dit moment.
Google zou de updates eigenlijk ook centraal moeten regelen en de hardware fabrikanten zouden alleen de drivers en hun eigen apps moeten onderhouden.
"Dit laat wel heel duidelijk het probleem zien wat de grootste zwakte van android is op dit moment."

Dit is altijd de grootste zwakte geweest van Android, fragmentatie. Of het nu neerkomt op beveiliging zoals in dit geval, of performance in andere gevallen, het punt blijft dat door al die verschillende Android versies er constant issues zijn (Maakt app development ook niet makkelijker overigens). Dit is ook, naast het feit dat ik niks moet hebben van Google, een grote reden voor mijn om NEEN te zeggen tegen Android.
Je haalt 2 zaken door elkaar, de impact van dit probleem is niet zo groot door android of google maar heeft alleen maar te maken met het feit dat er veel fabrikanten zijn die nauwelijks iets aan softwareupdates doen.
Prima te omzeilen door net als bij andere mobiele OS fabrikanten alleen toestellen te kopen die updates ondersteunen voor een bepaalde tijd.

Dit probleem speelt veel breder op de markt, ook mijn ipad1 is al tijden kwestbaar voor allerlei bugs, gelukkig kun je bij android het nog zelf oplossen door handmatig een update te laten doen: hoef je iig geen nieuwe telefoon te kopen.
De Consumentenbond heeft een actie-pagina http://www.consumentenbond.nl/campagnes/updaten/
Vind jij ook dat fabrikanten hun producten langer van updates moeten voorzien? Steun dan de actie!
zeer goed initiatief!
Nee, ik wil gewoon niet afhankelijk zijn van hardwarefabrikanten voor OS updates. Dat ben ik bij mijn laptop ook niet, waarom moet dat bij telefoons dan wel acceptabel zijn?
Ik haal mijns inziens niet twee zaken door elkaar. Het feit dat fabrikanten Core OS updates moeten doorvoeren zorgt voor meer fragmentatie over de gehele breedte van het assortiment. Naar mijn mening zouden deze Core OS updates onafhankelijk moeten zijn van fabrikant specifieke functionaliteiten. Het zou hetzelfde moeten werken als Windows naar mijn mening, waar Windows wordt geupdated door een partij, en de fabrikant daar eventueel onafhankelijk functionaliteit kan toevoegen (en zou in principe ook gewoon een custom rom kunnen zijn, netjes decoupled van de core).
Dat gebeurd ook tot op zekere hoogte, steeds meer onderdelen van android worden door google in hun eigen framework opgenomen en worden apart geupdate.
Mijn punt is dat je het als een zwakte van android presenteert terwijl de situatie met 3e partijen niets met android te maken heeft, het staat immers iedereen die dat relevant vind vrij om een android toestel te kopen waarbij er wel langdurige software ondersteuning is.
Je gaat microsoft er toch ook niet op aankijken als bepaalde 3th party hardware of software niet meer werkt omdat de leverancier geen ondersteuning meer levert?
Er zijn altijd exploits die een Android update verwachten, maar over het algemeen durf ik te zeggen dat Android veiliger is dan IOS (want dat zal dan je favoriete platform vast zijn)
Als er in IOS een exploit zit MOET het hele OS geüpdatet worden. Android regelt heel veel security issue's via de PlayServices welke geüpdatet worden tot aan 2.2 terug. Daarnaast kan Android ALLE systeemapplicaties via de PlayStore updaten, ook van de fabrikanten.
Als op IOS een exploit wordt gevonden in Safari VEREIST dit een OS update. Bij Android krijg je gewoon van Chrome een update via de PlayStore. En dit geldt voor alle applicaties, zoals ook je email app.
Dus ook Hangouts, welke nu extra kwetsbaar blijkt te zijn kan via de PlayStore geüpdatet worden om iets tegen deze exploit te doen.
Maar maakt dat uit? Sinds iOS 8 zijn updates voor ook gewoon in kleine pakketjes vestuurd. (Dus geen gigabytes groot update pakket, maar gewoon 20MB of kleiner), daarnaast duurt zo'n update nog geen minuut.
Daarnaast wordt zo'n OS update redelijk opdringerig gepushed, zodat mensen die er niks van af weten, toch even hun iOS updaten.
Wat vindt jij het voordeel van alles opknippen in kleine stukjes? Als een probleem in de core zit, moet je de core aanpakken, niet er omheen pleisters gaan plakken.

Daarnaast wordt ALLE hardware in een klap ondersteund bij zo'n update, dus telefoons tot 4 a 5 jaar oud, iPads, iPods, etc... Bij Android heb je bij een core-exploit ineens een gigantisch probleem omdat Sony of Samsung of Huawei, of welke andere Chinese producent dan ook geen zin meer heeft om na anderhalf jaar nog een update voor je telefoon te maken. Dan zit je met de gebakken peren.

Dan kun je Hangouts wel een update geven, maar dat zal slechts een lapmiddel zijn voor een exploit in de kernel van Android zit gebakken, dat zou betekenen dat ALLE apps ineens fouten in het OS moeten gaan oplossen.
Want na een update van Hangouts zijn andere apps nog steeds kwetsbaar.
Daarnaast wordt ALLE hardware in een klap ondersteund bij zo'n update, dus telefoons tot 4 a 5 jaar oud, iPads, iPods, etc...
Mijn iPod Touch 4 is nog geen 3 jaar oud. De laatste update van iOS6 is alweer bijna anderhalf jaar geleden. Ik denk niet dat er nog meer volgen :-(
De 4e generatie is uitgebracht in 2010, die's dus al 5 jaar oud.
Kan wel zijn, maar de mijne is toch echt van oktober 2012, dus nog geen 3 jaar oud. De iPod Touch 5 was er toen nog (net) niet, dus ik kocht toch echt het nieuwste model. Nog geen anderhalf jaar later...einde oefening :-(
tja, is natuurlijk ook wel een verschil of je maar 10 verschillende apparaten moet patchen of 1000den...
Dat klopt, maar dat maakt het niet automatisch okee dat ze niet geupdate worden. Het probleem is simpelweg dat er te veel schakels tussen de bron (Google) en de eindgebruiker zitten.
Ik denk dat je iOS8 bedoeld, want iOS9 is nog niet uit (op beta versies na). ;)

Daarnaast heb je die cijfers uit de hoge hoed getrokken, want de daadwerkelijke cijfers zijn heel anders.
https://david-smith.org/iosversionstats/
https://developer.apple.com/support/app-store/
https://mixpanel.com/tren...report_unit:day,to_date:0

Als ik van al deze stats het gemiddelde neem zit bijna 85% van alle iOS gebruikers op iOS8, de laatste versie dus. 13% zit op iOS7 en slecht <2% op iOS6 of lager.

De reden dat Apple de core apps niet uit hun OS haalt en in een aparte app duwt, is omdat deze core apps meestal van de laatste features van het OS gebruik maken, dit opsplitsen zou aan de code zijde gigantisch onoverzichtelijke code opleveren (zoals je bij Android app ontwikkeling continu overal rekening moet houden verschillende API levels) en meer bugs opleveren dan dat het op zou lossen. Daarnaast zijn er op iOS niet zoveel core apps, hooguit Safari en Mail en zoals ik al zei, die worden geupdate door minimale OS updates, die praktisch automatisch gaan.

Daarnaast blijft het lapwerk, core functionaliteit oplappen door apps die er gebruik van maken te patchen, want dat is wat er gebeurd. Dat zal er altijd voor blijven zorgen dat apps die niet meer ontwikkeld worden, of devs die er geen rekening mee houden nog steeds vulnerable zijn.
Je hebt gelijk. Ik doelde uiteraard op IOS8. :-) En laatste keer dat ik checkte op de installaties was maart, erg lang geleden dus. Dat had ik dus beter moeten checken voor ik reageerde. (Zover mijn boetekleed :))
"IOS (want dat zal dan je favoriete platform vast zijn)"
Eh, slechte aanname, er zijn meer mobiele OS'en in de wereld. Ik gebruik Windows Phone.

En in WP komen heel veel updates ook gewoon via de store. Maar OS updates zullen nooit via de store kunnen en zullen dus op Android altijd een groot probleem zijn, waar voor WP die updates juist via Microsoft geïnstalleerd kunnen worden, met eventuele daarnaast vendor specifieke updates (denk aan Lumia Cyan).
Juist, een hoop mensen denken dat oudere android devices niet zomaar meer updates krijgen, maar veel updates verlopen ook gewoon via die playservices. JA grote upgrades krijgen ze niet meer, maar securitypatches nog wel gewoon..
Maar ondank dat ik een Apple hater ben, denk ik wel dat ook bij iOS security problemen ook middels kleine patches afgehandeld worden en niet alleen maar bij grote upgrades..
Android is het meest onveilige OS op de markt dat is al meermaals gebleken dus stop asjeblieft met die onzin te verkopen.
Gekende bugs:
  • Android – 54
  • iOS – 529 (!)
  • Windows Phone – 1 (!)
Ik geef je niet per se ongelijk, integendeel, maar maak je geen illusies. Bugs komen overal voor.

update: man toch manojack wat een vijandigheid... ik zeg toch zwart op wit dat ik je geen ongelijk geef, want ik besef ook wel dat android onveiliger is dan iOS... Bugs zijn slechts bugs, en soms zijn ze te exploiteren... iOS is veiliger, maar maak je geen illusies dat iOS 99.9% veiliger is want het kan razendsnel gaan eens een exploit gevonden is. Zelf heb ik een geroote android (voor adaway en adblock plus + extra privacy instellingen per app) en voel me goed veilig. Echter ik vind deze bug echt alarmerend, en misschien wel dé reden om over te stappen op iOS of WP10... Het ganse updatebeleid van android is gewoon compleet brak... Users blijven in de kou staan. Als bij iOS morgen een serieuze bug ontdekt is die geëxploiteerd zal worden, dan patcht apple binnen de week bijna àlle toestellen (voor zover mogelijk) Google heeft een patch, maar niemand kan 'm toepassen. @monojack Als je nog een dosis bullshit nodig hebt, van mij zal je ze niet meer krijgen. Ik noem feiten op. We zitten hier op tweakers, we zitten niet in de apple store te discussieren hé.

[Reactie gewijzigd door musback op 29 juli 2015 13:21]

Dat zegt toch niks over de veiligheid. We hebben het over veiligheid en niet over het aantal bugs.

iOS is 99,9% veiliger dan Android. Wie dat ontkend verkoopt gewoon bullshit zoals @Xianon deed.

Cybercriminals Give up Targeting iPhones Focusing Entirely on Android
Ik heb nergens gezegd dat Android veiliger is dan IOS of ontkend dat IOS een onveilig OS is. Ik heb ook nadrukkelijk aangegeven geen flamewar te willen hierover, maar dat maak jij er wel van.
Ik gebruik beiden OS'en dagelijks en ken ze goed, zowel hun voor als tegens.
Oversoft hierboven geeft een goede valide reden aan om systeem-apps niet updatebaar te maken via de AppStore, maar dat betekend niet dat ik er anders over denk.
Wat betreft die veiligheid, deze exploit is zonder enige twijfel gevaarlijk . Maar bijna alle exploits die gevonden worden op Android zijn alleen mogelijk als de gebruiker nadrukkelijk bepaalde veiligheidssettings uit zet. En als hij die uit zet wordt hij er nadrukkelijk door Android op gewezen dat dit gevaren op kan leveren en beter niet kan doen als hij niet weet wat deze setting inhoudt.
In die gevallen is Android net zo gevaarlijk als IOS met een jailbreak waar de gebruiker van alles op Internet gevonden apps op gaat installeren.
Als je alle veiligheid settings van Android onaangetast laat en alleen vanuit de PlayStore applicaties installeert is de kans voor de gemiddelde Android gebruiker op een malware besmetting zeer klein.
Ik maak er geen flamewar van ik noem gewoon de feiten en de feiten zijn dat iOS veiliger is dan Android. Ik verwijs ook niet naar jou in mijn reactie als degene die onzin verkoopt.

Een gejailbreakte iPhone is natuurlijk even gevaarlijk als Android. Gelukkig is er minder behoefte bij iPhone gebruikers om hun toestellen te jailbreaken dan dat er blijkbaar behoefte is om een Android foon te rooten.
CVE's zeggen werkelijk niks over hoe veilig een OS is. Je zegt het zelf al, het gaat over bugs.
Het gaat erom of de bugs uitgebuit kunnen worden door een exploit. Dat is iets wat hier belangrijk is.

Dit betreft een bug die met een drive-by-aanval root kan geven. Dat is meer kritiek dan welke iOS-bug dan ook van de afgelopen 4 jaar, toen de jailbreak voor iOS 4.3.3 uit kwam. Dat was een userland exploit, dus die zou mogelijk ook in een drive-by aanval gebruikt kunnen worden.
Dat het een van de minst veilige OS's is op de mobiele markt, ben ik het wel mee eens. Dat je persé een antimalware/virus nodig hebt omdat het aantal malware niet bij te houden is, daar ben ik het weer niet mee eens.

Ja het voegt extra veiligheid inderdaad toe, maar zolang je applicaties zo veel mogelijk via de play store installeert, en ook naar de comments/beoordelingen kijkt, kun je al veel leed voorkomen. Al helemaal als je gewoon voorzichtig bent met wat voor apps je installeert.

De problemen worden groter wanneer de gebruiker installaties van buitenaf installeert, dus via externe partijen. Root kan ook problemen geven, maar tegelijkertijd ook juist meer veiligheid omdat mensen (die er verstand van hebben), het kunnen tweaken of bepaalde anti virus/malware solutions kunnen installeren die handig gebruik maken van root om een telefoon goed te kunnen beschermen. Dit is wel een ander verhaal (geld dus niet voor de massa).

Desondanks vind ik deze exploit wel erg zorgwekkend, zelf ben ik aan het overwegen om toch weer terug te gaan naar Windows Phone. Ik heb de update en fragmentatie van android altijd ergerlijk gevonden, ook op de Moto devices, die een stuk betere update garantie hebben. Ik gebruik momenteel een Moto X 2014
Meer gebruikers dus meer mensen die rotzooi ervoor maken
Toen iOS nog een veel groter marktaandeel had dan Android was het aantal malware op iOS ook al nagenoeg nihil en dat van Android liep al tegen de duizenden aan. Dus het aantal gebruikers heeft er niks mee te maken anders was het plaatje toen omgekeerd geweest.
Ja inderdaad, core Android updates zouden direct van Google moeten komen (eventueel iets nadat wij met de Nexus-devices als Beta-testers hebben opgetreden), en de rest van wat de fabrikanten nog toevoegen mogen ze in hun eigen tempo doen.

Waar bij defabrikant natuurlijk het api-level aangeeft :+
De gevaarlijkste bugs zijn de gene die we niet kennen en waar we ook niet op kunnen reageren.
Dat lijkt in theorie wel waar maar in de praktijk valt dat gevaar erg mee omdat je zero days waarmee op het internet aanvallen gedaan worden veelal ook snel kan detecteren met honeypots en intrusion detection software.
Alleen als het in heel specifiek doelgerichte aanvallen wordt gebruikt kan een zero day langere tijd gebruiket worden. Denk aan stuxnet dat heel specifiek bij een kleine groep iraanse atoom onderzoekers werd verspreid en dat pas gedetecteerd werd toen het zich ook over het internet begon te verspreiden.

Het publiceren van exploits levert veel grotere gevaren omdat malware verspreiding over het internet grotendeels gebeurt met commerciele toolkits die grotendeel gebaseerd zijn op gepubliceerde lekken en vooral gepubliceerde exploits.
Ik ben het wel met je eens, maar je geeft zelf het probleem al in dit geval.
"De gevaarlijkste bugs zijn degene die we niet kennen en waar we ook niet op kunnen reageren."

We kennen hem nu, maar het probleem met Android is nu net dat er heel moeilijk op gereageerd kan worden. Of in ieder geval bij lange na niet in de mate die wel nodig is in zo'n geval.
Er zit meer achter, de reden om het naar buiten te brengen is om mensen bewust te maken van het gevaar.
Maar dan nog. Als je weet dat de buren hun sleutel in de plantenbak in de tuin verstoppen laat je dat toch niet aan inbrekers weten om zo je buren ervan bewust te maken dat het niet veilig is.
Wat is dan je alternatief? Zwijgen en hopen dat geen enkele hacker het gevonden krijgt? Door het naar buiten te brengen kan je aan mensen aantonen hoe kwetsbaar ze wel niet zijn en kan er ook eens wat druk komen op fabrikanten om betere ondersteuning te geven op hun toestellen. Het kan toch niet zijn dat MS bekritiseerd word omdat ze na 14 jaar de stekker uit Windows XP trekken terwijl we aan de andere kant zomaar aanvaarden dat een telefoon die even goed online gaat amper tot geen updates krijgt.
De (feitelijke) handleiding die ze gaan geven achterwege laten.

Tuurlijk gaan er kwaadwillenden hetzelfde trucje kunnen reproduceren, maar als je er een handleiding van uit geeft wordt het aantal kwaadwillenden die er wat mee kunnen opeens bijzonder veel groter.

Overigens ken ik niemand die MS het beindigeren van XP kwaad neemt... Dat is ruim van tevoren aangekondigd EN op de systemen die XP draaien kun je overstappen op een alternatief. En dat overstappen middels een fijne GUI is iets wat de Android-gebruikers dus niet kunnen.

(Ter verduidelijking: de exploits in software van anderen die Google prijs gaf waren toch niet (alleen) in XP?)
De (feitelijke) handleiding die ze gaan geven achterwege laten.
Aangezien android open-source is, is de fix voor deze bug ook beschikbaar voor iedereen. Met de fix kan je al een stuk eenvoudiger zien wat de exploit dan moet zijn.
Als zij het niet doen, hoe lang denk je voordat de instructies ergens anders opduiken waar het misschien minder algemene publiciteit krijgt? En wat heb je liever: een exploit die door elk script kiddie word gebruikt en waar mensen zich tegen gaan wapenen of een exploit die door enkelingen word gebruikt maar waarmee men veel meer schade zal gaan aanrichten omdat niemand weet dat ie misbruikt word?

En wat XP betreft: jawel hoor. Er zijn heel veel mensen die het slecht van MS vinden dat ze XP laten vallen, net zoals het feit dat nieuwe IEs of een nieuwe DX niet naar XP werd geport.
Elke industrie moet eerst flink op zijn neus vallen voordat er radicaal dingen gaan veranderen, helaas. Ik hoop dat de exploit-kit de fabrikanten aanspoort om haast te maken, en ook zeker niet de "ouderen" toestellen te negeren.
Het is erg naïef om te denken dat dit lek al niet gevonden is door andere hackers.

Het is één ding om een heel besturingssysteem te zoeken naar lekken, maar er is inmiddels zoveel informatie over naar buiten gekomen dat het volgens mij al lang en breed bekend is in de hacker wereld.
Er is niet een club die zich hackers noemt die alle exploits met elkaar delen he?

Leuk dat ze het een level playing field maken voor alle hackers, maar daar heeft de consument zo weinig aan.
Er gaat erg veel geld om in 0-day exploits op het darkweb. Dus de kans is best aanwezig dat de exploit al gevonden is door een hacker die het verkocht heeft op de zwarte markt.
Er is niet een club die zich hackers noemt die alle exploits met elkaar delen he?
Heb je niet eens een club voor nodig. Iedereen die nu.nl leest weet dat er een lek zit in bijna alle Android versies en dat de vulnerability in het afhandelen van videos zit (bijvoorbeeld via Hangouts).

http://www.nu.nl/tech/409...r-telefoon-overnemen.html
Door code in een mms'je of een bericht op Google Hangouts te verstoppen kan de gehele telefoon worden overgenomen. De kwetsbaarheid zit in het systeem voor video's.

Daardoor kan bijvoorbeeld in een video code gestopt worden, die in Hangouts automatisch wordt ingeladen. Zelfs als het hele bericht niet bekeken wordt, kan de controle over de telefoon worden overgenomen. Bij een mms moet het berichtje wel geopend worden, maar de gebruiker hoeft geen bestand te downloaden of op een link te klikken.
Hier heb je eigenlijk al een berg nuttige informatie die de zoektocht naar het lek zodanig verkleind dat je veel gerichter kunt zoeken. Als je vervolgens een paar reacties doorleest zijn er altijd wel mensen die er verstand van hebben die iets roepen die het zoeken nog gerichter maken. Ik zie vervolgens een hacker die niet weet wat hij de zondagmiddag moet doen en hoppa, gevonden, want hij weet waar hij moet zoeken.
Doordat Microsoft de touwtjes zelf strakker in de handen houdt vwb updates spreekt Google nog niet vrij van verantwoordelijkheden. Dan moet Google maar zelf zorgen dat ze dit soort zaken centraal kunnen patchen in toekomstige Android toestellen. Dit is een serieuze designflaw in Android, iets wat al jaren bekend is. Google onderneemt daarvoor te weinig acties.
Het zou fijn zijn als aanpassingen op het systeem door fabrikanten modulair zou zijn, en dat als een aanpassing van een fabrikant niet wordt vrij gegeven voor een nieuwe versie de default onties van android gebruikt worden. ( settings menu / launcher / achtergronden / andere aanpassingen)

zodat bijvoorbeeld de S3 een vanilla versie zou worden, in plaats dat er niet wordt geupdate omdat de hardware de bloatware niet trekt.(en er een nieuw S3 model in het leven wordt geroepen)
... De realiteit voor veel Android gebruikers gaat zijn dat ze een nieuw device moeten gaan aanschaffen om het probleem verholpen te zien voor ze. (Nee, custom roms draaien is geen oplossing voor de massa)
Als je dat vervelend vindt, dan kan je natuurlijk ook overwegen over te stappen naar Microsoft of Apple. Dat zou de prijs kunnen zijn die Google betaalt voor een slecht update proces via de fabrikanten van toestellen.
Kwestie van een nexus kopen lijkt me, om nu over te stappen naar gesloten systemen (iOS/bbOS/windows) waar je volledig (100%) afhankelijk bent van de ondersteuning van de fabrikant en de keuzevrijheid afwezig is lijkt me alleen maar meer gedoe opleveren.

Mijn oude s2 draait lekker op 5.1.2 terwijl mijn ipad1 al jaren niet meer bij te werken is en zo lek als een mandje is (= onbruikbaar), uiteindelijk is het bij alle apparaten belangrijker om te kiezen voor diegene die zijn software bijwerkt maar ook in het oog houden dat je zonder de ondersteuning van de fabrikant er ZELF nog iets aan kan doen (zoals het geval is bij android toestellen).
Count me in! Daaag Samsung/Google, Hallo Microsoft...
just did that. Exact dit soort problemen met Android hebben me naar WP gedreven, zeker na diverse custom roms die soms meer ellende gaven dan ze oplostten. OK WP is minder tweakbaar, maar dat wil ik dan ook niet voor een telefoon waar ik vrijwel blind op moet kunnen vertrouwen.
IOS was ook een optie, maar te duur voor leuk
In feite vind ik het huidige smartphoneaanbod wat dat betreft erg zwak. Als je eind 2013 nog een iphone 4 hebt gekocht, dan is die vandaag nog geen 2 jaar oud en krijg je ook geen patches meer. Wat heb je dan gewonnen? Even nieuwe iPhone kopen dan?
Ik ben het met je eens dat het in geen enkel geval sympathiek is om exploit instructies naar buiten te brengen terwijl gebruikers kwetsbaar zijn. Dat gezegd hebben, Google krijgt hier wel een koekje van eigen deeg omdat ze zelf ook menen security exploits naar buiten te moeten brengen van anderen, ongeacht of die klaar zijn met een patch of niet.
Waarom niet? Wat is het alternatief? Exploits in de doofpot stoppen zodat niemand zich er tegen kan wapenen?

Security through obscurity is jezelf voor de gek houden.

[Reactie gewijzigd door MarcoC op 28 juli 2015 11:45]

Het alternatief is verantwoordelijken de tijd geven om een patch uit te brengen. Wat bedoel je met "wapenen"? Hoe wil jij je wapenen tegen een exploit die niet gepatched is en waarbij de handleiding doodleuk openbaar gemaakt wordt?
Hoe wil je dit probleem oplossen? En hoe wil je dit probleem verborgen houden? Vanaf dat duidelijk word dat er een probleem bestaat met de meta data van videos gaan vele mensen de code van dat deel van Android beginnen doorspitten tot ze het gevonden hebben.

En de patch bestaat al, er is alleen niemand die weet hoe je hem op zowat 90% van de android toestellen moet gaan uitrollen omdat er geen enkel centraal update mechanisme is en vele fabrikanten oudere (en zelfs nieuwe toestellen) niet meer ondersteunen.
Hoe dit op te lossen? De exploit info, en hoe deze te misbruiken, exclusief doorspelen aan de fabrikanten, in plaats van openbaar maken tegen ongewapende gebruikers.

Door de exploit al voortijdig te publiceren breng je gebruikers per direct in nodeloos gevaar.
En daarmee riskeren dat de fabrikant het een laag prioriteit geeft en niet oplost, aangezien niemand buiten het bedrijf het weet.

Ik vind het juist goed dat fabrikanten een deadline krijgen opgedrongen, naar mijn mening een goede drukmiddel.
Dat is nu dus al, aangezien er blijkbaar al een patch is die wordt uitgerold, en daarmee dus beschikbaar is voor alle fabrikanten..
De patch is al uitgebracht, het duurt alleen nog een paar maanden voordat de telefoon fabrikanten hem uitrollen.
paar jaar.. of helemaal niet... Gaat tante Truus met een low end Wolfgang telefoon van de Aldi dit uberhaupt begrijpen? Juist hierin hebben fabrikanten een grote rol en verantwoordelijkheid.
Google geeft 3 maanden de tijd om een exploit te fixen, meer dan 3 maanden over een fix doen is juist het probleem: dat stelt alle gebruikers immers voor langere tijd bloot aan een exploit die mogelijk al breder bekend is.
Deze exploit werkt niet meer op bijgewerkte android systemen, de patch/oplossing is er dus al en je vergelijking gaat dus mank.
Google geeft....is het hele probleem. Het is niet aan Google om te bepalen hoe lang een fabrikant doet over het leveren van een patch voor software die niet van henzelf is.
Persoonlijk vind ik die 3 maanden nog te lang, het is in het voordeel van iedereen dat google op deze manier softwaredevelopers dwingt om hun lakse beleid mbt beveiligsgaten te herzien.
Security through obscurity (wat jij lijkt aan te hangen) werkt niet.
Ik ben helemaal voor het oplossen van problemen, ik heb alleen een probleem met bedrijven die menen het recht te hebben om gebruikers van een ander produkt bewust in gevaar te brengen door exploit informatie vroegtijdig te publiceren.

Ze kunnen het ook gewoon netjes oplossen. De fabrikant informeren. En wanneer die echt totaal niet reageerd, dan kunnen ze eventueel melden dat er een exploit is gevonden. Maar NIET inclusief handleiding hoe deze ook nog eens uit te voeren.
Dat is dus precies wat google doet, netjes de fabrikant informeren en vervolgens pas na een relatief lange termijn de boel openbaren (om op die manier nalatige bedrijven te dwingen).
Maar tot hoever kan dit in een android versie een exploit worden? Gaat het zelfs zover terug tot 4.4 of zelfs lager? De update-lifecycle van telefoons is niet bijzonder groot, ik verwacht ook dat er nog nog pas een marginaal deel op 5.1 draait.
Ik geloof dat de onderzoeker zelf spreekt dat alle telefoons vanaf Android 2.2 kwetsbaar waren... Héél véél telefoons dus

Edit:
Android and derivative devices after and including version 2.2 are vulnerable. Devices running Android versions prior to Jelly Bean (roughly 11% of devices) are at the worst risk due to inadequate exploit mitigations.
Edit 2: Zodra de exploit bekend gemaakt zal zijn ga ik hem eens testen in combinatie met iets zoals dit: https://play.google.com/s...ootcallblocker.beta&hl=en. Eens zien of dat een (tijdelijke) patch kan vormen :)

[Reactie gewijzigd door azerty op 28 juli 2015 18:18]

Volgens Google's dev site gebruikt 0.8% Android 5.1
Dus 99,2% van alle Android toestellen zijn kwetsbaar?
Hoe gaat dit met alle toestellen die geen 5.1 krijgen? of die nog op 4.x blijven steken?
Een andere oplossing aanbieden he door het toestel niet naar 5.1 te brengen maar puur de security issues te patchen / update.
Van HTC weet ik toevallig dat hun dit redelijk goed doen, waarbij ook oudere toestellen met dit soort mankementen wel security updates krijgen maar geen totale OS update.
Nu zal HTC niet echt balen, maar een gigant als Samsung die gewoon ik ontelbaar veel verschillende toestellen heeft die geen 5.1 krijgen staat nu denk ik met zweet in de handjes :D
Nee hoor. Ik heb Samsung ook wel eens aangesproken op security issues toen ik nog een samsungtoestel had. Hun letterlijke reactie was " Wij kunnen niets voor u doen".
Wel eerlijk van Samsung , zak in de ... ,updates krijgt u niet.
Ik heb dezelfde reactie gekregen op mijn vraag wanneer de Tab7.7 de (bij aankoop al) beloofde update naar ICS zou krijgen.
Via xda inmiddels zelfs al op 5.1 dus echt een kwestie van niet willen bij Samsung.
Security fixes backporten lijkt me toch het minste wat ze kunnen doen.
Nee tuurlijk niet, StageFright is geintroduceerd met Android 2.2 dus daaronder is deze exploit niet aanwezig...
Dan zou het wel heel slecht zijn als Google alleen daar een fix voor uitbrengt. Dat helpt dus vrijwel niets. Ook wel makkelijk voor Google om nu direct naar de leveranciers van toestellen te wijzen. Google heeft er ook alle belang bij dat hun Android als betrouwbaar bekend staat. Als er een keer een exploit grootschalig gaat worden misbruikt, dan kan Google zijn Android wel inpakken. De reputatie is dan om zeep geholpen. Laten we hopen dat het niet deze exploit zal zijn.
Niet om specifiek Android te bashen, maar volgens mij heeft Android allang de reputatie dat het onveilig is. Het is niet zo dat ze een goede reputatie hebben om te verliezen.
Je gaat je dan toch afvragen waarom de meute het dan toch gebruikt..
Goedkoop en heel veel keus. Meer kan ik er niet van maken.

Het is een goede vraag. De enorme dominantie van Android zou je laten denken dat het wel een extreem goed systeem moet zijn, maar daar heb ik enorme twijfels bij.
Ik meen te hebben gelezen dat de exploit zelfs nog terug te vinden is t/m 2.2 (froyo). Dus helaas, een hoop potentiële besmetbare apparaten.
Een simpele oplossing zou waarschijnlijk zijn om je telefoon te rooten en alle MMS berichten te blocken. Bv.: https://play.google.com/s...ootcallblocker.beta&hl=en
Ook zonder root kan je MMS blokkeren, zie onderstaande stappen:
http://android.stackexcha...e-issue-wit/116493#116493
Maar ga je dan ook alle filmpjes beginnen blokken die je op het internet tegenkomt? Of wat dacht je van iemand die je een schijnbaar grappig filmpje doorstuurt? We gebruiken onze smartphone net enorm veel om media te consumeren.
Daarvoor wordt NuPlayer tegenwoordig standaard gebruikt. NuPlayer gebruikt hiervoor HTTP Livestreaming en niet de Stagefright module waar het lek in zit.
Wellicht is Google hier stiekem wel blij mee. Ze zijn volgens mij nooit echt content geweest met de toevoegingen en aanpassingen van de fabrikanten. Het liefst zouden ze de hele keten van software onder controle willen hebben maar de fabrikanten wilden dat natuurlijk niet want dan onderscheiden ze zich uitsluitend op hardware en niet meer op software. In principe zouden het dan allemaal Nexus'en zijn.

Wellicht is deze mega exploit nu weer een nieuwe kans voor Google om dit idee te herlanceren bij de fabrikanten. De grootste tegenstander is Samsung, als ze die om weten te krijgen dan volgt de rest vanzelf. Maar ik verwacht niet dat Samsung dat zo maar doet.
De Stagefright engine die gebruikt wordt om video af te spelen is onderdeel van de Media API's van Android zelf... Dus het probleem is door hun zelf geintroduceerd en niet door 3de partijen, als in de fabrikanten van toestellen (stagefright is ook van een derde partij)...
http://source.android.com/devices/media.html
Waar robertwebbe op duid is dat door alle aanpassingen en custom software van fabrikanten updates eeuwig op zich laten wachten of gewoon nooit uitkomen.

Wanneer alle fabrikanten stock android gebruiken dan wordt updaten opeens een stuk makkelijker. Je zorgt dat je drivers up to date zijn en je kunt een update uit rollen die kritieke bugs zoals deze Stagefright bug oplost.
dat zijn de voordelen, de grootste nadeel is natuurlijk differentiatie, of eigenlijk het ontbreken daarvan.... Je kunt je dan erg moeilijk differentieren van andere fabrikanten, dan komt het op neer dat het alleen op hardware-niveau en design van de behuizing kan... Je zult als fabrikant weinig input hebben over de user experience die je wilt aanbieden aan je gebruiker.... Of allerlei slimmigheden die je in je eigen meegeleverde software/skin hebt gebouwd....
Ik gebruik altijd het csutom ROM ecosysteem als voorbeeld : je hebt er een aantal met heel veel gebruikers (denk CM), dus er is vraag naar meer dan alleen vanilla Android... Dan nog zie je genoeg mensen die zich helemaal niet kunnen vinden in CM en overstappen naar een andere custom ROM...
Persoonlijk geloof ik niet zo erg in alleen vanilla Android, daarmee dek je simpelweg de lading (of in dit geval de vraag) niet mee....
Het grappige is dat je in elke Android release wel weer een paar nieuwe ingebakken slimmigheidjes zijn die zijn afgekeken van de andere fabrikanten, die voorstuwing ben je dan ook kwijt....
Ja maar nu kunnen ze wel heel gemakkelijk lui zijn en niet alles updaten.

Als ze willen differentiëren van andere fabrikanten dan schrijven ze maar hun eigen OS met een engine om Android apps te laten lopen. Mogen ze zelf hun zooi up to date houden.

Nu heb je een gefragmenteerd ecosysteem waar iedereen net een ander sausje over de software gooit en na 1-2 stock updates telefoons links laten liggen.

Ik durf er niet aan te denken hoeveel mensen straks kwetsbaar zijn voor deze bug. Denk aan alle verschillende fabrikanten en de tientallen zo niet honderden verschillende toestellen (als we het wereldwijd bekijken) die geupdate moeten worden. Dit wordt rampzalig.

Het wordt tijd dat fabrikanten hun verantwoording nemen. Het geld dat ze uitsparen door Android te gebruiken en niet hun eigen software te schrijven mogen ze nu stoppen in het up to date houden van hun hardware.

Doe mij maar Apple's ecosysteem (inb4 haters)

[Reactie gewijzigd door s1h4d0w op 28 juli 2015 12:30]

Tjahs bij iOS heb je ook fragmentatie, in mindere mate maar gewoon aanwezig... Als ze nu een expolit ontdekken dan is het de vraag of de toestellen die niet met de nieuwste versie van het OS zijn uitgerust een update krijgen, het zijn immers EOL producten (die dan nog wel in gebruik zijn) en daar wordt niet meer in geinvesteerd vanuit de fabrikant...
Je zult bij ieder systeem fragmentatie hebben, alleen is die bij iOS wel historisch laag. Statistieken tonen dat meer dan 80% van alle gebruikers ondertussen op iOS 8.x zitten. Dat terwijl er iets meer dan 12% van de Android gebruikers nu Android 5.x gebruiken.

Dat is toch echt een verschil van hemel en aarde, een rechtstreeks gevolg van de fragmentatie. Je kunt dan in vergelijking amper spreken van fragmentatie bij iOS.

Daarnaast krijgen alle iPhones tot en met de 4S gewoon nog updates. Dit is in het geval van de 4S dus ondertussen al bijna 4 jaar aan support. Dat wil ik wel eens zien bij een gemiddeld Android toestel.

Edit: "tot de 4S" veranderd naar "tot en met de 4S"

[Reactie gewijzigd door s1h4d0w op 28 juli 2015 15:31]

en als we daar even op door gaan (differentiatie) wat is dan het verschil met de pc/laptop boeren van deze wereld over vele vele jaren dat ze bestaan?
Hoe differentiëren zij zich dan al deze jaren? Windows pasten ze niet echt aan, ja ze leveren allemaal zeker in het verleden heel veel bloatware mee waar niemand op zat te wachten..

Maar het os (windows) was gewoon het os..
Het is meer dat deze fabrikant-specifieke OS versies eerst nog door de fabrikant zelf moeten worden aangepast voor de patch kan worden uitgerold. Dit kan maanden duren, als ze uberhaupt al kiezen om een toestel te patchen.
Aangezien het probleem in de laatste versie van android al niet meer aanwezig is lijkt het me toch echt een probleem van die 3e partijen, aangezien die de software op hun apparaten niet laten bijwerken.
Wellicht is Google hier stiekem wel blij mee. Ze zijn volgens mij nooit echt content geweest met de toevoegingen en aanpassingen van de fabrikanten. Het liefst zouden ze de hele keten van software onder controle willen hebben maar de fabrikanten wilden dat natuurlijk niet want dan onderscheiden ze zich uitsluitend op hardware en niet meer op software. In principe zouden het dan allemaal Nexus'en zijn.
Waarom zou Google hier blij mee zijn. Ze moeten nu flink wat overuren draaien om de exploit te kunnen fixen en daarbij fabrikanten overhalen om het te pushen naar hun telefoons. Het laatste is het grootste probleem van Google, aangezien grotendeels van de fabriekten geen super support hebben. Nu hebben ze dele opgelost met Google services en kunnen ze updates uitrollen naar android telefoons, maar dit geldt weer niet meer met Android 4.3 en lager. Die worden niet gesupport. Laat nou net meer dan 50% van alle Android users 4.3 en lager hebben.

Zo zijn er fabrikanten zoals Samsung die met Android de enterprise markt in willen gaan en bieden software om het te kunnen implementeren en beheren. Als Goolge niet heel snel met een fix komt wordt het nog heel moeilijk om nog geloofwaardig over te komen als goede software vendor. Ze zijn al super klein in de enterprise wereld en dit gaat ze zeker niet helpen om te groeien. Ze geven daarbij in het verleden ook af op Microsoft op hun update beleid, maar Microsoft heeft het mijn inziens beter op orde met betrekking tot EOL model, security beleid en communicatie naar de fabrikanten toe.

[Reactie gewijzigd door vali op 28 juli 2015 11:48]

Voor het fixen zijn geen overuren nodig. Enkele regeltjes code die aangepast moeten worden. Het uitrollen van die patch is dan weer een probleem waar zij niet veel aan kunnen doen. Zij maken de patch beschikbaar voor iedereen en rollen hem uit naar alle toestellen die zelf ondersteunen. Meer kunnen ze niet doen.

Wat dit is, is een PR nachtmerrie. Als je de flash vulnerability van enkele weken terug neemt dan weet je dat deze minstens even ernstig is, minstens evenveel devices treft en dat een simpele patch niet zomaar te regelen valt.

Vanuit de enterprise markt zullen niet veel klappen komen. Die zien wel dat Google snel gereageerd heeft en snel de patches beschikbaar heeft gesteld maar dat er vanwege het open source en vrije karakter van Android geen mogelijkheid is om dit naar alle toestellen uit te rollen vanuit Google.
Vanuit de enterprise markt zullen niet veel klappen komen. Die zien wel dat Google snel gereageerd heeft en snel de patches beschikbaar heeft gesteld maar dat er vanwege het open source en vrije karakter van Android geen mogelijkheid is om dit naar alle toestellen uit te rollen vanuit Google.
Ik denk toch dat je je daarin vergist. Google bepaalt het business model. Zo is het ook hun keuze dat deze update via een system image moet, en niet via een play store update kan. Nu is dat misschien in de huidige architectuur ook niet mogelijk (ik zou het niet weten), maar ook die heeft Google bepaald.

Het updateverhaal van Android, daar zit iets goed fout aan. Dat is Google's verantwoordelijkheid imho.
[...]
Ik denk toch dat je je daarin vergist. Google bepaalt het business model. Zo is het ook hun keuze dat deze update via een system image moet, en niet via een play store update kan. Nu is dat misschien in de huidige architectuur ook niet mogelijk (ik zou het niet weten), maar ook die heeft Google bepaald.

Het updateverhaal van Android, daar zit iets goed fout aan. Dat is Google's verantwoordelijkheid imho.
- Verantwoordelijkheid ligt bij de fabrikanten die telefoons uitbrengen.

Deze positie van Google, die al jaren zo is, is de positie waarin Google zich vanaf het begin zich in heeft gemanoevreerd. Hiermee zijn ze ook zo successvol geweest en gegroeid als kool. Hadden ze meer verantwoordelijkheid genomen dan waren er waarschijnlijk patent zaken richting google gekomen (die nu op de fabrikant werden gespeeld).

Het was een kwestie van tijd dat ze werden ingehaald door deze opstelling. De vraag is hoe ze hier op gaan reageren (en dat scenario ligt denk ik al jaren klaar)
Het lijkt waarschijnlijk dat ze voor de nieuwe telefoons beleid aan gaan scherpen. Echter, is dit voor de telefoons die reeds op de markt zjn niet te doen en hoeft een manufacturer ook helemaal niet te luisteren.


We zullen komende jaren zien, of google heeft gegokt en gewonnen/verloren
Voor het fixen zijn geen overuren nodig. Enkele regeltjes code die aangepast moeten worden. Het uitrollen van die patch is dan weer een probleem waar zij niet veel aan kunnen doen. Zij maken de patch beschikbaar voor iedereen en rollen hem uit naar alle toestellen die zelf ondersteunen. Meer kunnen ze niet doen.
Het zijn enkele regels code, maar aangezien ieder Android toestel anders is moet het wel getest worden. Op dit moment laten ze dit over aan de fabrikanten, maar als ze willen dat het sneller gaat zouden ze samen kunnen werken om de patch sneller uit te laten rollen.
Vanuit de enterprise markt zullen niet veel klappen komen. Die zien wel dat Google snel gereageerd heeft en snel de patches beschikbaar heeft gesteld maar dat er vanwege het open source en vrije karakter van Android geen mogelijkheid is om dit naar alle toestellen uit te rollen vanuit Google.
Niet veel klappen vangen? In de enterprise markt wil je zo snel mogelijk dit soort gaten dichten, maar als de fabrikanten die Android leveren de update niet bieden, hoe kan je het dan uitrollen? Op dit moment biedt Google dit niet met Android en ze zetten zich zeker niet in een goed daglicht voor bedrijven die eventueel wilde overstappen naar Android.
Wat dit is, is een PR nachtmerrie. Als je de flash vulnerability van enkele weken terug neemt dan weet je dat deze minstens even ernstig is, minstens evenveel devices treft en dat een simpele patch niet zomaar te regelen valt.
Mijns inziens is deze exploit aanzienlijk stukken erger dan de flash vulnerability. De fix was namelijk zeer gemakkelijk uit te brengen op elke device, in tegen stelling tot deze exploit. Het enge aan deze exploit is dat flash zeer gemakkelijk uit te zetten was om veilig te zijn, maar hier kan men vrij weinig aan doen.

[Reactie gewijzigd door vali op 28 juli 2015 12:07]

En ik kan nog steeds vrolijk telebankieren, visa zaken bekijken etc. op de Samsung SII 8)7
Wellicht is deze mega exploit nu weer een nieuwe kans voor Google om dit idee te herlanceren bij de fabrikanten.
Ik vraag mij af, of zowel de fabrikanten zitten te wachten op nog meer googlificatie van het Android platform. Nu is het al dat google diensten (maps, wallet, Google+,Google Analytics, Google Drive, Google Fit, Google Mobile ads, Google Cast en andere google diensten) al een preferente positie in de APi's hebben op het os.


Als consument heb ik liever een 'Security update systeem' zoals ms heeft op windows pc's op android. Zeker dit probleem zit heel precies in een framework, dat echt van google zelf is. Het is heel apart dat ze hun eigen framework op oudere Android versies gewoon niet eens zelf kunnen onderhouden. Precies hetzelfde geldt eigenlijk voor het webviewer probleem. Dat zit ook in google's eigen code, maar google kan het op oudere versies niet fixen.

Als fabrikanten niet meer hun telefoons niet meer mogen inrichten zoals ze zelf willen, wordt het voor hen misschien ook wel opnieuw interessant om gezamenlijk een nieuw os te omarmen.
Volgens mij heeft Samsung daar Tizen voor ontwikkeld. Maar het is tot nu toe meer als leverage gebruikt naar Google dan dat ze het ook echt op toestellen hebben gezet.
Wellicht is Google hier stiekem wel blij mee. Ze zijn volgens mij nooit echt content geweest met de toevoegingen en aanpassingen van de fabrikanten.
De tweede zin klopt wel: Google had graag meer controle over het geheel gehad; ze zijn stiekem jaloers op Apple.

Maar ze zijn hier helemaal niet blij mee! Als deze exploit echt op grote schaal wordt ingezet door criminelen, dan is 90% van alle huidige Android telefoons in één klap schroot geworden, en drijft dat de gebruikers naar Apple en Windows Mobile.
Natuurlijk, er is dan enorme imagoschade voor Android. Het is denk ik ook geen bewuste strategie geweest van Google maar nu het balletje nu eenmaal zo gerold is, komt het oude scenario vanzelf weer naar boven als beste oplossing voor iedereen.

Aan de andere kant, ik ken heel veel Samsung gebruikers die weinig tot geen kennis en interesse hebben voor techniek (de zogenaamde "users"). Ze kochten Samsung "omdat het een goed merk is" en dat zullen ze blijven doen. Mensen stappen pas over van merk of platform als hun oude merk of platform ze teleurgesteld heeft. Zolang ze er persoonlijk geen last van hebben gehad weten ze er niets van en blijven ze onwetend hun kwetsbare Android gebruiken.
Ja, want Samsung gaat na het vinden van een exploit direct Android vanilla leveren op al hun toestellen. ;(
Bij de smartwatch variant van android hebben ze al veel strakkere voorwaarden gesteld, en volgensmij is dat ook voor 5 en verder..
waarom de exploit vrijgeven als je nu al 100% zeker weet dat niet alle toestellen gepatched gaan worden? Ik dacht dat het vrijgeven altijd gebeurde om fabrikanten onder druk te zetten om het te patchen? ik kan er kanon op zeggen dat dit lek misbruikt gaat worden.
Wie zegt dat dit lek vandaag al niet actief misbruikt word? Security trough obscurity bestaat niet. De exploit is bekend, de patch is bekend, waarom dan niet iets opzetten waarmee mensen zelf kunnen vaststellen dat ze kwetsbaar zijn en daardoor voorzichtiger gaan omspringen met videos uit vreemde bron?
Wie zegt dat dit lek vandaag al niet actief misbruikt word?
Er is nog geen enkele bericht dat de exploit in het wild aangetroffen zou zijn. Dus ofwel het lek wordt niet misbruikt of op een zo beperkte schaal dat er nog gen enkele security onderzoeker of organisatie het lek voorbij heeft zien komen.

Dan is het onzin om de exploit te publiceren zodat je de garantie hebt dat in no time de exploit wel massaal misbruikt gaat worden.
Zo zijn ook uit de data van hakcing team enkele exploits overgenomen in hacking toolkits waardoor miljoenen mensen direct een grotere kans lopen om gehackt te worden.
Security trough obscurity bestaat niet.
Dat is een vaak misbruikte kreet maar reeel gezien bestaat dat juist wel. Alle belangrijke hacktools blijken juist volop gebruikt te maken van door security researchers gepubliceerde (en veelal gepatchte) lekken. Het publiceren van lekken en vooral het publiceren van exploits leidt dus duidelijk een toename van de onveiligheid.
Bij misbruik denk ik toch altijd eerst aan de obscurity zelf.

Mogelijk zou je gelijk kunnen hebben als je stelt dat de timing precair is, je wilt de exploit niet zo vroeg uitbrengen dat er gebeurt wat jij beschrijft, maar ook niet zo laat dat de mensen die er wel van moeten weten (zoals alle gebruikers), in het duister blijven tasten.

Hoe dan ook is het een keihard feit dat zodra de eerste patch uit is, de exploit op straat ligt. Dat is het moment van de timing; dingen daarna onder de pet houden is wel degelijk onveilige obscurity. Daar zit volgens beleid van Google trouwens 90 dagen marge in, lijkt me lang genoeg om een patch te bouwen.

Nou ik er zo over denk, zou het best kunnen dat je twee dingen doorelkaar haalt en je uitspraak daardoor veroorzaakt wordt:
- het publiceren van een gat
- het uitbrengen van een ready-to-run exploit waar scriptkiddies mee aan de haal kunnen gaan

In dat geval zou je misschien toch gelijk hebben, want die ready to run exploit wil je liever niet in het wild tegenkomen. Dat heeft echter NIETS met misbruik van de kreet 'security through obscurity' te maken, maar alles met de manier waarop je een eind maakt aan die obscurity.

[Reactie gewijzigd door mae-t.net op 28 juli 2015 12:23]

, je wilt de exploit niet zo vroeg uitbrengen dat er gebeurt wat jij beschrijft, maar ook niet zo laat dat de mensen die er wel van moeten weten (zoals alle gebruikers)
Ik wil eigenlijk NOOIT exploits publiekelijk gepubliceerd zien.
De toegevoegde waarde van publieke publicatie van exploits lijkt me zo goed als nul.
Deze hebben hoogstens nut voor onderzoeksdoeleinden door gerenomeerde security researchers van bijvoorbeeld universiteiten en zouden ook alleen vor dergelijk doelen vrijgegeven moeten worden.

Lekken melden mag van mij snel (bijvoorbeeld 90 dagen na het melden bij de software leverancier is prima).
Met name focus op hoe je te beschermen als gebruikers van de software maar niet inzoomen op details lek.

Details van de lekken melden => Pas publiekelijk publiceren als er een patch is van de leverancier tenzij de leverancier geen patch wil/kan uitbrengen en in dat geval misschien na maximaal een jaar aanhouden na het melden van het lek.

Exploits => Nooit publiekelijk publiceren maar alleen in beperkte kring van erkende onderzoeksinstuten verspreiden (op aanvraag)
Exploit.
Als je geen exploits publiek gepubliceerd wil zien dan ben je gewoon je hoofd in het zand aan het steken. Dan kan je gaan roepen: er is niets aan de hand want ik heb er geen weet van. Ik moet mij geen zorgen maken.

Neen, het feit dat ze bekend zijn betekend dat elke gebruiker stappen kan ondernemen om te voorkomen dat hij/zij slachtoffer word en mocht hij/zij toch getroffen zijn dan kan men eenvoudig de oorzaak achterhalen.

Als je een jaar wacht, denk je nu echt dat mensen die je kwaad willen doen ondertussen al niet hetzelfde ontdekt hebben met de informatie die wel voor handen is? Ooit al eens geprobeerd van een geheim op grote schaal te houden? Niemand slaagt er in, waarom zou het dan met details van exploits wel lukken?
Als je geen exploits publiek gepubliceerd wil zien dan ben je gewoon je hoofd in het zand aan het steken. Dan kan je gaan roepen: er is niets aan de hand want ik heb er geen weet van. Ik moet mij geen zorgen maken.
Dat is onzin. Waarom zou het zinvol zijn om exploit code te publiceren als je het lek al bekend maakt en de risico's voor de geebruikers en de mogelijk manieren waarop ze zich kunne beschermen. Dat kan je allemaal prima bekendmaken zonder 1 regel exploit code.
Neen, het feit dat ze bekend zijn betekend dat elke gebruiker stappen kan ondernemen om te voorkomen dat hij/zij slachtoffer word en mocht hij/zij toch getroffen zijn dan kan men eenvoudig de oorzaak achterhalen.
Dat kan dus prima ook zonder exploit code te publiceren.
Als je een jaar wacht, denk je nu echt dat mensen die je kwaad willen doen ondertussen al niet hetzelfde ontdekt hebben met de informatie die wel voor handen is
Dat hangt er maar vanaf. Er zijn zat lekken die gedicht zijn meer dan een jaar na dat ze gemeld zijn zonder dat er ook een zero-day voor is verschenen.

Een partij als bijvoorbeeld mozilla houdt hoogkritisch bugs in hun bugtracker ook gesloten ook zelfs nog een tijdje nadat de bug al gepatched is om hun gebruikers te beschermen. Dat is nog ruimer dan ik voorstel. Maar je kunt soms aan de nummers zien dat de bugs toch al meer dan een jaar oud zijn.
Die vlieger gaat niet altijd op.
Iemand kan wel zeggen "er zit hier en hier een lek in", maar om te laten zien hoe je iets moet patchen op eigen houtje moet je wel weten hoe de exploit precies werkt. WAT wordt er precies gedaan en WAAROM heeft dat een bepaald effect? Dan pas kan je je bewapenen.

Het publiceren van exploitcode an sich kan dus heel erg nuttig zijn.
Wordt het ook misbruikt? Absoluut.
Het probleem is echter: ook zonder die exploit code is er grote kans dat het misbruikt wordt als het lek bekend is; en wellicht al *voor* dat het lek bekend was.

Dan wil je dus wel graag weten hoe het precies in z'n werk gaat, zodat je exact begrijpt wat er gebeurt: en je mogelijk zelf stappen kan ondernemen.
maar om te laten zien hoe je iets moet patchen op eigen houtje
Misschien leuk voor open source software icm een handvol mensen in de hele wereld die daar zelf de code van willen aanpassen maar vrijwel alle gebruikers wereldwijd zijn voor softwarepatches afhankelijk van de software leverancier.
En voor alle beveiligshandelingen anders dan de code patchen kun je prima instructies verspreiden zonder exploitcode te verspreiden. Dat is veel veiliger voor iedereen.

[Reactie gewijzigd door 80466 op 29 juli 2015 00:52]

En gezien opensource een steeds groter en groter marktaandeel krijgt op zowel smartphone als PC, is dat natuurlijk wel mooi meegenomen dat er mensen zijn die patches willen uitgeven. :)
De knappe koppen bij XDA hebben al eens eerder patches uitgebracht voor problemen die door vendors niet werden verholpen, dat is natuurlijk best netjes; en dat installeren meer mensen dan je zou denken.

Maar ook bij closed source kan het wel degelijk van nut zijn.
Het is helaas niet altijd mogelijk om zonder de code zelf het achterliggende te begrijpen en er actie op te kunnen ondernemen. Instructies zijn niet altijd voldoende. En de ontwikkelaar van een exploit neemt zelden de moeite om ook nog eens de patch te ontwikkelen, indien dat uberhaupt al kan, want inderdaad kan ook dat niet altijd.

Als de software leverancier ruim voldoende tijd heeft gehad om het te patchen, vind ik een release best gerechtvaardigd en geen probleem.
Security by obscurity gaat sowieso niet helpen, en wellicht dat aan de hand van de gebruikte exploit andere onderzoekers weer nieuwe fouten vinden: en zo wordt het enkel alleen maar veiliger.

Ja het is klote als mensen niet updaten, of als de fabrikant te lui is om zeer belangrijke patches naar hun devices te pushen, maar als daar de gehele community onder moet leiden en het zelfs andere 0days kan verbergen: neen, dank.
Wat die erkende onderzoeksinstuten zijn zo kosjer. Komen exploits voor nog meer geld op de zwarte markt ;).
De vraag is alleen wat het voordeel van die strategie is. Je beschrijft alleen de strategie en niet de motivatie erachter.

Je gaat er kennelijk sterk van uit dat niemand een lek zelf kan vinden die niet in "het wereldje" zit waarvan jij denkt dat het bestaat en dat er geen flauwe spelbreker is die het zandkasteeltje overloopt. In een ideale (niet mijn ideaal) totalitaire samenleving zou de strategie die jij beschrijft waarschijnlijk wel werken.

Ik heb een paar voorbeelden proberen te schrijven die waarschijnlijk nog te flatterend zijn voor 'security through obscurity' maar in elk geval enig idee geven van waarom openheid niet voor het rampscenario zorgt dat een beetje uit jouw berichten spreekt.

Wat gebeurt er in het echte leven (best case scenario):
- white hat meldt gat
- binnen een maand is de patch er
- er gaan geruchten dat er een lek was en een black hat vindt het, bijvoorbeeld aan de hand van de patch
- gelukkig werd de patch snel uitgerold, er is een beperkt aantal computers geinfecteerd
- na 90 dagen publiceert de white hat of de softwarefabrikant de details
- de mensen die onder een steen leefden weten nu ook dat ze moeten updaten of een bepaalde functie niet gebruiken of deïnstalleren
- er vinden een paar additionele besmettingen plaats maar de lol is er bij de scriptkiddies (die bovendien zelf nog code moesten schrijven of kopen, want de white hat heeft alleen een beschrijving van het gat gegeven) al snel af

echte wereld (worst case):
- black hat ontdekt gat, verkoopt het voor veel geld aan overheden of crackers
- antivirusprogramma's vinden exploit, analisten sturen bericht aan de maker van de kwetsbare software, malware wordt vaak na een paar dagen al tegengehouden op systemen met goedwerkende virusscanner (in een nog worstere case duurt het een paar jaar inplaats van dagen)
- white hat ontdekt gat en meldt
- softwarefabrikant zit nog eens 90 dagen extra op zijn achterwerk
- white hat publiceert gat en in een baldadige bui ook code voor een werkende exploit
- overheden of crackers beginnen te balen, nu zal het niet lang meer duren of hun exploit werkt niet meer
- scriptkiddie exploiteert gat op een klunzige manier waardoor zelfs de klikgraagste nitwits ontdekken dat ze toch echt een IT'er moeten inhuren
- softwarefabrikant gaat failliet.

En alle mogelijke scenario's ertussenin, waarin publiciteit een wisselende maar nooit nadrukkelijk desastreuse rol speelt.

[Reactie gewijzigd door mae-t.net op 29 juli 2015 19:15]

Aanvallers kunnen dan onder meer de microfoon van slachtoffers aftappen, evenals de camera's, en screenshots maken.
Windows is in de loop der tijd helemaal dichtgetimmerd,
niet alleen omdat de software zo zwak was, maar omdat het relatief makkelijk was om eigenaardigheden op te merken. Je kon relatief makkelijk achterhalen wat voor software er draaide maar een vaste netwerkaansluiting maakt het ook makkelijker, vreemde connecties zijn te achterhalen.

Android is niet alleen relatief nieuw, structuur is ook totaal anders en data gaat niet alleen via WiFi, maar ook via providers.

Ik juich juist toe dat zoveel mensen gebruik maken van de hacktools.

Android kan gatenkaas zijn, maar de kennis is dusdanig beperkt tot een select groepje mensen dat je niet weet welke mogelijkheden er zijn. En het gaat daarbij niet alleen om black-hat hackers, overheden zijn in staat om dergelijke kennis in dienst te nemen en/of aan te schaffen!

nieuws: 'Belastingdienst toonde interesse in software Hacking Team'

FIOD heeft interesse, MIVD gebruikte het, maar ook een land als Saoedi-Arabië waar vrouwen geen auto mogen rijden gebruikt het ook...


En het is geen verwijt richting Google, maar het is wel belangrijk om te beseffen dat Google geen beslissende stem heeft in Android, en al zou die dat hebben dan nog is dat geen zekerheid.
En het is geen verwijt richting Google, maar het is wel belangrijk om te beseffen dat Google geen beslissende stem heeft in Android
Hoe kom je daarbij?
Google ontwikkeld android en heeft alle IP rechten op Android in handen.
Dat ze een open source versie beschikbaar stellen is symphatiek maar verminderd nauwelijk hun controle over android.
Cyanogenmod en MIUI zijn twee redelijk bekende distributies waar Google al trammelant mee heeft, die hielden zich niet helemaal aan de eisen die gesteld zouden zijn, alleen is de invloed beperkt.

Samsung past ook veel aan om het een eigen gezicht te geven.

Maar meest belangrijke is dat wanneer achteraf blijkt dat er iets niet goed is, Google praktisch geen middelen heeft om iets aan te passen in een distributie. Versie 5 is al een tijd uit, de volgende staat op de planken, echter brengen fabrikanten nog steeds toestellen uit met Kitkat. En daarvan is toch al geruime tijd bekend dat die een aantal serieuze issues heeft.


Als ze daadwerkelijk invloed hebben, dan zijn er al een paar momenten geweest waar ze hun invloed/controle hebben moeten laten gelden.
CM en MIUI zijn onder tweakers dan wel bekend, ga buiten die wereld eens rondvragen en bijna niemand zal je kunnen zeggen wat het zijn.

Samsung mag dan wel veel aanpassen, dat is de afgelopen jaren ook geminderd net omdat Samsung het spel eerlijk moet spelen met Google. Zij kunnen het zich niet zomaar veroorloven dat Google morgen zegt: jullie krijgen geen Android ondersteuning meer en mogen ook geen Google services meer leveren, enkel nog AOSP.

Google is een softwareleverancier in dit verhaal dat een basisproduct aanbied aan een fabrikant. Het is die fabrikant die verantwoordelijk is voor de verdeling naar de klant en het up-to-date houden van de software. Ook bij MS zie je dat. Heb je een OEM licentie van Windows dan krijg je van MS geen ondersteuning.

Is het trouwens de schuld van Google dat bedrijven AKK blijven meeleveren ipv de nieuwste versie? Google heeft wettelijk geen enkele poot om op te staan wanneer een bedrijf beslist om een oudere versie mee te leveren zolang zij daar recht toe hebben. En Google weet maar al te goed dat het wegjagen van bedrijven nadelig is voor hun ecosysteem.

Dat alles neemt niet weg dat Google de volledige controle heeft over hoe Android ontwikkeld word en welke weg ze met het platform willen opgaan. Het is als buitenstaander niet zomaar mogelijk om aanpassingen in Android te krijgen.
Probleem is dat sommige apps de video's wellicht al verwerken zonder dat je keus hebt. Zoals Hangouts en wellicht ook bij mms-berichten (hoewel providers hier in theorie op zouden kunnen scannen en zo ook een positieve bijdrage kunnen leveren).

Druk zetten blijft hoe dan ook belangrijk omdat er zat providers zijn die traag zijn met updates. Misschien worden ze dan ook gedwongen iets sneller te handelen.
Grote kans is dat het al actief misbruikt wordt, vergeet namelijk niet dat als deze onderzoekers de exploit gevonden hebben, anderen het hoogstwaarschijnlijk ook wel gevonden hebben, en anders zeker nu wel nu ze weten in welke richting ze moeten zoeken..
Als je wilt wachten met vrijgeven totdat overal patches voor uitgebracht zijn dan kan je bij android lang wachten. Beter gezegt, dat gebeurt dus nooit. Dus kan je het net zo goed uitbrengen.
Dus kan je het net zo goed uitbrengen.
Waarom zou je het dan uberhaupt uitbrengen? veiliger zal het niet worden.
Omdat de gebruiker dan weet dat het lek er zit. Het is niet omdat je een probleem niet kunt zien dat het er niet is. Dat is zeggen als: ik woon in een mooi huis dus er is geen armoede in de wereld.
Uit die patch die voor Cyanogen mod is verschenen (kwam ik gister in een reactie tegen) is waarschijnlijk ook wel te achterhalen hoe de exploits te misbruiken is.
Gewoon keurig volgens beleid Google. Binnen 90 dagen patchen, anders openbaar maken.
echter is google niet de enige partij die dit moet patchen. sterker nog, In de laatste versie van android is de bug al gepatched.
Ik dacht dat het vrijgeven altijd gebeurde om fabrikanten onder druk te zetten om het te patchen? ik kan er kanon op zeggen dat dit lek misbruikt gaat worden.
Het wordt vrijgegeven om gebruikers / fabrikanten / resellers bewust te maken van de producten die ze gebruiken / maken / verkopen.

Indirect gaat jou punt dus ook op, maar het is veel breder.
Dat duidt er op dat de bug in Android 5.1 is gepatcht;
Ik las dat 5.1 nog wel vatbaar is en alleen 5.1.1 gepatcht is. Minimaal verschil natuurlijk.

Engste gedeelte van dit allemaal is dit:
If targeted, the hypothetical hacker needs only to send an MMS message, which in many cases doesn't even need to be read before the attacker gains access to the victim's microphone and camera. The file will contain malicious code that executes by taking advantage of the problems in the Stagefright codebase. In the worst case, Zimperium says, the attacker could remove any trace of the offending MMS before the end user is every made aware that one is received.

When MMS content is automatically downloaded, as is the default setting in Hangouts and many other applications, the owner of the phone doesn't have to interact with the message at all for malicious code to get privileged access in the system. There are several variables at this point in the process that affect just how much damage can be done.
Hoop dat fabrikanten snel hun telefoons een update geven.
Dus, als ik het goed begrijp moet je MMS-functie ingeschakeld zijn en op automatisch downloaden staan?
Wie gebruikt er nu nog MMS? Dat is toch iets van de jaren stillekes?
Ik heb Mobistar (BE) en ik moet dus BETALEN per MMS. Ik heb dat nog nooit, op geen enkel toestel dat ik heb, geactiveerd. Dat is toch gewoon een SMS met video/afbeelding, niet?

Of zijn er echt nog veel mensen die dat gebruiken?
In Nederland (en waarschijnlijk Belgie) wordt MMS weinig gebruikt, maar wie weet is dat in andere gedeelten van de wereld heel anders. Bovendien staat MMS volgens mij standaard aan, al gebruik je het niet. En aangezien hangouts op veel toestellen geinstalleerd staat zijn veel mensen potentieel kwetsbaar.

Wel is het natuurlijk zo dat OEMs als Samsung zelf een SMS/MMS app meeleveren. In nieuwere versies van Android is het dan zo dat deze ook geen SMS/MMS kan ontvangen, tenzij de gebruiker hiervan hun standaard app maakt. (Vanaf +/-4.4 kan maar 1 app tegelijk bij je smsjes). Die zouden dan weer wel veilig zijn, maar Android versies waarin dit niet kan weer niet...Je zou dus eigenlijk per fabrikant moeten kijken of ze kwetsbaar zijn en het is dus zeker niet zo simpel dat " je niet kwetsbaar bent als je MMS niet hebt aangezet" .
Aangezien je Hangouts ook als chatclient kan gebruiken hoeven die filmpjes per definitie niet als MMS binnen te komen. Zelf met MMS uitgeschakeld blijf je dan nog steeds kwetsbaar
Vaak worden de MMS instellingen automatisch opgehaald en geactiveerd bij het eerste gebruik van het toestel. Mocht je MMS uit willen zetten dan kan je de APN aanpassen of verwijderen, dan staan hier instructies:
http://android.stackexcha...e-issue-wit/116493#116493

[Reactie gewijzigd door Fling op 28 juli 2015 11:51]

Het gaat niet alleen om mms. Dezelfde exploit kan via ieder protocol aangeboden worden. Het gaat om het filmpje. MMS was alleen een ingang om een filmpje aan te bieden via Hangouts die zonder toestemming van de gebruiker een thumbnail maakte van het filmpje en daarbij de metadata exploit tegen het lijf loopt. De exploit kan ook via Chrome etc
Haha. Naar mijn weten werkt dit out of the box gewoon, oftewel staat het altijd aan tenzij je het uitzet?
Bij heel veel toestellen staat auto retrieve van MMS standaard uit. Als je die zelf uitzet, ben je ook al een stuk veiliger. Daarnaast heeft Hangouts de kwalijke eigenschap om bijlages (afbeeldingen/video's) te pre-renderen en vast in de gallery te zetten. Als je dus een app gebruikt voor je sms/mms die dit niet doet, ben je ook weer een stuk veiliger.
MMS is een voorbeeld, deze maakt gebruik van hetzelfde framework waar het probleem in zit als bv een andere app die video's serveert..
Hopium werkt niet. Dit is het model van Android. Het is waard wat het kost, niks.

Fabrikanten opereren met een marge van niks, er is geen ruimte voor support. Maarja, die goedkope droid kan net zo veel of meer als de iPhone, toch? Dit is de prijs die je betaalt.

Windows XP werd bijna de doodsteek voor MS qua security. Nog een paar van dit soort zaken en niemand koopt meer een goedkope Android.
Een goedkope android kocht ik al niet vanwege dit soort issues. En na de updates, of eigenlijk gebrek aan, van enkele flagship toestellen nog binnen de looptijd van mijn contract ben ik helemaal android af.

Ik heb nu sim only met een non branded Lumia 930. WindowsPhone wordt fatsoenlijk van updates voorzien en de prijs is geweldig ivm flagship android telefoons.
Normaal gesproken heb ik niks met Apple fanboys, maar in dit geval ben ik het met je eens. Androidfabrikanten hebben financieel gezien geen ruimte voor support en dus kan je als klant in de stront zakken
De harde waarheid is dat de meeste fabrikanten wat betreft de oudere toestellen hier geen moer om geven. Toestellen van hoogstens 2 jaar oud krijgen die updates dus. Dit is natuurlijk speculatie.
Ik vraag me af of een fabrikant aansprakelijk is als er geen updates voor oudere modellen wordt uitgebracht en mocht hier schade uit ondervonden worden. Bij andere producten, zoals wasmachines, mag je verwachten dat ze langer meegaan dat de wettelijke garantie en dus zal een fabrikant toch een defect moeten vergoeden.
Grote verschil van een wasmachine is, is dat die voornamelijk stil staat op 1 plek, een telefoon word neergelegd, opgepakt, meegenomen en etc. Naar mijn weten is de verwachte levensduur van een telefoon vast gezet op 2 jaar. Daar waar het bij een wasmachine volgens mij 5 of 7 jaar is?
Dan kan je uiteraard wel zeggen stel je hebt een toestel van 4 jaar oud, dat je al vanaf dag 1 met dit probleem loopt. Echter is de verwachten levensduur en de wettelijke garantie a 2 jaar verstreken dus kan je zeggen: toestel is defect en dient vernieuwd te worden.
Een fabrikant kan er niet heel veel aandoen dat er een fout in het os van google/android zit. Ja ze kunnen het oplossen tot een bepaalde hoogte en dat is bijv bij alle toestellen die in de afgelopen 2 jaar geproduceert zijn. Waarbij Samsung flink gaat balen wegens het brede en diepe assortiment
"Een fabrikant kan er niet heel veel aandoen dat er een fout in het os van google/android zit" - Daar verschillen we dan in mening. Immers de fabrikant heeft de optie om de telefoon "vrij" te geven zodat je zelf een custom rom op kan zetten.
Tenzij je ermee gaat gooien, kan een fatsoenlijke telefoon makkelijk langer mee dan twee jaar. Het niet langer ondersteunen heeft in mijn ogen vooral commerciële redenen. Doordat veel mensen gewend zijn hun toestel na korte tijd alweer te vervangen, kun je er namelijk makkelijk mee wegkomen gebruikers er min of meer toe te dwingen na anderhalf tot twee jaar weer een nieuw toestel te kopen, als zij tenminste veilig willen blijven en geen custom ROMs kunnen of willen installeren. Voor fabrikanten levert dit een leuke constante stroom inkomsten op, maar in feite is het natuurlijk niks anders dan overconsumptie en een enorme verspilling van energie en grondstoffen.

[Reactie gewijzigd door Commendatore op 28 juli 2015 13:26]

Maarja, in principe is het product niet defect (beveiligingslekken worden niet zomaar aangeduid als een defect, of je het daar nu wel of niet mee eens bent)..
Dat de fabrikanten langer support moeten leveren ben ik het helemaal mee eens.. Eigenlijk zouden ze wat mij betreft gewoon moeten kappen met die eigen varianten en dus gewoon met de standaard android mee moeten gaan waardoor veel langer support gegeven kan worden..
Dat vind ik ook. Minstens twee jaar support lijkt mij billijk. Daarna zouden de keys moeten vrijgegeven worden.
Er zijn ook een hoop die helemaal geen update meer krijgen na ze uitgebracht zijn.
Heb zelf een Archos en het is een heel mooie smartphone voor het geld. Maar bij hun zijn er volgens mij geen apparaten die updates krijgen. Maar niet alleen bij hun is het zo.
Gelukkig heb ik voor een nexus gekozen. Dit lek is natuurlijk niet best, en google heeft snel gereageerd door het te patchen in 5.1, probleem is dus dat enkel de nexus 4 5 en 6 volgensmij 5.1 draaien.

Zit je een beetje te zoeken eh, heeft volgende deze website android 54 veiligheidsproblemen, waarvan een paar wel zeer ernstig:
http://www.cvedetails.com...19997/Google-Android.html

Ios heeft er maar liefst 529!!
http://www.cvedetails.com...5556/Apple-Iphone-Os.html

En windows phone. 1.

Ik ga die windows 10 phones even goed in de gaten houden. Als die goed werken, dan lever ik android in.
Je moet af van de redenatie dat één platform beter is dan de ander qua veiligheid. Prima, wellicht gaat de één er net iets beter mee om dan de ander maar uiteindelijk zullen windows phone's ook zware exploits krijgen. Zoiets is eigenlijk per definitie onoverkoombaar.
Naar mate een product meer markt % krijgt, wordt het ook een gewilliger object voor 'hackers'. Met de stap die Windows zet (overal windows 10) wordt het alleen maar 'leuker' indien je een exploit heb.
Inderdaad.

Android is nu verreweg het grootst . Op het moment dat Windows 10 genoeg marktaandeel krijgt gaat het legertje hackers en onderzoekers z'n aandacht meer daarop vestigen.

Wel ben ik het eens met iedereen die zegt dat Google, wil Android niet ten onder gaan, MOET gaan veranderen!

Iedere fabrikant die een toestel met Android uit wil brengen MOET verplicht gaan worden om security updates snel uit te rollen. En Google moet dat dan uiteraard ook gaan faciliteren.

Het moet toch niet zo moeilijk zijn om:

- Fabrikanten sowieso te verplichten om security updates nog 5-6 jaar uit te rollen naar telefoons.
- Android zo in elkaar te zetten dat fabrikanten heel gemakkelijk security updates m.b.t. core functies van Google door kunnen schuiven naar smartphones.
Een flink aantal van de problemen voor android op die lijst zijn gerelateerd aan adobe flash die al jaren niet (meer) beschikbaar is voor android. Zo relevant zijn die problemen dus niet.

[Reactie gewijzigd door Qaatloz op 28 juli 2015 11:57]

Dit is nog steeds het meest frustrerende aan Android het update beleid.. Een ernstige bug die waarschijnlijk pas over een jaar of 1,5 gefixed is voor alle toestellen.
Met andere woorden, je weet dat je telefoon zeer onveilig is maar je kan er niks aan doen door het trage update beleid.. Hackers kunnen rustig hun gang gaan want over 3 maanden is deze bug nog steeds op 95% van de toestellen terug te vinden.
Sterker nog, het gros van de telefoons zal hier nooit voor gepatched gaan worden.

Mijn vriendin gebruikt nog naar tevredenheid haar Galaxy S2, maar ik ben niet optimistisch dat Samsung daar nog een patch voor uit gaat brengen.
Je beeld is nog veels te rooskleurig. Het merendeel van de toestellen zal waarschijnlijk nooit een patch zien, ook niet na 1,5 jaar.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True