Onderzoeker wacht met vrijgeven exploit voor gevaarlijke Android-bug

De eerste versies van IOS 8 waren irritant traag op mijn iPad2. De laatste versies werden weer acceptabrl werkbaar. Met de focus van IOS 9 op snelheid en stabiliteit heb ik juist hoop dat mijn IPad nog een jaartje mee kan. Wat ik tot nog toe van de ervaringen met de beta gelezen heb gaat het de goede kant op.

Dat ligt natuurlijk niet alleen bij Apple: "Ik kan merken dat de apps worden doorontwikkeld voor de nieuwere toestellen en hierbij weinig tot geen rekening wordt gehouden met de beperkingen van oudere modellen." Dat ligt dus ook voor een groot deel aan de app-ontwikkalaars.

Ik heb sowieso het idee dat er nauwelijks meer naar efficiëntie en snelheid wordt gekeken in het huidige ontwikkelklimaat. De hardware is (relatief) spotgoedkoop en daardoor kan de extra tijd die aan het verbeteren van support wordt besteed niet meer worden verantwoord.

Dat ervaarde ik ook ja, dat je Iphone 4s een stuk trager geworden is... maar...

Ik heb het volgende gedaan en dat brengt weer een stuk snelheid terug.
1 ) update je telefoon naar de laatste versie IOS.
2) backup je telefoon volledig naar je pc.
3) factory default door middel van met iTunes de laatste firmware er weer op te zetten.
deze dus. http://appldnld.apple.com...1_8.4_12H143_Restore.ipsw
4) zet je instellingen terug naar je telefoon, aka doe een restore van je programma's en app-jes.

Je zult zien dat je telefoon weer sneller geworden is.

Wat dat betreft zie je wel ontwikkelingen hoe men een OS voor een mobiele telefoon ontwikkeld evolueert. Apple met een gesloten omgeving en Microsoft met een 'push' naar de toestellen toe. Nu hebben zowel Microsoft als Apple het voordeel dat de hoeveelheid modellen beperkt is.

Klopt, maar Microsoft heeft op de desktop toch heel wat meer configuraties dan Android en MS lukt het ook jaren lang hun systemen te patchen met security-updates.
Google moet gewoon prioriteit gaan geven aan goed patch-management.

een custom rom 'hoeft' helemaal geen gepruts te zijn en eens je de bootloader hebt vervangen en voor de juiste rom hebt gekozen kun je gewoon OTA updates terug verwachten, ik heb custom roms gehad voor mijn desire HD die ettele malen stabieler waren dan elke offciele rom en dat was op een flagship toestel.

en nu met mijn moto 4g 1st overweeg ik het ook al vind ik het gepruts van unlocken niet fijn, vooral 'bang' dat ik die ene cruciale stap verkloot

Samsung doet het beter dan de meeste merken en van de Chinese fabrikanten hoef je al helemaal geen updates te verwachten. Voor mijn Samsung Wave heb ik zeker 3 jaar updates gehad. Mijn Galaxy S4 Mini heb ik 1 update gehad, en dat was van de telecom provider.

Het sterke punt van Android (open-source) is ook de zwakte want iedere telecom provider of mobieltjes fabrikant gaat het aanpassen omdat ze het *hun* Android willen maken. Daardoor is het voor Google niet meer mogelijk om het centraal te updaten. Ik denk niet dat dit snel gaat veranderen, maar Google zal wel meer afspraken moeten maken met fabrikanten en telecom providers over updaten. Wellicht kan men Android opdelen in een low-level gedeelte wat door Google wordt geupdate terwijl de 'skin' alleen door de fabrikant wordt geupdate.

Google is al bezig om steeds meer componenten van Android vanuit de Play Store te laten updaten maar dat heeft zijn beperkingen. Zo kan men systeem bestanden niet vanuit de Play Store updaten omdat deze niet als root draait.

Valt wel mee, credit where credit is due.Hij had de werkende exploit ook de markt op kunnen gooien.Zal bestwel een hoop centjes opleveren.

Lekker figuur ben jij, zeg. Het zijn nog steeds mijn centen die voor een nieuwe telefoon betalen (indien niet upgradable of ondersteund door custom ROMs), niet die van jou, en zeker niet die van deze Joshua Drake.

En?
Ik zie niet in hoe dit op enige wijze relevant is, noch hoe dat iets over mij of Joshua Drake zou moeten zeggen.

Jij bent slechts een van de miljoenen Android gebruikers, who cares wat je wel of niet betaald hebt voor het toestel waar je het op draait?
Begrijp me niet verkeerd hoor, ik snap dat je teleurgesteld bent en dit allemaal erg vervelend vindt; maar geld is nou niet echt een belemmerende factor in dit hele verhaal. Security problemen kan je niet afkopen. (Nouja... bij ransomware misschien )

Bovendien heb ik als gebruiker nauwelijks zicht op de upgradebereidheid van de fabrikant.

Hopelijk binnenkort, of nu al, wel.
Google en Samsung hebben zich al gemeld dat ze het update beleid drastisch aanpassen.
Wellicht dat de fabrikant van jou toestel, als dat Samsung niet is, binnenkort ook iets zal aankondigen.

Mooi he? Driemaal raden wie je mag bedanken...

Ja, misschien tot het toestel EOL is: maar op die beslissing heb ik nul invloed. Mijn telefoon (nadrukkelijk géén budgetmerk) werd al na 10 of 11 maanden (!!) EOL verklaard; één update gekregen, en dat was het dan. Dat is simpelweg waanzinnig. Bovendien is het volkomen onduidelijk waar het circus van 'bewustwording' eindigt als het eenmaal begint.

Ik leef met je mee.
Dien een klacht in bij de fabrikant zou ik zeggen.
Hoe meer zielen een klacht indienen: hoe meer kans op vreugd.

Maar omdat veel mensen dat niet doen, en slechts een handjevol gebruikers het wel doen, komen de fabrikanten vaak weg met "onze cijfers tonen aan dat slechts een klein deel van de klanten het als storend ervaart."

Nu worden ze even wakker geschud met een fikse pets in het gezicht, en kijk ze 1 voor 1 is aan komen draven met nieuwe update policies; want nu staat hun reputatie daadwerkelijk op het spel...
Door schade en schande wordt men wijs, het is alleen een beetje jammer dat er eerst weer iets flink mis moet gaan voordat ze willen investeren in een beter beleid.

Snap je mijn bijdrage eigenlijk wel?

Zeker, ik ben het er enkel niet mee eens.

Moet 'bewustwording' tot stand worden gebracht door het publiceren van exploitcode als het gros van de nu bewustgeworden gebruikers er geen fuck mee kan; en ten tweede, het bij lange na niet zeker is dat fabrikanten hun leven zullen beteren?

Ja. (En dan nog even terzijde dat het gros er wel degelijk iets mee kan: de stappen volgen om je te beveiligen/veiliger te maken tegen het probleem.)
Het is niet aan de onderzoeker om te beslissen voor de fabrikant, maar hopelijk wel een indicatie voor de eindgebruiker dat ze, als dat merk niets doet aan het probleem, dit merk voortaan links moeten laten liggen willen ze genieten van een veilig systeem.

'Dan maar geen smartphone' is geen optie. 'Ander merk' is ook geen optie, want er is geen smartphonefabrikant die Android audit als het stel paranoïden achter OpenBSD

Ik hoor het je niet zeggen, dus ik vraag het maar:
En dus? Is zwijgen daarom beter of...?

Kul. Ik kán niets met zijn bewustwording; hooguit lijdzaam toezien hoe een makkelijke aanvalsvector expliciet wordt beschreven. Dat is geen bewustwording. Dat is, zoals hierboven gezegd, een bom in druk publiek gooien om vervolgens de politie te verwijten dat ze er niet tegen beveiligen.

Echter is het probleem in dezen dat die vergelijking volledig mank gaat, immers is er wel degelijk iets tegen gedaan kan worden...
Zowel door eindgebruiker als fabrikant. En ik hoop dat de fabrikanten hun verantwoordelijkheid hier gaan nemen, daar het gros inderdaad hoogstwaarschijnlijk of de kennis niet heeft om het te doen, of (en dat is waarschijnlijker) geen zin heeft om er iets tegen te ondernemen.
De vergelijking is juist "Als de politie 2 maanden van tevoren te horen krijgt dat er een bom in het publiek gegooid gaat worden op <datum, tijdstip>, en ze doen er niets aan om het te voorkomen of mensen weg te houden van die plek; valt het dan iets te verwijten?"

Het is niet bepaald een geheim dat veel mensen veiligheid veels teveel moeite vinden.
Het maken van een moeilijk wachtwoorden vinden sommige mensen al teveel gevraagd. Laat staan gaan klooien met functies op je toestel, want stel je voor dat je er ff 10 minuten de tijd voor neemt.
Maarja, laat ik daar maar niet over gaan ranten; want dan ben ik nog wel ff bezig.

Nee, deze klootviool schuift door specifiek deze actie van publiceren van exploitcode het risico daarvan fijn af op gebruikers die er niets mee kunnen, er ook niets aan kunnen doen, en afhankelijk zijn van een als geheel erg ongeïnteresseerde sector om het op te lossen, want geld.

Zoals ik al zei: jammer dat je de messenger pissig aankijkt, en niet de verantwoordelijken voor het probleem... Maarja, zo gaat dat altijd.

Ik denk dat je die conclusie te overhaast trekt, overigens. De meeste fabrikanten vertonen tekenen, en sommige fabrikanten hebben al toegezegd, dat ze er wel degelijk iets aan gaan doen en ook hun hele update beleid overhoop trekken om dit in de toekomst makkelijker te maken en gelazer te voorkomen.

Smartphonefabrikanten zijn hardwareleveranciers, geen softwareboeren.

Dat is slechts deels waar, immers heeft het merendeel van de fabrikanten van smartphones Android zo omgebouwd dat het totaal niet meer herkenbaar is.
Draaien ze custom kernels, custom modules en weet ik veel wat allemaal.

Dat ze het basis systeem, Android, niet helemaal zelf ontwikkelen (doch zijn zo'n beetje alle fabrikanten lid van de OHA) doet daar vrij weinig vanaf naar mijn mening.

Ze verdienen helemaal niets aan het langdurig ondersteunen van hun producten. (Als je een link kunt geven waar fabrikanten op deze manier worden vergeleken ben ik je oprecht zeer erkentelijk.)

In dit geval wel. Over het algemeen is het natuurlijk leuker als je gebruikers kunt forceren een nieuw toestel te kopen.
Het probleem in dit geval is dat het een dermate groot probleem is, dat ze niet meer zondermeer kunnen weigeren om wat oudere toestellen (toestellen van 5 a 6 jaar geleden vind ik nog wel wat hebben als ze die overslaan; jaja, heel jammer enzo: maar je kan niet bezig blijven.) niet te voorzien van een patch.

Doen ze dat niet, dan komt dat heel slecht in de boeken te staan; en zal het de reputatie van het bedrijf absoluut niet goed doen.
Het is daarom ook niet vreemd dat Samsung, dat al geteisterd wordt door teruglopende verkopen, er als de kippen bij is om een geheel nieuw updatebeleid door te voeren en plechtig te zweren dat ze security patches loskoppelen van major Android updates en voortaan maandelijks patches zullen uitbrengen.
(En het lijkt er op dat er nog patches gebackport zullen worden ook.)

Ja, handig. Je kent de vroegere waarschuwingen van bugs in browsers? 'Zet Javascript uit, zet Java uit, ga niet naar vreemde sites toe.' Ik ben het riedeltje eigenlijk weer vergeten, want het was natuurlijk grote kul die gelukkig is opgelost omdat er eigenlijk werd gezegd: 'U kunt eigenlijk niet veilig het Internet op, zelfs betrouwbaar geachte sites zijn mogelijk verdacht, dus leest u maar even een boek ofzo.' Jij adviseert iets vergelijkbaars. Straks moeten we eigenlijk ook maar even geen appjes installeren, of in-app aankopen doen. GPS toch maar even uitzetten. Roaming is ook al verdacht. Eigenlijk de telefoon maar helemaal niet aanzetten. (Ja, dat is hyperbool. Een beetje.)

Nou nee niet echt.
Als er een lek in Flash zit (lol... "als"... haha!) dan kan je jezelf wel degelijk beveiligen door te proberen zoveel mogelijk sites die flash gebruiken te vermijden of Flash tijdelijk even uit te zetten. Zodra er dan een patch is kan je het weer inschakelen.
Door even die kleine moeite te nemen, en even wat ongemak te ervaren, hou je jezelf wel veilig.

Hetzelfde hier. Door even de moeite nemen om, totdat het probleem is opgelost, MMS uit te schakelen en automatische video retrieval in bepaalde messengers uit te schakelen kom je al een heel eind, als je uberhaupt al aangevallen gaat worden/wordt.
Hoe is dat in vredesnaam hetzelfde als "zet je telefoon maar helemaal niet meer aan"?

"Straks moeten we ook dit", "straks moeten we ook nog dat" zijn allemaal hellende vlakken die je mij niet hoort suggereren noch zal ik die ooit suggereren; tenzij toevallig op dat aspect het *tijdelijk* noodzakelijk blijkt te zijn.

Het is maar net hoeveel moeite je wilt steken in jezelf zo veilig mogelijk te houden totdat het probleem integraal wordt opgelost.

Hoe zei je dat ook alweer? Ohja. 'Sh*t happens. Deal.'

Zeker.

'Deels'? Aan wie dan nog meer? De quasi-ethische hacker misschien ook?

Nee, die niet.
Wel aan de fabrikant als die na zoveel tijd nog altijd niet over de brug is gekomen met een relatief simpele patch.
De patch is een paar KB, diep triest als ze die niet verstrekken.

Nogmaals: je kan de schuld wel blijven afschuiven op de hackert, maar ik snap werkelijk niet waarom je niet bij de fabrikant gaat klagen.
Laat die het maar oplossen, dat is hun taak namelijk. En snel een beetje ook, want de tijd dringt; ze hebben nog zo'n 3 weken...

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:48]

Ik wist dat die functie ergens in Hangouts zat ingebakken. Moest even zoeken. Bedankt !

Ik heb de berichten-app verwijderd omdat oa de providers voor elke oproep die ik weigerde een sms stuurden en in plaats daarvan Textra erop gezet, die heeft een knopje stagefright protection in de settings

IMO wil je je systeem op alle momenten als eindgebruiker zo gesloten mogelijk houden. Dit om te zorgen dat apps geen rare dingen gaan doen.

Ik vind het idee dat Google een app zou uitbrengen of Play Services update om directe toegang tot het systeem te krijgen extreem gevaarlijk. Nog gevaarlijker dan de problemen die zich nu voordoen. Je wilt deze systeem rechten beperken tot Play services. Omdat het een reguliere app is, kun je niet op veel manieren beperken behalve via de app ID. Daar ligt ook meteen het gevaar, wat als er een bug blijkt te zijn dat je een appID kunt overnemen of een app een andere kan downloaden en Play Services overneemt. Dan heeft een app toegang tot letterlijk alles! Software is gemaakt door mensen en daarom nooit bugvrij.

Punt twee waarom het niet gaar werken, het systeem zou geüpdatet moeten worden om deze app toe te staan, dus alleen Android M en hoger kan getarked worden.

Kortom, Play Services is leuk om oudere telefoons en Tablets van api's te voorzien, maar om het echte probleem met features, bugs, etc op te lossen, moet het hele updatemodel van Android om.