Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 211 reacties

Een werkende exploit voor een gevaarlijke bug in het videoframework van Android wordt toch niet deze week vrijgegeven. De onderzoeker die het probleem ontdekte, zou de exploit op de Black Hat-beveiligingsconferentie presenteren.

Beveiligingsonderzoeker Joshua Drake van beveiligingsbedrijf Zimperium is nu van plan om de exploit uiterlijk op 24 augustus vrij te geven, zegt hij tegen Tweakers op de Black Hat-beveiligingsconferentie in Las Vegas. "Ik heb vrijdag vertegenwoordigers van mobiele providers ontmoet, en die hebben me gevraagd te wachten", aldus Drake. Aanvankelijk was hij van plan om de exploit woensdag op Black Hat te presenteren.

Het beveiligingsprobleem in Android kwam vorige week aan het licht. De bug in het Stagefright-video-framework van Android maakt het mogelijk om eigen code op een kwetsbaar Android-toestel te draaien door iemand een video te sturen. Dat kan onder meer met behulp van een mms: in dat geval is het sturen van een bericht voldoende, omdat de video dan direct wordt ingeladen in Android. De bug kan echter ook op andere manieren worden misbruikt, bijvoorbeeld vanuit de browser of andere chat-apps. Het is echter niet duidelijk of andere chat-apps net zo kwetsbaar zijn als mms.

Vrijwel alle Android-toestellen zijn kwetsbaar voor het beveiligingsprobleem, ook de Nexus 5 van Google. De Nexus 6 is deels gepatcht, maar niet voldoende, zegt Drake. Cyanogen heeft wel een patch uitgebracht voor Cyanogenmod. De ernst van het beveiligingsprobleem verschilt per Android-versie: nieuwere versies hebben betere maatregelen tegen misbruik aan boord. Oudere versies zoals Android 4.1 zijn bij uitstek kwetsbaar, omdat een aanvaller op die toestellen eenvoudig roottoegang kan krijgen. Vooral budgettelefoons draaien vaak op oudere Android-versies, en worden niet meer voorzien van updates.

Volgens Drake vreesden de telecomproviders in de Verenigde Staten voor een worm, die zich zelf onder de contactpersonen van getroffen gebruikers zou verspreiden. De exploit die Drake zou vrijgeven, maakt het eenvoudig voor kwaadwillenden om een dergelijke worm te ontwerpen. Toch wil hij de exploit nog steeds vrijgeven. "Ik ben niet van plan om het nog een keer uit te stellen", aldus Drake. Als iemand anders bovendien eerder met een werkende exploit komt, geeft hij zijn eigen versie ook vrij. Chinese onderzoekers zijn al dicht in de buurt gekomen, maar hebben nog geen complete exploit.

Drake zegt met de exploit bewustwording te willen creëren. Ook kan de exploit juist helpen om verspreiding van het probleem tegen te gaan: volgens Drake zijn bijvoorbeeld makers van beveiligingssoftware en intrusion detection systems geïnteresseerd in de details.

Black Hat

Moderatie-faq Wijzig weergave

Reacties (211)

Ik begrijp de mensen wel die nu met een wat ouder toestel zitten die gegarandeerd geen fix gaan krijgen en nu zoiets hebben van "ja, maar wacht eens even!". Maar afgezien van dat je dergelijke exploits niet geheim moet willen houden (security through obscurity is een gevaarlijk model dat hooguit leidt tot schijnveiligheid), legt het ook de focus op de verkeerde plek.

Het onderliggende probleem is namelijk dat het Android update model fundamentally broken is en dat toont dit weer aan.

Updates gaan normaliter door drie lagen: 1. Google geeft de nieuwe versie van Android uit; 2. de fabrikant past deze aan naar zijn toestel, inclusief meestal een vertaling naar hun eigen skin; 3. de telco wil er vaak ook nog het eea aan wijzigen. Als alles goed gaat duurt het maanden voordat een versie goed en wel is uitgerold en na een jaar of twee zegt de fabrikant als meestal "toedeledoki, koop maar een nieuw toestel". Dit is nog even afgezien van de "budget" toestellen die vaak worden uitgebracht met een verouderde versie van Android en niet meer hoeven te rekenen op een update. Ronduit bizar.

Ik heb zelf bijvoorbeeld ook nog een Samsung Galaxy S3, welke volgens Samsung niet verder gaat dan versie 4.3, maar die ik ondertussen hartstikke prima heb draaien op een derde partij ROM. En ik ben nu nog tevreden met die situatie, maar de gemeenschap aan ROM ontwikkelaars sterft snel uit voor de S3 (omdat de meeste een nieuw toestel kopen) en aangezien de Exynos chip volledig ongedocumenteerd is en je zelf maar moet uitzoeken hoe het ding werkt, is het niet evident dat er nog wilde enthousiastelingen uit de community opstaan. Ik geef het toestel nog maximaal een jaar en dan schrijf ik het af na vier jaar gebruik (een jaar minder dan ik had gehoopt).

Vanwege het gebrek aan Exynos documentatie vanuit Samsung ben ik nu wijzer en koop dus geen Samsung apparaat meer als vervanging, ik overweeg zelf bijvoorbeeld de OnePlus2 waarvan de Snapdragon chip wél de nodige documentatie publiekelijk van kent en dus langer ondersteunt kan worden vanuit de gemeenschap. Maar voor de huis-tuin-keuken gebruiker voor wie je eigen ROM erop zetten volledige abacadabra is lijkt Android steeds minder een valide platform te worden. Apple ondersteunt met iOS 8.4 nog steeds de iPhone 4S, een toestel dat in oktober 2011 uitkwam! Dat is een support termijn dat ongehoord is voor Android. En andere alternatieven? Windows Phone? Ubuntu Phone? FirefoxOS? Sailfish? Het is nog wat vroeg om daarover te kunnen oordelen, hoewel ik geen ervaring heb met Windows Phone.
De iPhone 4s zal ook iOS 9 draaien, tel uit je jaren ondersteuning en men heeft maar liefst vijf major versies kunnen draaien (iOS 5, 6, 7, 8, 9) met security updates en extra features (wel minder t.o.v. nieuwere iPhones, maar desondanks een uitbreiding). De iPhone 3GS en 4s hebben de software-ondersteuning beide met een jaar verlengd. Waar dat oorspronkelijk 3 jaar was, zijn we nu beland bij een termijn van 5 jaar.

Gerelateerde artikelen:
Software ondersteuning, overzicht 2011
Software ondersteuning, overzicht 2013

Als iemand een recenter overzicht heeft, dan heb ik daar wel oren naar!

Edit: mind-fart, linken werkt hier anders.

[Reactie gewijzigd door Blizz op 5 augustus 2015 04:01]

De iPhone 4s zal ook iOS 9 draaien, tel uit je jaren ondersteuning en men heeft maar liefst vijf major versies kunnen draaien (iOS 5, 6, 7, 8, 9) met security updates en extra features (wel minder t.o.v. nieuwere iPhones, maar desondanks een uitbreiding). De iPhone 3GS en 4s hebben de software-ondersteuning beide met een jaar verlengd. Waar dat oorspronkelijk 3 jaar was, zijn we nu beland bij een termijn van 5 jaar.
Als iPhone 4s gebruiker wil ik hier graag even aan toevoegen dat hij nu met iOS8 al wel een behoorlijk stuk trager is geworden. Ik kan merken dat de apps worden doorontwikkeld voor de nieuwere toestellen en hierbij weinig tot geen rekening wordt gehouden met de beperkingen van oudere modellen. Ook eigen apps zo als Safari crashen nu veel vaker dan pakweg en jaar geleden omdat de telefoon aan zijn max zit.

Hoe wel dit dus op papier goed geregeld is denk ik niet dat je met iOS9 nog fijn op een 4s gaat werken. Al ben ik zeker tevreden over hoe lang de telefoon het heeft volgehouden.
Dat is een groot verschil tussen iOS en Android.

IOS wordt met elke versie zwaarder, en oude toestellen draaien er slechter op.
Android wordt juist steeds lichter, en wanneer oude toestellen voorzien worden van een nieuwe Android versie draaien ze juist sneller dan toen ze nieuw waren.

Er moet gewoon wetgeving komen. Wil een fabrikant hier een toestel kunnen verkopen, dan moet deze minimaal 4 jaar ondersteund worden met veiligheidsupdates. Hoe moeilijk kan het zijn?
Als Android steeds lichter wordt... hoezo worden die updates dan niet uitgerold? ;-)
Het lichter worden van Android (hiermee bedoel ik dat deze steeds sneller wordt) heeft geen relatie met de onwil van de Samsungs van deze wereld om updates uit te brengen.

De enige manier waarop dit bereikt kan worden is wetgeving. Ik denk dat de politiek wakker geschud moet worden.
De burger kan ook Android negeren voor een jaartje...
Je hebt daar echt geen politiek voor nodig.
Dat gaat niet gebeuren, want "de burger" bestaat niet.
Juist voor dit soort zaken kan de politiek laten zien dat ze ook ergens goed voor is.
de burger, ??? je weet dat er alleen maar stakingen zijn over loon, en zelden over de versobering van zorg onderwijs of werkgelegenheid... kortom alles wat niet in mijn straatje past laat ik lekker aan anderen over

dus als ik die nieuwe samsung galaxy s7 wil dan moeten anderen dat statement maar maken, en updates??? dat zin toch die dingen die altijd fout gaan en mijn plaatjes in de war schoppen... als er een bug is en mijn rabobank wordt geplunderd ga ik wel schreeuwend en eisend daar heen om mijn geld te halen ....

de burger is niet kinderen, die moet je vaak gewoon beetpakken en doen wat goed voor ze is...
Ik heb geen idee of het verdedigbaar is, burgers beetpakken en doen wat goed voor ze is? Dat soort argumenten komt door de interpunctie inderdaad niet uit de verf.
Er staat ook nog een 'niet' in de zin van i-chat. Maar erg duidelijk is dus niet geformuleerd, zoals ik al zei.

En tenzij je erg anarchistisch bent aangelegd is 'het juiste doen' ondanks dat sommigen tegenstribbelen best verdedigbaar. Denk verkeersregels, dat je buurman je hand niet mag afhakken ook al staat het in z'n heilige boek, etc. Maar vond het door de onduidelijke schijfwijze van i-chat de onderbouwing wat lastig.
Voor een wetgever zou dit micromanagement betekenen. Nog even los van het feit dat de upgrade status van een OS niet te handhaven is (wie beoordeelt dit, met welke achtergrond kennis, en op welke gronden). Bovendien zijn mensen vrij om updates tegen te houden of niet te installeren.

We hebben een mooie algemene wet voor producten, het conformiteitsbeginsel die het hele gedoe over die software passeert en simpelweg zegt dat een product conform de verwachtingen van een klant moet zijn. Verder moet een wetgever niet willen gaan, want die wet is prachtig generiek en op veel van toepassing, zolang de gebruiker een goede case weet te maken.

En dit laatste is denk ik de crux. Volksstammen mensen gebruiken smartphones die door hun eenvoud en verouderd OS mogelijk onveilig zijn. De gemiddelde gebruiker realiseert zich dit niet en zal naar zijn/haar beoordelingsvermogen alleen maar kunnen stellen dat het apparaat nog aan het verwachtingspatroon voldoet.

De slag die dus gemaakt moet worden is dat mensen het bewustzijn krijgen dat een onveilig apparaat ondeugdelijk is, dat ze zich organiseren en als collectief goede advocaten inhuren om te betogen dat de goedkope verouderd OS Smartphones niet voldoen aan het conformiteitsbeginsel. Met verstandige argumentatie moet daarvoor een case zijn te maken.

Het zwakke punt van het conformiteitsbeginsel is wel dat het een Nederlandse richtlijn betreft, die ruimhartiger is als huidige Europese richtlijnen. Het is de vraag of, zelfs al organiseren zich veel mensen, er voldoende een vuist is te maken om internationale smartphone fabrikanten in beweging te krijgen.
Android wordt niet lichter, maar efficienter. Die updates worden niet uitgerold omdat de fabrikanten van de toestellen geen zin meer hebben om 20+ verschillende eigen toestellen te moeten ondersteunen.

Ik ben zelf vanaf het begin af aan een Android-gebruiker, maar dit soort zaken baart me wel zorgen. Ik bezit nu een Nexus-toestel, dus updates zal ik wel kunnen krijgen, maar het updatebeleid van fabrikanten is te belachelijk voor woorden (Looking at you, Samsung!). Het is ook redelijk vreemd dat belangrijke zaken als het updaten van het OS aan die fabrikanten wordt overgelaten. Ik begrijp dat een deel van de updates ook via Play services wordt gedaan, zodat een relatief groot deel van de gebruikers daarmee alsnog van een patch kan worden voorzien, maar ik hoop wel dat bij Android M het roer stevig wordt omgegooid. Dit is een onhoudbare sitautie IMO.
tsja... daarom wil ik ook geen Android toestel.
Kans op updates is bijna 0%.
Hier heb ik bij iOS gelukkig geen last van.
Heel vreemd dat jullie zo klagen, maar ik heb een Note2 van ruim 2,5 jaar oud die inmiddels al 2 keer een update heeft gehad, draait nu op 4.4.2, en voor sommige landen is er al aangegeven dat er een update naar 5 aankomt, dus volgens mij valt het allemaal nogal mee! Mijn ervaring met Samsung is dus heel positief, en ik zal zeker uitkijken naar een nieuwere Note (4 of misschien wel 5)
4.4.2 is volgens wikipedia van december 2013, dat is ruim anderhalf jaar geleden. Je hebt een van de topmodellen van Samsung, en een van de beste/duurste Android toestellen op moment dat je 'm kocht en je noemt het een goed voorbeeld?!
Lijkt mij inderdaad een goed voorbeeld. Als je in 3 jaar zeg 3 android versies krijgt is er duidelijk wel een langetermijnbeleid.

@bbob1970 hieronder: Daar zou je helaas zomaar gelijk in kunnen hebben. Maar het kan dus wel.

[Reactie gewijzigd door mae-t.net op 5 augustus 2015 15:10]

Tja bij samsung wel voor een topmodel maar hoeveel% krijgt geen update ?
Gokje meer dan 505 van alles android toestellen en tabelts.
Bijna 0%....
Ik krijg al jaren updates voor al m'n Androidtoestellen.
2 voorwaarden:
- niet langer dan 2 jaar doen met je toestel. (Wie doet dat wel?)
- Geen (sterk) verouderd toestel kopen. Tenzij je maar 1 jaar met je toestel doet :)
niet langer dan 2 jaar doen met je toestel. (Wie doet dat wel?)
... Hele hordes 'Henk en Ingrid' die het geen barst interesseert hoe oud hun toestel is, hij doet het toch?

De vraag wordt straks wie er verantwoordelijk is als het mis gaat, b.v. doordat een bankrekening geroofd wordt. De fabrikant? Die zal zich verschuilen achter voorwaarden, De bank? die zal zeggen dat je updates moet draaien...dus het wordt toch Henk, want Ingrid schuift het door naar Henk. Henk kan niks want de fabrikant doet niks en prutsen met Cyanogen oid kan hij helemaal niet. (vraag is ook of een bank dat zal accepteren als 'veilig genoeg')

Henk zal zich dus tot een rechtbank wenden en de kans is aanwezig dat die zal zeggen dat de fabrikant willens en wetens geen update heeft uitgebracht ondanks dat deze bug bekent is en dus toch aansprakelijk is. Dat wordt nog een leuk juridisch gevecht met alleen maar verliezers (behalve de advokaten dan)

Nee, fijn ecosysteem dat Android
Iets minder denigrerend...

... Hele hordes gewone mensen die een telefoontje niet als 'eerste levensbehoefte' zien en die het geen barst interesseert hoe oud hun toestel is, hij doet het toch?
Wat Henk en Ingrid betreft heb je helemaal gelijk.
Mijn punt was vooral dat "Imade" nogal chargeert met z'n "bijna 0%".
Klinkt leuk maar is onzin.

Sterk verouderd toestel kopen, tja er zijn mensen die niet veel te besteden hebben en je kan het ook omdraaien, fabrikanten brengen nog steeds nu toestellen uit met oude versie. google staat erbij en kijkt er naar.
Ik weet niet waar je op doelt met "onzin". Ik probeer slechts uit te leggen waarom ik wel updates krijg, en die "bijna 0%" nergens op slaat.
Mijn verhaal geldt namelijk ook voor erg veel mensen die ik ken. En dan heb ik het dus niet over Henk en Ingrid.
Leuk dat jij wel updates krijgt maar bij heel veel mensen is dat niet het geval.
Leuk dat jij maar 2 jaar met je telefoon doet of zoals vele 1 jaar met de mode mee. Genoeg mensen die er veel langer mee doen.
Ja dus het is onzin te roepe max 2 jaar en updates is een structureel android probleem.
waarom zou je niet meer dan 2 jaar met een telefoon kunnen doen? Zoals eerder gezegd wordt Android als maar efficienter en van veel flagships zie je dat er weinig reden is om up te graden, veel toestellen van een paar jaar oud kunnen nog perfect mee.

Om maar niet te spreken van de kost die niet iedereen wil of kan dragen, en de onnodige afvalberg die we ermee creëren.

Klanten zoals jij is waar Samsung van smult: hun product is eigenlijk brak (want jij gelooft dat het na 2 jaar al obsolete is) en koopt dan maar iets nieuws.

En het is niet alleen Samsung, HTC heeft me ook ooit zoiets gelapt met een zelfs beloofde update die er uiteindelijk niet kwam. Sindsdien is het bij mij ook dag met het handje, ik overweeg alleen nog nexus toestellen.
Bijna 0%....
Ik krijg al jaren updates voor al m'n Androidtoestellen.
2 voorwaarden:
- niet langer dan 2 jaar doen met je toestel. (Wie doet dat wel?)
ik als mijn toestel het uithoud ... - want waarom zou ik immers 350 euro uitgeven om het na 2 jaar als weer weg te gooien, ik vind dat je iets moet kopen om het te gebruiken zolang het voldoet, en daar telefoons tegenwordig met gemak 3 jaar mee kunnen zie ik niet in waarom ik er dan ook niet zo lang mee zou doen..
- Geen (sterk) verouderd toestel kopen. Tenzij je maar 1 jaar met je toestel doet :)
[/quote] wat is sterk verouderd, ik had een one sv die het nog geen 2jaar vol hield omdat het onding een 3g versie bleek waar het een 4g versie had moeten zijn (hier kwam ik pas na een jaar achter omdat er toen nog geen 4g netwerk was om het te ontdekken...

nu heb ik een moto 4g (1st gen) en het heeft ruim een half jaar langer geduurd dan beloofd voordat ik een update naar android 5 kreeg, als ze zich aan hun 2jaar updates zouden houden dan wordt android 5.5 de laatste upgrade en gezien dat die versie nieuwe machtiging-beheer krijgt hoop ik dat je gelijk hebt, dat zou een zeer welkome feature zijn voor mij. zo niet dan heb ik dat er een cm (ofzo) versie komt voor dit toestel die die feature wel bevat omdat dat beetje veiligheid me wel wat waard is... ik zie echter niet in waarom ik niet zou proberen zo lang mogelijk met dat toestel te doen. zolang de accu lang genoeg mee gaat en het ding doet (bellen smsen browsen mailen en spotify) waar ik hem voor gekocht heb, ga ik geen nieuwtje kopen, ik besteed mijn geld liever aan nuttiger dingen dan een gimmick omdat het nieuwer is.
Bijna 0%....
Ik krijg al jaren updates voor al m'n Androidtoestellen.
2 voorwaarden:
- niet langer dan 2 jaar doen met je toestel. (Wie doet dat wel?)
- Geen (sterk) verouderd toestel kopen. Tenzij je maar 1 jaar met je toestel doet :)
Als je updates al krijgt, anders dan van Google, loop je per definitie bij Android al zwaar achter. Reden staat in de eerste post beschreven, updates moeten door teveel lagen/schillen heen.
Een telefoon hoort toch een jaar of 5 mee te kunnen en is vaak wel degelijk genoeg gecnostrueerd om langer dan 2 jaar mee te gaan. Beetje zonde om dan stipt elke 2 jaar toch een paar honderd euro uit te geven!
Het liefst koop ik elk jaar de nieuwste, maar dat is me net iets te duur. Ik heb niet gezegd dat iedereen elke 2 jaar een nieuwe telefoon moet kopen, maar je bent hier zeker niet de enige die mijn reactie verkeerd leest.
Zo zie je maar dat gechargeerd reageren op een gechargeerde reactie vooral veel verwarring schept ;)

Hoe dan ook zijn het niet alleen Henk en Toos die langer dan 2 jaar met een telefoon doen, dat punt heb ik dankzij jouw voorzetje in elk geval kunnen maken.
Beetje rare opmerking, niet langer dan 2 jaar doen met je toestel.
Ik heb een Galaxy S3 en wil niets anders omdat het gewoon goed draait.
Al die nonsense op met elk nieuwe toestel mee te moeten gaan met die trend.

Ik vind dat ze oudere toestellen ook gewoon moeten blijven ondersteunen.
We hebben er voor betaald en worden gediscrimineerd op deze manier.
Slaat echt nergens op.
?
M'n Sony begon op Jelly Bean, draait inmiddels op Lollipop en een update naar M is beloofd.
Omdat toestel bouwers als LG, Samsung, HTC en Sony geen zin hebben om een update te porten naar alle systemen. Luiheid dus, ofwel hoge kosten tegenover te weinig opbrengst.

Dat heeft echt 0,0 te maken met het gewicht van Android. Custom roms tonen aan dat Android sinds 4.3 alleen maar lichter is geworden.
Eigenlijk komt dat tot zover voornamelijk omdat fabrikanten bizar kleine systeem partities hebben aangemaakt op de toestellen, en de vereisten daarvoor drastisch gewijzigd zijn over de jaren.

En OTA ga je natuurlijk geen her-partitionering uitvoeren :')
Ik snap ze wel... Maarja, om dan ook geen optie te bieden om het *toch* te doen via je PC oid nadat je zelf een backupje hebt gemaakt is dan weer jammer... Maar dat is waarschijnlijk weer een tweakers insteek, geen idee wie zich daar werkelijk aan zouden gaan wagen van het gros van de gebruikers.
Dat is niet helemaal correct, IOS9 heeft als doel om juist die bloat er uit te halen en lichter te worden (zowel in ruimte als snelheid) dan IOS8.
Nouuuu... Het haalt wat bloat weg, en het voegt wat toe...

Ik vind iOS 9 tot nu toe echt enorm brak draaien. Enorme UI lag, random crashes, software die niet werkt; zelfs de mail app weigert correct te functioneren. Van al die snelheidsimprovements valt niets te merken.

... Maarja, het is dan ook nog maar Beta 2, maar gezien de korte tijd die er naar verluidt nog zou zijn tot de release begin ik toch lichtelijk angstig te worden.
Maar ik hou hoop. :P
Die Crashes heb ik in de IOS 9 beta geen last gehad...
En de problemen die ik had vallen in het niet met de IOS 8 beta. (damn wat een kut ding was dat)...

That being said, gebruik zelf de mail app niet, dus daar kan ik niet over oordelen.
Ok. Da's een goede ontwikkeling.
Zeker,
Hopen dat ze trouwens in osx 10.11 ook het ram use wat aan gaan pakken, want 10.10 is niet chill voor mensen met 4gb ram systemen (2011 macbooks etc)
Vreemde observatie: 10.10 draait wel degelijk uitstekend op een 2012 Macbook Air met 4Gbyte bvb.
Het systeem ansich is inderdaad licht genoeg.
Tot je een beetje gaat multitasken dan ben je de sigaar.

Ik zal me niet beperken tot chrome (want chrome is gewoon een ram vreter), maar ik hoor van veel mensen klachten over RAM flooding bij de laatste 2 OSX versies.
OS X maakt tegenwoordig standaard maximaal gebruik van de RAM, AFAIK doet Windows dat ook. Bijvoorbeeld veelgebruikte applicaties en bestanden cachen. Dat betekent niet dat je met minder RAM niet uit de voeten kan. Met 8GB RAM kan/kon ik op een MacBook Pro uit 2010 (upgrade naar Samsung EVO SSD en van 4 naar 8 GB RAM) meer dan 10 applicaties draaien waaronder Photoshop, iTunes, een aantal browsers, MPlayerX met spelende film of iMovie met spelende films en daarnaast nog 5 spelende YouTube-filmpjes op 1080p, ondertussen snel en vloeiend switchen tussen Mission Control, applicatie-specifieke Exposé, Launchpad, Dashboard en de 'show Desktop' hot corner. (Switchen d.m.v. de OS X functies van de function keys, 3/4 finger swipe up & down, pinch in & out en Hot Corners.)

Bv. 6 films tegelijk afspelen is natuurlijk geen echte use case, voor mij dan, maar dat is de manier waarop ik aan Windows-gebruikers demonstreer(de) dat OS X Yosemite en een oude MacBook Pro fantastisch werken. Dit heb ik meerdere malen getoond de afgelopen 12 maanden (met name tussen 6-12 maanden geleden, want na 3 jaar van geen clean installs merk je op een gegeven moment wel dat prestaties zoals die van dergelijk extreme multitasking achteruit gaan; de Samsung EVO firmware mist trouwens twee jaar aan bug fixes). Ik spreek overigens (deels) in de verleden tijd omdat ik nu een nieuw model gebruik.

TL;DR + slot: Ik kan me dus goed voorstellen dat je met 4 GB RAM, een SSD en een clean install al een zeer aardige real life performance kan bereiken op een MacBook Pro uit 2010 of 2011. Evenzo met een MacBook Air 2012 overigens, met de 2011 heb ik echter geen ervaring.
Ik draai zelf ook op 8GB ram en heb daar geen problemen mee, net als mensen die (vanwege problemen van 4gb naar 8gb gaan).

Als je zo zeker bent van dat 4gb al genoeg is, waarom ben je dan zelf wel geupgrade?

Overigens, ik zelf heb ook geen 4gb apparaten (want die zou ik niet eens kopen) maar hoor van veel mensen (waaronder mensen in de IT) niet zulke leuke verhalen over performance op de laatste versies van OSX...
Voor een gemiddelde gebruiker is 4 GB de komende jaren meer dan voldoende IMO. :)

Ik ben zelf geen gemiddelde gebruiker, draai vaak veel tegelijk, game regelmatig en heb in mijn browser altijd zat open. Ik had liever extra dan genoeg! Volgens mij had ik OS X Lion toen ik m'n RAM opwaardeerde en had ik nog geen SSD (wilde ook swap voorkomen / verminderen). Ik ben zelf student IT en ik merk er weinig van. Wel met specifieke programma's die niet geoptimaliseerd lijken te zijn voor Retina (zoals Netbeans), maar verder niet echt. Ik ken wel een IT-student met een MacBook Air die erg enthousiast is over El Capitan en de performance-winst die dat voor hem oplevert, maar een MacBook Air is ook niet de optimale keus voor een IT-student.

Edit: Ik heb toen ik aan deze comment begon een game gestart met veel AI-units en een Twitch stream, RAM-gebruik is niet echt gewijzigd. 8,5 GB in gebruik en 7,5 GB cache…

[Reactie gewijzigd door Blizz op 6 augustus 2015 16:59]

Android wordt niet echt lichter maar door slechte keuzes aan de start (o.a. Java in plaats van C / C++ / Objective-C / Objective-C++) en haast om het aan te passen aan iOS nadat het eerst meer een soort BlackBerry / Symbian achtig OS was gaven nog veel ruimte voor verbetering onder de motorkap. Met name de onlangs vernieuwde VM voor Java was een grote stap vooruit.

Nog steeds is iOS sneller op gelijkwaardige hardware maar het loopt nu op allebei de platformen vlot op recente telefoons.

iOS 9 gaat weer lichter draaien dan iOS 8, voor het eerst voor iOS maar je ziet dat bij een meer volwassen product zoals OS X de prestaties per release beter worden omdat de featureset "af" is en er steeds beter gebruik gemaakt wordt van de bestaande hardware (o.a. Metal).

Ook gaat Swift een kleine boost geven omdat die betere performance heeft op het gebied van het OO-deel, daar waar Objective-C net zo snel was in C maar het Objective deel trager was doordat het een dynamische taal is.
Wat dat betreft heeft Google maar mazzel met Apple: zolang zij mid-range hardware blijven verkopen voor premium-prijzen, kunnen Android fabrikanten voor minder geld zoveel snellere hardware inbouwen dat ze alsnog een snellere telefoon kunnen aanbieden voor een lagere prijs.
Google heeft geen enkel probleem behalve dat de veiligheid van haar producten een slechtere reputatie hebben inmiddels dan Microsoft besturingssystemen en dat straalt negatief af op het hele bedrijf.

Het zijn de fabrikanten van Android telefoons die de pech hebben dat ze duurdere hardware voor minder geld moeten verkopen omdat de software die er op draait minder efficiënt is. En dat vertaalt zich weer in het grote verschil in bedrijfswinst wat geboekt wordt.

Overigens wel jammer dat mijn eerdere post met een 0 gerate wordt hier. Iedereen die programmeert waar performance kritisch is weet dat native code zoals C, Swift, Rust, C++ en dergelijke beter presteren dan "ik ben vaak best snel maar nu even niet want ik ben aan het garbage collecten" Java.

[Reactie gewijzigd door BikkelZ op 5 augustus 2015 17:54]

IOS loopt vanzelfsprekend sneller dan Android op dezelfde hardware. Android heeft ook meer en zwaardere functionaliteit. Widgets, notificaties, echte multitasking.
Wetgeving? Nog meer regels en nog meer handhavingskosten. Dan niet klagen als de belasting omhoog gaat en telefoons duurder worden. Grote kans ook dat veel fabrikanten de toch niet zo belangrijke Europese markt dan links laten liggen.
Het zal inderdaad uit de lengte of uit de breedte moeten komen. De eerste stap is dat fabrikanten hun verantwoordelijkheid nemen. Dat doen ze niet, dus is enige dwang noodzakelijk.
Ik heb liever een veilig product en ben bereid om daar iets voor te betalen. Dit is zinnige wetgeving, in tegenstelling tot een hoop andere wetgeving uit Brussel.
De eerste versies van IOS 8 waren irritant traag op mijn iPad2. De laatste versies werden weer acceptabrl werkbaar. Met de focus van IOS 9 op snelheid en stabiliteit heb ik juist hoop dat mijn IPad nog een jaartje mee kan. Wat ik tot nog toe van de ervaringen met de beta gelezen heb gaat het de goede kant op.
Dat ligt natuurlijk niet alleen bij Apple: "Ik kan merken dat de apps worden doorontwikkeld voor de nieuwere toestellen en hierbij weinig tot geen rekening wordt gehouden met de beperkingen van oudere modellen." Dat ligt dus ook voor een groot deel aan de app-ontwikkalaars.

Ik heb sowieso het idee dat er nauwelijks meer naar efficiëntie en snelheid wordt gekeken in het huidige ontwikkelklimaat. De hardware is (relatief) spotgoedkoop en daardoor kan de extra tijd die aan het verbeteren van support wordt besteed niet meer worden verantwoord.
Dat ervaarde ik ook ja, dat je Iphone 4s een stuk trager geworden is... maar...

Ik heb het volgende gedaan en dat brengt weer een stuk snelheid terug.
1 ) update je telefoon naar de laatste versie IOS.
2) backup je telefoon volledig naar je pc.
3) factory default door middel van met iTunes de laatste firmware er weer op te zetten.
deze dus. http://appldnld.apple.com...1_8.4_12H143_Restore.ipsw
4) zet je instellingen terug naar je telefoon, aka doe een restore van je programma's en app-jes.

Je zult zien dat je telefoon weer sneller geworden is.
Kleine kanttekening, Apple ontwikkeld de iOS versies wel met alleen het huidige en vorige model in het achterhoofd. Performance op oudere devices gecombineerd met nieuwere iOS is om te huilen, waar dit met oudere iOS versies geen issue.
Wat een ontzettende onzin zeg. Androids die naar 18 maanden zijn afgeschreven? En dat durven mensen een +1 op Tweakers te geven?!

Ik heb hier gisteren nog een berekening over gedaan.
Ik heb mijn Nexus 5 op de release gekocht voor ¤399.
Afgelopen week, 20 maanden later, heb ik 'm hier op V&A weten te verkopen voor ¤230. Dat is dus een verlies van ¤170.

Zoek ik op V&A naar een iPhone 5S, die net als de Nexus 5 releasde in oktober 2013, dan zie ik ze daar staan voor zo'n 300-350 euro. De adviesprijs van een iPhone 5S bedroeg ¤699. Dat is een verlies van ¤350, oftewel letterlijk het dubbele als wat een flagship Android je had gekost...
Richh in 'nieuws: Samsung verlaagt prijzen S6 en S6 Edge met 100 en 150 euro'

[Reactie gewijzigd door Richh op 5 augustus 2015 17:08]

Enkel de Nexus 5 had een dergelijke prijs/kwaliteit verhouding samen met een net updatebeleid van alle Android telefoons die ooit gereleased zijn. Nieuwere Nexus telefoons hebben niet de zelfde bang for the buck meer. Dat maar één van de honderden Android telefoons die in dat tijdsbestek dat niveau haalt verergert de keuzestress voor de consument alleen maar. De kans is zo veel groter dat je weer de verkeerde gekocht hebt, hoe goed je je soms ook voorbereidt door lezen van reviews, vergelijken, etcetera.

Je moet jezelf wel eerst door 30 pagina's reviews heen worstelen voordat je die unicornphone vindt. Voor sommige mensen betekent dat qua uurtarief x uren dat een iPhone bij voorbaat al goedkoper is. Voor studenten met zeeën van tijd wellicht een minder belangrijke factor.
En de Nexus 4, Oneplus One, LG G2 en LG G3. Waarschijnlijk ook de Oneplus Two en de Nexus 5 2015.

Lees ook even mijn andere posts in de rest van dat topic. Ook met Samsung bereken ik minder afschrijving dan bij een nieuwe iPhone.

En 'keuzestress verergeren'? Lol, doe normaal zeg xD ik ben in ieder geval heel blij met de keuze tussen meer dan twee toestellen. Ik heb zelf ook geen zeeën van tijd.
Bedankt voor het inhoudelijke antwoord op m'n iPhone rekensommetje. Nexus apparaten zijn natuurlijk de gewoon beste bijgehouden Android apparaten. Dat is bekend. Maar net als de Oneplus apparaten zijn ze voornamelijk op het Tweakers publiek gericht. Een paar promille van de gehele Android markt. Maar het zijn inderdaad de Android apparaten die ik zou aanbevelen. Wel heeft Google een policy dat ze je Nexus apparaat minimaal 18 maanden tot maximaal 3 jaar lang ondersteunen met beveiligingsupdates, afhankelijk van wanneer je 'm heb gekocht hebt (src). Dat was voor de Nexus 4 nog 18 maanden, mijn excuses dat ik oude informatie had.

In het algemeen wordt een Android toestel echter niet 18 maanden bijgehouden. Tenzij je echt de highest end telefoons neemt. Wat misschien in vergelijking met de iPhone ook equivalenter is.

Als ik het goed lees moet de LG G2 nu nog 2 maanden wachten op de 5.1(.1) update van begin maart dit jaar. Ik begrijp dat dit 'snel' is voor Android begrippen. Binnen 6 maanden houdt Cyanogenmod bijvoorbeeld aan. Maar het blijven ook gewoon beveiligingsupdates, al die Android releases. Dan is een half jaar wachten gewoon aardig lang. LG is dus niet echt een fabrikant die ik kan aanbevelen omdat ze veiliger zijn, de context op deze pagina.

[Reactie gewijzigd door Henk Poley op 5 augustus 2015 19:53]

4 telefoons zeker en 2 misschien uit het oerwoud van telefoons wat de afgelopen jaren met Android uitgebracht is. Nou nou. Ik ben naar http://www.gsmarena.com gegaan en ik heb gekeken naar het aantal Android telefoons sinds 2012 en dat zijn er 1953.

Dus 0,3% van alle Android devices is geen gatenkaas qua beveiligingen / updates en de rest is CRAP. Een statistisch verwaarloosbare kans dat je een random Android telefoon netjes updates krijgt.

Laten we eerlijk zijn, er zijn telefoons die toevallig nog een van de laatste OS versies draaien en de beter ondersteunde telefoons zijn over het algemeen ook vaker verkocht, dus het aantal potentiële Android zombies ligt wel een stukje lager dan 99,7%, maar durf jij te zeggen dat het gros met een marge van een paar maanden up-to-date is?

Ik ga verder geen TCO discussie aan, als ik alle tijd die ik verkloot heb aan mijn Android telefoons terug zou kunnen krijgen voor de meerprijs van een iPhone zou ik NU naar de pinautomaat RENNEN.
Voor jou kennelijk: jij ziet het als een bezwaar.
Is er met silver geen oplossing onderweg voor het updateprobleem?

Daarnaast heb ik al vaak gezien dat wanneer er een beveiligingsprobleem wordt gemeld op Tweakers er bakken kritiek op Android volgen. De vraag die ik me dan stel is of er ook veel van ons echt de oversteek gaan maken naar een ander OS. De meeste keuze heb je als je bij Android zit, maar als je er een custom ROM op zet (wat wel niet ongewoon is voor tweakers) heb je het toestel toch gekocht en zijn de samsungs van deze wereld opnieuw blij en beloond voor een falend beleid. Ook is het de vraag of we de mensen uit onze omgeving die we adviseren bij het aankopen van een toestel (wees nu eerlijk, dat doen we) er toe aanzetten van Android weg te blijven.

Ik geloof dat zolang we de verkoop van deze toestellen niet 'boycotten' (door zelf en in onze adviezen een garantie op updates te vereisen) of via bijvoorbeeld de EU druk uitoefenen er niet direct verandering zal komen. Het is namelijk niet alleen omwille van "koop een nieuw toestel" dat het voor fabrikanten interessant is om Android aan te passen, het is ook om er hun eigen look en feel aan te geven. Dit is voor ons mss niet erg van belang, maar voor velen is Android van Samsung iets compleet anders dan Android van HTC: ze zien dit als verschillende besturingssystemen => hierdoor vergroten fabrikanten het verschil tussen elkaar en hoeven ze de concurrentie niet alleen op de prijs van de hardware te voeren => ze worden beloond voor het aanpassen van Android en updates te bemoeilijken. (de wet van Hotelling is dus niet van toepassing; de productdifferentiatie werkt)
Daarnaast heb ik al vaak gezien dat wanneer er een beveiligingsprobleem wordt gemeld op Tweakers er bakken kritiek op Android volgen.
Dit is Tweakers. D'r wordt hier gaten geschoten op elk OS. En dan maakt het niet uit welk smaakje het is.

Kan je beter het volgende zeggen:
Daarnaast heb ik al vaak gezien dat wanneer er een beveiligingsprobleem wordt gemeld op Tweakers er bakken kritiek op %Fill_In_OS% volgen.
Maar als er een prima reden voor kritiek is het wel 'fair' dat Google zijn portie krijgt.
Met een trotse historie van publiekelijk melden van andermans lekken en zeggen dat ze het maar moeten oplossen vindt ik dat Google zijn verantwoordelijkheid moet nemen om met een oplossing te komen. Ook voor de oudere platformen.

Als ze geen ondersteuning leveren voor oudere platformen hebben ze, mijns inzien, ook geen recht kritiek te leveren op de concurrentie.
Ik vindt het gewoon saillant dat men er geen flikker aan doet, iedereen maar lekker laat sudderen met oude Android versies. En het publiek het accepteert (of niet eens doorheeft) en gewoon zijn Android toestel blijf gebruiken.

Wat dat betreft zie je wel ontwikkelingen hoe men een OS voor een mobiele telefoon ontwikkeld evolueert. Apple met een gesloten omgeving en Microsoft met een 'push' naar de toestellen toe. Nu hebben zowel Microsoft als Apple het voordeel dat de hoeveelheid modellen beperkt is.

Dus nu aan Google niet alleen met Silver verder te gaan. Maar ook te realiseren dat ze de bestaande gebruikers op 4.x moet ondersteunen. Anders begint het zo onderhand een 'hoe jaag ik gebruikers weg' aktie te lijken.
Nu hebben zowel Microsoft als Apple het voordeel dat de hoeveelheid modellen beperkt is.
Maar dat is dus het punt wat alles compleet verandert. Windows Phone (of gewoon 10 nu) heeft ook heel specifieke systeemeise waardoor veel toestellen hetzelfde aanvoelen.

Android is daarentegen ontworpen om op zoveel mogelijk apparaten te draaien en draait inmiddels op duizenden verschillende apparaten (en dat zijn ook nog lang niet eens altijd smartphones). Hierdoor is de verantwoordelijkheid doorgeschoven naar de fabrikant die de controle erop houdt. Zouden ze zelf updates pushen, dan zou het kunnen voorkomen dat een gebruiker problemen krijgt en vervolgens bij de fabrikant komt klagen. In die situatie zouden fabrikanten dus niet snel voor Android kiezen. Naast natuurlijk nog het punt dat Google onmogelijk alles kan testen.

De oplossing hiervoor is gewoon enorm lastig. Misschien dat een Windows Update achtig systeem voor Android zou kunnen werken om beveiligingspatches apart te kunnen doorvoeren, al weet je dan nog steeds niet of deze een conflict kunnen veroorzaken. Veel apps worden iig al los geupdate in plaats van dat ze nog in het OS verweven zijn.

In ieder geval is dit een mooi moment om eens te kijken hoe alle betrokken partijen gaan handelen. Ik ben wel benieuwd naar welke fabrikanten snel updates zullen doorvoeren, welke nog extra ondersteuning voor oudere toestellen zullen aanbieden en vooral naar welke fabrikanten dat niet doen.
Android moet hardware onafhankelijk werken en de fabrikanten van smartphones moeten stoppen met hun eigen schil in Android integreren.
Oftewel, Google moet net als Microsoft snel updates kunnen uitbrengen.

Dat smartphonefabrikanten graag een plasje over Android willen doen is begrijpelijk, maar onhoudbaar.
Zelfs dan ben je er nog niet. Android draait op een veel breder spectrum aan apparaten. Van de allergoedkoopste smartphones tot op USB-stickjes en camera's. Daarnaast kan iedereen zelf Android forken, de deal met Google heeft meer betrekking tot de Play store en dergelijke (vandaar dat deze meestal ook niet goedkope Chinese apparaatjes zitten).

De ontwikkelingen gaan op deze markt ook gewoon enorm snel en ook die nieuwe Android-versies weten vaak erg goed gebruik te maken van de nieuwe hardware en mogelijkheden, maar grote kans dat het daardoor niet zo eenvoudig is op zwakkere apparaten.

Maar verder is het vooral de vraag of fabrikanten bereid zijn om hun controle uit handen te geven. Dat zijn de partijen met hun laag eroverheen en voor de smartphones had elke fabrikant z'n eigen pruts-OS. Je ziet al wat verschuiving naar meer vanilla-Android telefoons (zoals van Motorola), maar zo lang het gros Samsung-troep koopt met TouchWiz erop blijf je houden dat de bouwers dat eerder zien als sellingpoint dan als iets wat het toestel minder bruikbaar maakt.
Hoe het technisch opgelost moet worden weet ik ook niet. Maar dat er iets moet gebeuren is wel duidelijk.
Wat dat betreft zie je wel ontwikkelingen hoe men een OS voor een mobiele telefoon ontwikkeld evolueert. Apple met een gesloten omgeving en Microsoft met een 'push' naar de toestellen toe. Nu hebben zowel Microsoft als Apple het voordeel dat de hoeveelheid modellen beperkt is.
Klopt, maar Microsoft heeft op de desktop toch heel wat meer configuraties dan Android en MS lukt het ook jaren lang hun systemen te patchen met security-updates.
Google moet gewoon prioriteit gaan geven aan goed patch-management.
Ik ben over van Android naar IOS om 3 redenen:

Ik vind IOS prettiger werken dan Android (erg persoonlijk)
Het update beleid is rampzalig
Je hebt met Android geen controle over de rechten van apps

Ik had destijds het 1 na duurste Samsung model, maar geen updates, geen fixes voor software fouten en geen updates voor security issues. Ik heb nog wel even met custom roms geprutst, maar dat was ook echt gepruts. En ik wil niet tweaken met mijn telefoon. Ik heb mijn telefoon voor mijn werk nodig, die moet het gewoon doen.

Na die Samsung overgestapt op een iPhone, en dat had ik eerder moeten doen. (Ik moet er bij zeggen dat ik al jaren een heel tevreden OSX gebruiker ben)
Op nieuwe Android versies kun je de permissies heel goed zelf instellen.

Dat kan op app-niveau, maar ook meer gedetailleerd (bijvoorbeeld: app X mag geen contacten lezen). Je kunt daarnaast precies zien hoe een app zich gedraagt. Bijvoorbeeld: heeft app X geprobeerd om de contacten te lezen?
Nu is alleen nog maar reden 1 overgebleven om bij IOS te blijven en die is heel persoonlijk. Die andere twee zijn niet meer relevant want erg goed geregeld bij IOS. Maar als iemand anders blij is met Android vind ik dat best. Ik heb geen behoefte iemand over te halen. Er vroeg hier iemand of er tweakers waren die vanwege de beroerde updates met Android was overgestapt, en bij mij heeft dat zeker mee gespeeld. Daarna alleen maar meer van overtuigt geraakt dat IOS beter bij mij past.
Ik los het op met Cyanogenmod ROMs. Als dat niet meer lukt, ben ik aan een nieuwe telefoon toe. ;)
een custom rom 'hoeft' helemaal geen gepruts te zijn en eens je de bootloader hebt vervangen en voor de juiste rom hebt gekozen kun je gewoon OTA updates terug verwachten, ik heb custom roms gehad voor mijn desire HD die ettele malen stabieler waren dan elke offciele rom en dat was op een flagship toestel.

en nu met mijn moto 4g 1st overweeg ik het ook al vind ik het gepruts van unlocken niet fijn, vooral 'bang' dat ik die ene cruciale stap verkloot
Niet alleen bij Andriod; Je ziet vaak in de reacties dat dit ook andere mobile systemen betreft. Zowel iOS als Windows Phone. Al hoor je over het laatste natuurlijk het minst omdat het niet 'n groot OS is vergeleken met Andriod.

Er zal que verkoop ook niks gebeuren. Dat kost bedrijven veels te veel geld als ze dat zullen doen. Daarnaast zijn overheden zoals gemeld ook niet bang om zulke bugs te gebruiken. Gezien ze nog net geen drone's boven ons hoofd laten vliegen om ons in de gaten te houden.
Het lastige is aan Windows Phone en Windows 10 mobile, ze zitten volledig vast aan Qualcomm. Dat is nog ergens als AMD en Intel voor je desktop. Daar had je nog keuze.

Microsoft schrijft eigenlijk alles praktisch voor voor de OEM's. En OEM's zeggen, ja leuk en aardig... maar dan heb ik geen tools om te concurreren. Of in ieder geval niet genoeg.

Kijk maar naar de Samsung telefoons, Microsoft forceert hun om Qualcomm te gebruiken. Terwijl hun eigen ARM chips niet compatible zijn met Windows.

Het Android probleem met updaten is wel duidelijk. Maar Windows Phone / mobile heeft ook een probleem dat het eigenlijk zoveel ristricties op hardware legt dat anders hun update beleid helemaal niet werkt!!!!! (heel veel driver issues)

Dat mensen roepen dat Windows Phone heilig is en dat het de heilige graal is betreft updaten. Nee, het is een compromis maar dat willen de fanboys niet zien.

Continuum, leuk.. maar zoals meerdere berichten ook aangeven is het puur afhankelijk van Qualcomm hardware. :) Microsoft en Qualcomm liggen in dezelfde bed. En zonder Qualcomm chip geen Windows 10 mobile / Windows Phone.
OEM's willen dit niet, OEM's zullen altijd nog steeds voor Android kiezen.

[Reactie gewijzigd door Texamicz op 5 augustus 2015 08:26]

Het lastige is aan Windows Phone en Windows 10 mobile, ze zitten volledig vast aan Qualcomm. Dat is nog ergens als AMD en Intel voor je desktop. Daar had je nog keuze.

Microsoft schrijft eigenlijk alles praktisch voor voor de OEM's. En OEM's zeggen, ja leuk en aardig... maar dan heb ik geen tools om te concurreren. Of in ieder geval niet genoeg.

Het Android probleem met updaten is wel duidelijk. Maar Windows Phone / mobile heeft ook een probleem dat het eigenlijk zoveel ristricties op hardware legt dat anders hun update beleid helemaal niet werkt!!!!! (heel veel driver issues)
Gelukkig heeft IOS daar natuurlijk geen last van?
Ow wacht Apple laat helemaal OEM's toe en zal het update beleid ook niet werken op andere SoC's... Niemand maakt daar een probleem van omdat Apple zelf telefoons uitbrengt. Het geval wil alleen dat Microsoft sinds de overname van de telefoontak van Nokia ook alles zelf in huis heeft EN DAARNAAST nog de mogelijkheid biedt om OEM's toe te laten.

De grootste reden tot nu toe waarom Continuum afhankelijk is van qualcomm is omdat dit tot op heden de enige SoC is die 2 schermen tegelijk aan kan sturen.

Overigens durf ik ook niet te zeggen of het niet werken van de Samsung chips in WP volledig te weiden is aan Microsoft. Zoals eerder als is aangegeven is de 3rd party ondersteuning voor Samsung chips ook een groot probleem binnen android omdat Samsung niets prijsgeeft...

Ondanks dat kan je niet ontkennen dat het updaten een serieus probleem kan gaan vormen voor android. Bij Apple en Microsoft is dit een kleiner probleem omdat die (nu) alles in eigen beheer hebben of strenge eisen stellen aan de gebruikte hardware. Dat dit wellicht niet prettig is voor OEM's omdat ze zich dan "niet genoeg" kunnen onderscheiden is volgens mij ook maar een wassen neus... Want hoeveel "modale" consumenten kopen een android telefoon vanwege de skin? Volgens mij maar bar weinig. Ik heb in mijn omgeving nog nooit iemand er over gehoord... Alleen dat ze nu een X core cpu hebben en een scherm resolutie van xxxx bij xxxx of de meest gebruikte: "weer de nieuwste HTC/Samsung/(vul brand name hier in)", verder zal ze het een zorg zijn wat voor soort android er op draait en welke skin er in gebruik is, want dat weten ze gewoonweg niet.

Natuurlijk is het voor ons tweakers "makkelijk" om er "even een andere ROM op te zetten", maar dat is vaak ook alleen maar voor de populaire en duurdere modellen die uberhaubt of langere tijd ondersteuning krijgen vanuit de comunity, maar je hoeft echt niet aan te komen met je budget telefoon.
Ondanks dat was ik ondertussen behoorlijk moe van het "stoeien" met custom roms en heb recentelijk de overstap gemaakt naar een Lumia 1020. Juist omdat ik daar vanuit kan gaan dat WM 10 ook nog op dit toestel zal verschijnen. Niet alle features zullen worden ondersteund, maar dat is een persoonlijke weloverwogen beslissing geweest.

Mis ik dingen in WP, jazeker. Er zijn bepaalde dingen die ik niet kan of dingen die naar mijn mening nog mogelijk zou moeten zijn... Dat neemt niet weg dat ik de algemene gebruikers ervaring van WP een stuk prettiger vind dan android, zeker als je ook nog eens de low-end hardware meerekend. Is het snel? Wellicht niet zo snel als de snelste Apple of android, maar wel altijd soepel. Iets wat ik van android absoluut niet kan zeggen.

[Reactie gewijzigd door Spekkie88 op 5 augustus 2015 10:38]

Dus het komt erop neer dat Windows Phone niet aantrekkelijk is voor OEM's. Omdat Microsoft teveel de baas wil zijn over hoe alles moet gaan.

Microsoft kan best nu Apple's kant op gaan met de Lumia's. Prima keus. Echter zul je nooit het marktaandeel krijgen als Android. Dat moet je dan gewoon accepteren.

Microsoft laat geen andere chips dan Qualcomm toe omdat je niet teveel chips wil onderhouden om je update pluspunt te willen behouden. Anders moet je veel te veel drivers onderhouden van verschillende chips. Dat kost enorm veel mankracht en werk! Dit werk ligt bij Android bij de OEM's. En Samsung heeft zijn eigen chips waar ze geld op verdienen. Dus snap ik ze best dat Samsung de drivers ook wil onderhouden en hun chips willen verkopen.

Anders moet Microsoft de drivers en support leveren van Samsung hun chips voor WP. Bizar zou dat zijn.

Apple heeft als voordeel dat de iPhone een marktaandeel heeft van boven de 40% in de USA. Iedereen loopt daar rond met iPhones tegenover Europa.

Microsoft heeft gewoon een net niet keuze gemaakt door tussen Apple en Google in te zitten wat niet bepaald zal leiden tot grote marktaandeel. Ik zeg dit elk jaar. En elk jaar heb ik gelijk. Over 2 of 3 jaar nog steeds.
Correctie op "iedereen loopt met iPhone": In de VS is Android de marktleider en heeft Apple het laatste jaar nog iets in moeten leveren. In Europa is Android eveneens marktleider, maar hier is het aandeel Apple iets gegroeid.

Je moet met iets heel goeds komen wil je het Apple en Google moeilijk maken. Nou zal Windows op de smartphone best werken, maar ik zie nog geen voordelen. Wel nadelen: veel minder apps, vreemde interface (die volgens een vergelijkend onderzoek echt niet zo bruikbaar is als die van Apple en Google).
In vergelijkende tests komen Android en Apple telefoons er steevast als beste uit (camera, usability, performance).
Maar juist omdat android nagenoeg geen eisen stelt aan de hardware zie je dus hetzelfde probleem bij OEM's... Zeker een bedrijf als Samsung heeft zo veel verschillende telefoons dat ze die nooit up to date kunnen houden. Dit is een inherent probleem van de vrijheid die android biedt.

Als het uit eindelijk een dusdanig probleem gaat worden (wat je nu steeds meer gaat zien) dat de massa zich tegen android gaat keren zal er een keerpunt ontstaan. Of android gaat op de schop of OEM's gaan opzoek naar iets anders.

Het feit dat WP ook niet van de grond komt is omdat mensen het niet kennen. De massa kent eigenlijk alleen Apple, Samsung en soms HTC en/of Sony. Verder houdt het wel een beetje op.

Apple staat nu eenmaal nog steeds bekend als premium product en daarom zijn er nog steeds genoeg mensen die het geld er voor over hebben. Een groot voordeel aan WP vind ik persoonlijk is de uniforme interface net als bij Apple alleen dan in bijna iedere prijs categorie in tegenstelling tot android waar ieder merk telefoon een andere interface heeft... Persoonlijk heb ik in mijn android tijd dan ook altijd een 3rd party launcher gebruikt zodat ik op iedere telefoon een uniforme interface had.
Maar als ik om mij heen kijk zijn er maar zeer weinig mensen die dat weten en dus bij iedere nieuwe telefoon WEER moeten leren hoe de interface in elkaar steekt. Voor die mensen is de overstap naar de interface van Apple of WP net zo ingrijpend...

Het app aanbod in WP is karig inderdaad als je het vergelijkt met Apple en Android, echter als je gaat kijken naar de top 100 apps zie je dat WP het niet uitermate slecht doet. Het meeste wat je zal moeten missen zijn de apps van Google, maar daar kan MS ook niets aan veranderen.
Toch zie je dat ondanks het kleine marktaandeel er een zeer grote hoeveelheid mainstream apps beschikbaar is voor WP.
Je zal alleen in sommige gevallen op zoek moeten naar een alternatief en daar zit ook vaak het grootste probleem. Mensen willen namelijk EXACT dezelfde apps blijven gebruiken omdat ze die gewent zijn.
De reden die je noemt kan inderdaad als invloedsfactor worden gezien en zal ongetwijfeld een extra rem zijn voor een goed update en patch beleid. Het feit dat je reactie de factor noemt voegt mijns inziens wel wat toe aan de discussie.

De invloed als enige oorzaak te noemen die het verschil in update beleid tussen Android enerzijds en IOS en WP anderzijds moet verklaren lijkt me een beetje te veel eer. Hiervoor zijn in de topic al te veel andere redenen genoemd die ook van invloed zijn.

Een ander aspect waar ik moeite mee heb is dat de SoC onafhankelijkheid als een feature wordt genoemd van Android. Voor fabrikanten en een groep Tweakers zal dit zeker van belang zijn, maar de grote schare aan Android gebruikers in het veld heeft bij dit gegeven geen enkele beleving. Evenzo vinden de meeste IOS en WP gebruikers het niet boeiend dat hun smartphones door Qualcomm wordt aangedreven of dooreen andere SoC.

Wat de meeste gebruikers wel interesseert is dat ze een smartphone hebben die werkt en dit ook een tijd blijft doen. Voor een kleine minderheid is dit twee jaar of minder. Voor een grote meerderheid moet een smartphone langer meegaan. Geld kan maar een keer worden uitgegeven. Dus suggereren dat Android telefoons worden gekocht omwille van de support van meerdere SoC's waarbij de rammelende support op de koop toe wordt genomen is bezijden de waarheid. Voor het grote publiek is dit geen bewuste keuze.

Het trachten te supporten van meerdere SoC's is naast de invloed van fabrikanten en providers een extra kwetsbaarheid. Voor een Tweaker misschien een feature, maar voor het grote publiek eigenlijk een risico.
Nee, die onafhankelijkheid is ook niet zozeer van belang voor de gebruiker maar wel voor de OEM's. Als je als OEM moet kiezen tussen WP en "dure" Qualcomm chip of Android en "cheapass" mediatek SoC is de keuze natuurlijk vrij snel gemaakt.
Of de prijzen van SoC's daadwerkelijk zoveel verschillen durf ik niet te zeggen, maar als OEM ga je ook niet snel 2 platformen "in de lucht" houden. Al heb je wellicht als OEM weinig te doen aan WP, maar nogmaals daar weet ik het fijne niet van....
Dat niet alleen, zie je Samsung al graag een andere SoC willen gebruiken dan hun Exynos lijn? Nee.
Toen Samsung met Windows Phones aankwam werden ze gewoon geforceerd om hun concurrent te benaderen (Qualcomm) omdat Microsoft met hun in bed ligt.

Samsung wil hun Exynos chips gebruiken en zal dus echt nooit overstappen op Windows 10 mobile. Daarnaast willen ze graag ook op Software onderscheiden. Wat ze met de Note hebben gedaan qua aanpassingen op Android kunnen ze nooit bij Windows Phone doen omdat ze de source niet hebben.

Microsoft moet gewoon de kant op gaan als Apple, echter krijg je daar maar maximaal 10-15% wereldwijde marktaandeel mee. Maar kan Microsoft hun Lumia lijn zo "exclusief" laten voelen zoals Apple dat doet? Lastig..

Wat dat betreft heeft Microsoft alle kaarten tegen zich om überhaupt een groot marktaandel te verwerven.

OEM's willen het niet, Consumenten willen vaak niet snel iets anders als iets prima werkt. En als iets, een beetje beter werkt is vaak nog geen overtuigende factor om gelijk over te stappen. Men hecht ook niet weer zoveel aan de functionaliteit van een telefoon. Het zijn vaak maar basale dingen die een smartphone moet kunnen voor de gewone consument.
Ook al zou Windows Phone veel beter zijn als Android zou het lastig marktaandeel verkrijgen vanwege de markt omstandigheden. Markt is tevens verzadigd, men hoeft niet meer zo gauw het nieuwste van het nieuwste model. Een midranger kan nu heel lang mee, terwijl ik eerst met een high end toestel na een jaar al dik achter liep. Dat gevoel heb ik nu allang niet meer.
Dat niet alleen, zie je Samsung al graag een andere SoC willen gebruiken dan hun Exynos lijn? Nee.
Toen Samsung met Windows Phones aankwam werden ze gewoon geforceerd om hun concurrent te benaderen (Qualcomm) omdat Microsoft met hun in bed ligt.

Samsung wil hun Exynos chips gebruiken en zal dus echt nooit overstappen op Windows 10 mobile. Daarnaast willen ze graag ook op Software onderscheiden. Wat ze met de Note hebben gedaan qua aanpassingen op Android kunnen ze nooit bij Windows Phone doen omdat ze de source niet hebben.

...
Dat zeg je wel iedere keer maar dat vraag ik me dus zeer sterk af.
Als je al kijkt in de PW naar Samsung smartphones is het overgrote deel uitgerust met een Qualcomm SoC... Zelfs de S5 (plus) en note 4 zijn uitgerust met een Qualcomm...
Blijkbaar heeft Samsung er dus niet heel veel problemen mee om Qualcomm chips te gebruiken...

EDIT:
Hier staat bijvoorbeeld dat het meer een legal issue is over bepaalde royalty's waardoor Samsung weigert windows phones te produceren...

[Reactie gewijzigd door Spekkie88 op 6 augustus 2015 18:55]

Dat Samsung in sommige modellen met de Qualcomm SoC werkt heeft meer te maken met Regio's en de Radio met betrekking tot de frequencies.

De S5 en de Note 4 zijn ook met Exynos verkrijgbaar. Maar dat is niet in onze regio. Ze proberen in ieder geval zo veel mogelijk Exynos te verkopen. Alleen gaat dat niet altijd gepaard met de frequenties overal in de wereld.

Ze gebruiken de Windows Phone productie natuurlijk als drukmiddel om de royalties omlaag te krijgen en om uiteindelijk meer winst te maken. Uiteindelijk gaat het om meer winst.

[Reactie gewijzigd door Texamicz op 6 augustus 2015 22:04]

Dat vind ik alleen nog maar vreemder... Ze maken die SoC tenslotte zelf, ze zijn wereldwijd actief en hebben notabene zelfs de productie in eigen hand en nog stoppen ze er geen wereldwijde frequentiebanden in?
Daarnaast zie je ook dat veel midrange en budget modellen zijn uitgerust met qualcomm...
Ach, ik heb een Galaxy S4 anderhalf jaar geleden gekocht in de aanbieding.

Ik krijg ook geen updates meer. 5.1.1 lijkt namelijk niet te komen voor mijn toestel. Android M al helemaal niet meer. Anderhalf jaar en heb nu al het gevoel dat ik er vanaf moet.

Nooit meer Samsung is hoe ik er nu in sta.

Ik heb er 400 euro voor betaald. Stel dat hij in totaal 2 jaar meegaat - waarvan ik me nu al afvraag of ik dat nog ga volhouden vanwege deze secuity issues - dan heeft hij me 200 euro per jaar gekost. Kortom, als ik een iPhone koop van 700 euro en hij gaat 4 jaar mee dan is die goedkoper.

Dat had ik van tevoren nooit verwacht. Ik ben juist van een iPhone naar een Samsung geswitcht om kosten te besparen en wat krijg ik? Een toestel dat binnen de kortste keren obsolete is en niet meer wordt bijgewerkt.

Erg jammer, want de hardware is verder nog prima en zou nog jaren mee kunnen. Maar ja, zelfs Cyanogenmod geeft geen stabiele versie ervoor uit. Alleen maar nightlies voor Lollipop, waarvan ik lees dat veel mensen er niet eens mee kunnen bellen.

[Reactie gewijzigd door Lethalis op 5 augustus 2015 07:30]

Je vergeet dan wel dat je 2 jaar lang met een heel oud toestel rondloopt dat wel een update gekregen heeft maar niet vooruit te branden is.
Als jij na 2 jaar weer het nieuwste toestel koopt is deze weer helemaal up-to-date qua performance, betere camera en nieuwe technologien (NFC, wireless charing etc etc.)
dus je vergelijking gaat niet helemaal op.

Die schrijver hierboven die het heeft over 5 jaar met een telefoon doen... ik vind dat een beetje onrealistisch in de smartphone wereld, ongeacht het merk of type telefoon.
Ik heb zelf ook nog een iPhone 4s en er zijn meer mensen in mijn omgeving. Sterker nog; ik ken zelfs nog een handvol mensen die zonder problemen een iPhone 4 gebruiken. En dit zijn software-ontwikkelaars etc, dus geen mensen die van toeten noch blazen weten.

Ik was zeer sceptisch over de iPhone, maar ik was nog veel sceptischer over de releasecycle van Android. Zoals de allereerste reactie al zegt: die is fundamenteel stuk.
Ik vind iphone prachtig, voor non techies, heb beide mn ouders vol met pads, pods en phones gestopt, nooit meer gezijk met iets windows fixen of android errors, prachtig!
Dat doet niets af aan het feit dat die dingen met de laatste versies van de software wel een stuk trager worden, en dat je de prijs niet kan vergelijken met de laatste versies omdat de featureset anders is. (dat van iphone van 700 euro nog goedkoper ook hierboven)

Voor mezelf is het toch echt android vanwege de mogelijkheden, app-ops en updaten is echt wel zelf te doen, als ontwikkelaar dan.
Rooten en je eigen system image (ROM) maken is veel minder moeilijk dan ik aanvankelijk altijd dacht.
De notie dat elke "techie" of iemand met de nodige kennis automatisch naar Android grijpt of mac producten enkel maar aangewezen zijn voor non techies lijkt mij toch ook fundamenteel verkeerd en achterhaald.

Heb al 17 jaar dev ervaring achter de kiezen. Heb gewerkt voor bedrijven in het veld van spraaktechnologie tot artificiele robotica en robotica. Ik werk vandaag in de R&D voor startups waar ik vooral bezig ben met al het relevante nieuwe in de gaten houd en er ook testcases rond ontwikkel.

Heb denk ik wel voldoende kennis om een Android device te tweaken, te onderhouden en zelf dingen voor te schrijven en toch verkies ik een iPhone. En dat zelf na jaren Android devices te hebben gehad (inclusief de nexus devices) en 2 jaar in te hebben gestaan voor Android ports.

Tijd is voor mij een duur goed en is niet in grote getallen aanwezig dus ik heb persoonlijk ook niet die noodzaak om die investering te doen bij een telefoon om het aan te passen zodat het uiteindelijk min of meer werkt zoals ik het zelf wil.

Ben trouwens redelijk zeker van dat ik niet alleen ben als ik het aantal macs en iphones op een random dev conferentie tel.

Vind het persoonlijk ook de verkeerde instelling, het zou de verantwoordelijkheid moeten zijn van de fabrikant. Niet de gebruiker die zijn tijd investeert. Men jokt nogal vaak op de iSheep en de gebrek aan intelligentie maar de "geen probleem, we fixen dat zelf wel" lijkt mij ook niet een zo slimme attitude. Denk dat veel sectoren zo'n vergeeflijke klanten zou willen.

Om nog maar te zwijgen van het oud zeer dat toestellen snel EOL gaan en geen ondersteuning meer krijgen. Ik huiver bij de gedachte hoeveel toestellen er nu in het wild zulen zijn die totaal geen patch zullen krijgen voor deze exploit. Dat is niet normaal want veel van die toestellen zullen zelf nog geen 2 jaar oud zijn.

Vraag mij dan ook af wat er goedkoop is aan om de zoveel tijd honderd(en) euro's uitgeven aan een Android device voor die korte tijd dat het ondersteuning geniet en dat t.o.v. een duurder toestel die men jaren ondersteunt. Heb nl. ook niet bepaald het gevoel dat ik op de lange termijn er duurder uitben.

Nu voor mij kiest ieder voor zichzelf wat hij wil gebruiken, ik erger mij enkel aan dat idee dat elke techie automatisch een bepaalde keuze maakt.

[Reactie gewijzigd door simplicidad op 5 augustus 2015 10:38]

Als tijd een duur goed is voor u heb je hier toch een serieus dure post gezet :-)
Ben techie maar ga geen tijd besteden om mn telefoon te tweaken. 😂
Je draait het om, ik zeg niet dat Android prachtig is voor techies, ik zeg dat de iphone prachtig is voor non-techies. (en dat meen ik)

Zoals ik het stel sluit het een het ander niet uit, maar zoals jij het stelt wel.
Al vind ik wel dat android prachtig is voor techies die hun telefoon graag willen tweaken.

Zoals je zelf aangeeft, ook al ben je een techie, wil je je telefoon niet (hoeven) tweaken, maar dat neemt niet weg dat de tweak mogelijkheden voor degene die dat wel willen op een iphone beperkter zijn.

Zelf vind ik het heerlijk dat ik gewoon java code kan runnen op mn eigen telefoon, wil ik even wat webservices agregeren? schrijf ik snel even een app voor en ik heb de info die ik wil op de manier die ik wil.
daarnaast heb ik soms wensen waar ik ook meer controlle over het systeem voor nodig heb.
Vriend van mij heeft ook een iPhone 4 en dat ding is echt extreem langzaam.. foto openen duurt soms 20+ seconden.
Bij de vier was het vooral belangrijk een aantal default-settings te veranderen in de gui. Erg stom dat Apple dat niet standaard heeft gedaan.
M'n oude iPhone 4 is nog steeds in gebruik bij een vriendin en ze is er nog steeds tevreden mee, heb niks van haar gehoord over zulke problemen. Ze zou alleen een keer de knopjes moeten vervangen, die hebben het in de loop der jaren vrijwel begeven.
Ik had mijn iPhone 4 ruim 4 jaar in gebruik. En dan hebben we het over een single core toestel dat de nieuwste software tegenwoordig inderdaad niet meer kan draaien. Een 4s is dual core en kan al wat langer mee.

Mijn punt: de Galaxy S4 die ik heb, is een quad core die met gemak de nieuwste software kan draaien. Maar hij wordt alsnog niet bijgewerkt.

De smartphone wereld heeft een revolutie doorgemaakt qua performance, maar die begint nu wel af te remmen. Er is geen enkele reden waarom een quad core telefoon anno nu niet wordt bijgewerkt.

Ik verwacht dan ook dat als ik nu een iPhone 6 zou kopen, dat deze met gemak 4 jaar meegaat. De geekbench score daarvan is dermate dat hij sneller dan mijn Celeron NUC is die ik als mediacenter PC gebruik!

Als dat geen recent mobiel OS kan draaien dat ik gebruik om te bellen, whatsapp-en, facebook-en en een beetje browsen.. dan klopt er iets niet.

De graaicultuur bij Samsung en consorten moet simpelweg ophouden. De smartphone wereld is in de nabije toekomst niet anders dan de PC wereld: verzadigd. En dan gaan andere zaken een veel grotere rol spelen.

Een groter scherm? Een snellere processor? Who cares als ik al een 5" scherm heb met zoveel pixels dat ik ze toch niet kan onderscheiden, dat amper in mijn broekzak past en een telefoon met snelle hardware aan boord. Het gaat straks alleen nog maar om de software en diensten. En goede lange termijn support in de vorm van updates wordt dus belangrijk.

Op zich is Windows 10 met zijn lifetime support zo gek nog niet in dat opzicht. Maar goed, met een iPhone heb ik er ook meteen een goed ecosysteem bij.

[Reactie gewijzigd door Lethalis op 5 augustus 2015 10:17]

Windows 10 ondersteunt in feite systemen* die gemaakt zijn sinds het einde van de originele Moore's Law in 2004. Beetje wrang, maar daarom kunnen ze inplannen dat de komende 10 jaar niet zulke grote veranderingen zullen optreden dat de oudste ondersteunde systemen van 2004-'06 niet meer kunnen werken met toekomstige software.

* NX is sinds 2004 langzamerhand aan systemen toegevoegd. WDDM 1.0 is beschikbaar voor Intel GMA950 (2006), Nvidia Geforce 6000 series (2004), AMD Radeon HD2000 (2006).
Heb zelf ook een 4s en die doet het nog net zo goed als op de eerste dag. Heb ook nog wat andere toestellen ernaast, maar merk in het dagelijks gebruik geen belemmeringen op welke wijze dan ook. Sterker nog, vergeleken met .... ;-)

Ik denk dat het erg ligt aan hoe je je telefoon gebruikt. 95% (ja, ja, mijn persoonlijke inschatting) van alle smartphonegebruikers heeft met een 4s alles wat ze nodig hebben.
Dat scherm is veel te klein. :(
/oftopic

Ik denk dat je heel erg achterloopt met je nieuws over Cyanogenmod. Er is al maanden een stabiele versie beschikbaar. Weliswaar geen officiële 'stable' maar ik gebruik het voor mijn werktelefoon en het loopt volkomen stabiel. Dat iets nightly is betekent niet dat het niet stabiel is. Ik weet ook niet waar je gelezen hebt dat mensen niet kunnen bellen, want dat is echt onzin.

Kijk anders is naar onderstaande rom. Ik wil nooit meer terug naar een Samsung stock rom. Android 5.1.1. Flash het en het voelt als een compleet nieuwe telefoon.

http://forum.xda-develope...sone-alucard24-s-t3066696

[Reactie gewijzigd door Lennyz op 5 augustus 2015 09:13]

ik heb al pogingen gedaan met 'stable' releases van Cyanogenmod: sommige apps werken niet goed / crashen
nu kan het misschien aan de apps liggen, maar blij wordt ik er niet van
ik heb dus de keuze: oude android versie met bugs of nieuwe android versie met apps die vreemd doen
(en ja, ik heb de correcte versie geïnstalleerd)
De 'Stable' releases van Cyanogenmod zijn bijna altijd outdated en vaak oudere versies van Android. Ga gewoon voor de nightlies, die zijn vaak stabieler.

Altijd ook even de bijbehorende thread op XDA doorlezen, dan weet je hoe ver de rom is in de ontwikkeling.
Dan heb jij nog geluk. Ik heb pas een nieuwe Tab 3 7 gekocht(zal wel oude stock geweest zijn maar toch), die gaat niet verder dan 4.4.2. Zijn geen custom roms voor.
Nu doe ik niet veel met een tablet, wat hearthstone spelen en spelletjes voor mijn kind in de auto of zo, maar toch.
Updates gaan normaliter door drie lagen: 1. Google geeft de nieuwe versie van Android uit; 2. de fabrikant past deze aan naar zijn toestel, inclusief meestal een vertaling naar hun eigen skin; 3. de telco wil er vaak ook nog het eea aan wijzigen. Als alles goed gaat duurt het maanden voordat een versie goed en wel is uitgerold
Deels heb je gelijk, maar ik moest hier toch even op reageren. Jij gaar er in je voorbeeld vanuit dat de patch via Google verloopt. Maar dat hoeft helemaal niet zo te gaan. Denk je echt dat Samsung met z'n huidige mainstream lijnen de S5 en de S6 gaat wachten tot google over tijden pas met een update komt? Terwijl honderden Samsung toestellen de dupe worden van deze lek?

Nou ik vraag het me erg af. Ik bezig zelf een Galaxy S5, en maandelijks begint mijn telefoon te zeuren over dat er vanuit Samsung een nieuwe beveiliging's package klaar staat, dan bedoel ik niet een update, maar van Samsung zelf, een eigen beveiligings-module die het heeft ingebouwd in de toestellen. Nu vraag ik mij af, of een bedrijf zo'n groot risico aandurft voor haar main stream toestellen.. Ik zou het niet aan durven voor m'n main stream producten, dus ik acht de kans ook zeer groot dat Samsung de patch via een van haar eigen tooltjes/beveiliging's tools op de telefoon deze update wel forceerd /pushed.

Als dat het geval is, wat mij aannemelijk lijkt, gaat het zeker geen tijden duren voordat er een update is.
tot google over tijden pas met een update komt?
Google's patches van het huidige grote lek in Stagefright zijn al een paar maanden terug geland in AOSP. Het is niet Samsung die aan het wachten is op Google.

De patches zijn van 9 april tot 5 mei al beschikbaar in Cyanogenmod. Die het dus weer van Google geïmporteerd heeft.

[Reactie gewijzigd door Henk Poley op 5 augustus 2015 11:31]

Tsja, dan vraag ik me af hoe ze het met blackberry en ios gaan doen.
Dit lijkt verdomd veel als programma's die je bijv via ennectom kan aanschaffen.
Hiermee kan je bijv een video sturen via mms net zoals in het artikel omschreven is waarmee je toegang krijgt tot alle info op dat apparaat.
Dit werkt op zowel ios, android als blackberry ( windows phones vooralsnog niet.. )
De ontwikkelaars van die tool zullen vast en zeker gebruik maken van dit soort bugs, bugs die dus ook op iOs te vinden zijn.
Het niet geheim willen houden zit hem meer in de credits en concurrentie dan in security through obscurity, aangezien meer mensen nu op de exploit zitten te azen, zoals Chinezen. Het is een lucratieve business geworden om exploits te vinden, waar echt miljoenen dollars in om gaan tegenwoordig.
Klopt t.a.v. update beleid.

Daarom adviseer ik altijd een van de volgende toestellen:
- iOS iPhone van tenminste n-1 of nieuwer.
- Android Nexus, de nieuwste.
- Windows Phone, tenminste n-1 of nieuwer.
- BlackBerry

De Moto serie van Motorola is ook sterk mbt updates, maar Nexus blijft beter.

Alle andere merken is wat mij betreft 'eigen' risico.
Ik begrijp de mensen wel die nu met een wat ouder toestel zitten die gegarandeerd geen fix gaan krijgen en nu zoiets hebben van "ja, maar wacht eens even!".
Het grootste probleem is dat 99% van de consumenten buiten de tweakers, dit nieuws nooit te horen krijgen/totaal niet interesseert/de gevolgen niet snappen. Of zoiets hebben van: "och mijn abbo loopt toch over x maanden af, dan neem ik weer een nieuw toestel".
Windows Phone krijgt om de zoveel maanden een update, en quick-fixes als er echt iets mis is. Zo hebben we een aantal maanden geleden Lumia Denim op alle Windows Phones gekregen (hier een Lumia 830), en een aantal weken terug kreeg ik nog een update daar bovenop met hotfixes. Zover ik weet worden alle (of in ieder geval, bijna alle) Windows Phone toestellen ge-upgrade naar Windows 10.

Het feit dat Android fundamentally broken is qua updates was voor mij inderdaad ook de reden om Android vaarwel te zeggen, ook al vind ik Android fijner m.b.t het feit dat je er gekke dingen mee kan doen. iOS 8 voelt erg traag aan (zelfs op een iPad Air 2 is het nu niet echt 'snappy') terwijl Windows Phone lekker licht aanvoelt. Daarom dus mijn keuze voor een Windows Phone.
Je zal zien dat als je een Chinees toestel koopt dat je die vier jaar bij lange na niet gaat halen, los van alle frustraties die je er van hebt. Veel mensen realiseren zich gewoon niet hoe goed Samsung toestellen zijn omdat je er nooit iets mee hebt. Je merkt het pas als je een ander merk koopt dat het allemaal niet zo vanzelfsprekend is. Ik heb mijn Samsung Wave uit 2010 aan een familielid gegeven en die doet het nog steeds (accu is wel vervangen). Ik heb dat ding al talloze malen laten vallen. Mijn nieuwe Samsung Galaxy S4 Mini heb ik ook al meerdere malen laten vallen zonder een piep van het ding.
Qua hardware mankeert er over het algemeen ook weinig aan, mijn Glaxy S doet nog steeds dienst binnen de familie, Samsung kan alleen geen software maken en onderhouden. Op zich ook niet zo vreemd, gezien de hoeveelheid diverse toestellen die ze moeten onderhouden, maar het probleem zit ook zeker niet in de hardware!
Samsung doet het beter dan de meeste merken en van de Chinese fabrikanten hoef je al helemaal geen updates te verwachten. Voor mijn Samsung Wave heb ik zeker 3 jaar updates gehad. Mijn Galaxy S4 Mini heb ik 1 update gehad, en dat was van de telecom provider.

Het sterke punt van Android (open-source) is ook de zwakte want iedere telecom provider of mobieltjes fabrikant gaat het aanpassen omdat ze het *hun* Android willen maken. Daardoor is het voor Google niet meer mogelijk om het centraal te updaten. Ik denk niet dat dit snel gaat veranderen, maar Google zal wel meer afspraken moeten maken met fabrikanten en telecom providers over updaten. Wellicht kan men Android opdelen in een low-level gedeelte wat door Google wordt geupdate terwijl de 'skin' alleen door de fabrikant wordt geupdate.
Sorry .. de 'ondersteuning' van Apple is anders dan jij stelt. JA .. op de Ipad 2 kun je b.v. de nieuwe iOS 8.*draaien, maar NEE, het werkt voor geen meter. Traag, waardeloos internet, haperend toestenbord enz. En terug naar 7.* ...nee, dat mag niet van de Appeltjes. Android is zeker ook niet allemaal koek en ei, maar Apple/iOs .. ze willen je dwingen om continue de nieuwste hardware te kopen. Ik overweeg dan ook (sorry .. nofi :-)) een Windows Phone te kopen. Minder 'hip' dan Apple spul, maar wel betrouwbaar en .. je hebt ZELF controle over wat je er op zet.
Met iOS 8.4 is alles wel stukje sneller geworden.
Je hebt bij een mayor upgrade/update altijd minstens 48 uur de tijd om te downgraden.
Ik vind dat meer dan genoeg om een beslissing te nemen.
De nexus 4 uit 2012 wordt anders ook gewoon nog steeds ondersteund, draait de laatste versies/updates gewoon. Wat dat betreft zit de ondersteuning niet ver af van de iphone, maar vergelijken gaat pas als de updates stoppen :).

Dat er inderdaad tussenlagen zijn die allemaal dingen uitvreten met mobieltjes/android, op eigen mobieltjes, is hun goed recht. Zolang mensen daarvoor bereid zijn te betalen (dergelijke mobieltjes zijn vaak zo 100-200 euro duurder), zullen ze dat ook blijven doen.
Ja, de Nexus is inderdaad een positieve uitzondering op de regel. Maar dat komt natuurlijk vooral omdat de Nexus: 1. direct wordt ondersteunt door Google (en andere lagen worden uitgesloten bij het update proces) en 2. de Nexus, vanwege de 'pure' Android ervaring, erg geliefd is bij ontwikkelaars. Ubuntu Phone bijvoorbeeld heeft steevast images beschikbaar voor de Nexus. Hierdoor zal de Nexus nog een relatief lang leven beschoren zijn, ook als Google er uiteindelijk de stekker uit trekt.

Nadeel: De huidige Nexus 6 is erg duur, hoewel er ook een aantal abonnementen zijn met het toestel.
Off-topic: Ik heb een vraag over de ROM die je noemt voor de Galaxy S3. Kom je nog bugs tegen, zoals de camera die niet bereikbaar is?
Ik heb goede ervaringen met ArchiDroid 3.1. Ik heb voorheen ook nog een kale CyanogenMod 12.1 gedraaid van dezelfde ontwikkelaar, maar deze had voor mij last van random reboots. ArchiDroid is veel stabieler en heeft enkel, af en toe, problemen met de Bluetooth.

Hoop dat het je helpt.
Delen van Android gaan nu buiten de normale updatecycli om, onder andere de webview-libraries die door apps worden gebruikt. M.a.w. als er veiligheidsissues aan het licht komen in het webview-gedeelte dan kan Google die patchen zonder tussenkomst van fabrikanten en telco's en de update pushen via Play store.

Ik weet niet of stagefright daar een onderdeel van is nu (denk het niet), maar als ook die onderdelen via losse updates gaan dan heb je al een flink deel van potentiële problemen afgevangen.
En zo timmert Google android langzaam dicht...
Want tot nu toe de dingen die uit de AOSP zijn gehaald zijn allemaal closed source geworden...
In je eerste alinea hebt je het over de focus op de verkeerde plek. In de laatste alinea heb je het over ondersteuning door de "gemeenschap" dat is natuurlijk ook de verkeerde plek. De "gemeenschap" zijn goedbedoelende vrijwilligers, die zijn tot niets verplicht en je mag er dus ook niet van verwachten. De ondersteuning moet komen van de fabrikant en van niemand anders. Dat Google security updates en nieuwe features niet zuiver scheidt en het daardoor voor mobieltjes fabrikanten lastig is om updates uit te brengen en de meeste het daarom voor oudere toestellen maar laten is wat mij betreft de laatste nagel aan het Android concept, op deze manier heeft het geen toekomst. De focus van meneer Drake lijkt me ook op de verkeerde plek te liggen. In plaats van zich te bemoeien met de oplossing lijkt hij toch wel erg graag zijn exploit in de wereld te willen loslaten.
Dat de gemeenschap niet de taak van de fabrikant zou moeten overnemen is natuurlijk helemaal waar. Maar, voor tweakers als ons, is de gemeenschap als XDA wel een mogelijke route om te nemen. Dat ook hier beperkingen aan zitten, zoals ik aangaf in mijn eerdere post, heeft te maken met de documentatie die de fabrikanten over hun producten meegeven.

Ervan uitgaande dat een Samsung bijvoorbeeld niet opeens van gedachte verandert en zegt dat ze in het vervolg hun toestellen voor vier a vijf jaar gaan ondersteunen, is de "escape route" via de gemeenschap dus een valide overwegng als je bij Android blijft en dus is een vraag over de documentatie van de gebruikte chips een belangrijke overweging.

Voor non-tweakers lijkt iOS op dit moment de betere route inderdaad of, bij wijze van uitzondering, de Nexus lijn die direct door Google zelf wordt ondersteunt.

Edit: typo's

[Reactie gewijzigd door Q-collective op 5 augustus 2015 13:42]

Google weet dit en oefent druk uit op telecom providers en mobieltjes fabrikanten om een 'worm' in elk geval te voorkomen. Als zo'n worm bijvoorbeeld alle Android mobieltjes (1 miljard+) wist dan zal dat enorme reputatie schade opleveren voor Google en vooral Android. Dan komt het hele Android model ter discussie te staan. Dat gaan ze niet toelaten.

Ik denk wel dat andere, minder urgente security updates niet gegeven zullen worden omdat teveel overhead kost en te weinig oplevert. Microsoft werkt op dezelfde manier.
Niet alleen Samsung heeft hier een handje van.

De LG Optimus 2x is een notoir voorbeeld van updatebeleid 'gone wrong'. In de VS is er een rechtszaak gewonnen door de aanklagers die vonden dat Gingerbread echt wel naar de Optimus 2x moest komen, zoals beloofd door LG. En snel ook. Dat gebeurde. LG heeft van dat gevalletje wel wát geleerd overigens, maar de tendens blijft dat updates op een goed moment gewoon niet meer komen.

Ik vind dat fabrikanten de Nexus updates beschikbaar moeten stellen zodra zij zelf geen updates meer geven voor hun schilletje. Google moet dit toegankelijk maken, en de fabrikanten moeten de Nexus updates OTA beschikbaar maken. Op deze manier kan de fabrikant zijn eigen merk/schil pushen zolang die er ook zelf moeite in wil steken, daarna is het aan de gebruiker om te behouden of over te gaan op een kaler, Nexus systeem. Dat moet mogelijk zijn en kost de fabrikant bijzonder weinig. Google is hier de partij die de Nexus updates geschikt moet maken voor alle toestellen, of in elk geval een afgeslankte of versimpelde versie ervan waarin de security updates worden meegenomen.
Maar afgezien van dat je dergelijke exploits niet geheim moet willen houden (security through obscurity)
Je kunt prima mensen informeren over een security probleem zonder daarvoor een exploit te publiceren.

Het is effectief eigenlijk nooit zinvol om publiekelijk exploits te publiceren.
Dat levert altijd alleen maar schade op voor anderen.
Eigenlijk hoop ik stiekem dat deze bug op grote schaal misbruikt gaat worden. Niet omdat ik een hekel heb aan Android (ik ben al jaren een tevreden gebruiker), maar omdat ik hoop dat dit Google en de fabrikanten zodanig in de problemen brengt dat er een fundamentele wijziging in het veiligheidsbeleid van Android komt.
Dat je telefoon na een bepaalde tijd geen update met nieuwe features krijgt vind ik best (je koopt een toestel om hoe het op dat moment is), maar dat je ook meteen geen enkele veiligheidsupdates krijgt vind ik op zijn minst bedenkelijk.
Ik hoop dus eigenlijk dat deze bug een zodanige smet op Android geeft dat Google en de fabrikanten een radicale koerswijziging in moeten zetten of dat consumenten zich van Android afkeren en de fabrikanten andere besturingssystemen gaan gebruiken. (Ik hoop stiekem op een Sony toestel van met Windows.)
Het blijft een nadeel van het Android systeem: namelijk dat het open-source is en dat fabrikanten het dan gaan aanpassen om zichzelf te onderscheiden. Dat maakt het voor Google niet meer mogelijk om te patchen omdat anders de hele telefoon kan crashen.

En fabrikanten hebben er ook geen baat bij om te patchen. Ze verdienen er niets aan. Ze kunnen misschien beter een klein bedrag (2 euro of zo) voor een update vragen. Dan wordt het voor hen tenminste ook interessant om dit uit te brengen.
Dat is de situatie zoals die tot nu toe was, maar tot nu toe was er nog nooit zo'n groot lek, met potentieel zulke grote gevolgen.
Stel dat Google het systeem van Android iets aan zou passen, waardoor het makkelijker is om onderdelen te patchen. Het is aan fabrikanten om te bepalen of ze daarbij aansluiten of om wijzigingen in Android aan te brengen die dat onmogelijk maken. Dan wordt dit lek actief misbruikt, waarbij ongemerkt gebruik gemaakt wordt van de camera en enkele foto's op internet verschijnen (of het gerucht wordt verspreidt dat dit gebeurd is). wat denk je dat dit doet met de verkopen van toestellen die wel buiten de fabrikant om gepatcht kunnen worden en van toestellen waarbij dat niet kan?
Google is al bezig om steeds meer componenten van Android vanuit de Play Store te laten updaten maar dat heeft zijn beperkingen. Zo kan men systeem bestanden niet vanuit de Play Store updaten omdat deze niet als root draait.
Om een idee te krijgen van de hardware & software fragmentatie op het Android platform: hier het laatste rapport van OpenSignal, net vandaag gepubliceerd: http://opensignal.com/reports/2015/08/android-fragmentation/
Toch wil hij de exploit nog steeds vrijgeven. "Ik ben niet van plan om het nog een keer uit te stellen", aldus Drake. Hij zegt met de exploit bewustwording te willen creëren.
Daar zal ik zeker aan denken als door dit soort stupide acties mijn ietwat oudere unupgradebare doch absoluut geen budgetmodel telefoon wordt gekraakt. 'Waar gehakt wordt, vallen spaanders. Maar gelukkig ben ik me ervan bewust waarom mijn telefoon nu een spaandertje is, en dat maakt het toch allemaal een heel stuk draaglijker.'

Bewustwording zonder dat de gebruiker er éne moer aan kan doen voelt als een verdomde goedkoop excuus voor gratis publiciteit. Als er standaard in Android een updateschema zat voor dit soort dingen had de man een punt. Maar nu... waarom heeft dit soort lui toch altijd het pragmatisch-ethische besef van een pinda? Heeft iedereen in zijn wereldje altijd de laatste modellen telefoons die meteen worden geroot en zorgvuldig met de nightly builds meegaan of zo?
Aha, ja. Laten we vooral alles top geheim houden en nooit meer over exploits praten, dan zal er ook totaal geen druk komen op fabrikanten en ontwikkelaars van software; en kan niemand er lering uit trekken.

Ja het is vervelend als je er zelf een keer door geraakt wordt. Sh*t happens.
Maar... deal with it. Het kan er enkel veiliger op worden.

Don't shoot the messenger. Ik vind het altijd jammer dat de gene die het aantoont en wil dat iedereen weer veilig wordt meteen pissig wordt aangekeken, terwijl dat *juist* de mensen zijn die iets goeds aan het doen zijn... Maarja, als hacker in het verdom hokje gegooid worden is niets nieuws. Het is gewoon de huidige versie van heksenverbranding, zullen we maar zeggen; al zat daar nog minder merit achter, maar dat even terzijde.

Dat hij geen punt heeft omdat in oudere Android versies het update systeem hier niet op voorbereid is, is natuurlijk je reinste onzin.
Dus als iets niet lekker in elkaar is gezet (Google heeft dat tegenwoordig anders aangepakt overigens, gelukkig! (Zie, ze leren ervan...)) mag je er niets over publiceren? Dat maakt het lekker makkelijk om betere standaarden te ontwikkelen: dat hoeft dan namelijk niet meer...

Het blijft jammer dat mensen als ze zelf ergens last van hebben altijd zo agressief worden tegenover de persoon die er niets aan kan doen, maar juist het probleem oplost en druk zet om dit soort problemen in de toekomst te voorkomen... Dat levert echt heel veel motivatie op om mensen veilig te houden, maar gelukkig nemen vele hackers die ongefundeerde aanvallen maar op de koop toe en gaan ze stug door met hun ethische werk.

En het punt is dus ook dat je je kan weren tegen deze aanval.
Hoelang is het nu al bekend? Een week of 2 a 3? En daar komen nu dus nog 2 a 3 weken bij.
Als je dan in de tussentijd nog niet:
- MMS hebt uitgeschakeld
- Automatic video retrieval hebt uitgeschakeld op verschillende third party messengers
- Geen leipe linkjes opent van mensen op diensten als Twitter (want deze bug kan ook geexploit worden via een MP4 op een website namelijk, dus als je lugubere linkjes krijgt: nog verder mijden als de pest dan normaal!)
... - Of inderdaad je toestel root en er een ROM als Cyanogen opzet

Dan heb je het toch zeker wel deels aan jezelf te danken mocht die exploit actief misbruikt gaan worden.
. - Of inderdaad je toestel root en er een ROM als Cyanogen opzet
Ho even. Custom Roms zijn vaak de enige manier om een up to date besturingssysteem op je "verouderde" toestel te krijgen. En daarmee een stukje veiligheid ingebouwd te krijgen. Want hoe ouder, hoe lekker. :)

Dus dat is dan de afweging: hou ik mijn toetsel met een verouderde Android-versie en bijbehorende lekken, of root ik hem en zet ik er een nieuwere (veiligere) versie op en creëer op die manier mogelijk weer een beveiligingsprobleem?

Verder vind ik de opmerking dat hij de exploit vrij wil geven om bewustwording te creëren nogal vaag. Het klinkt een beetje of je een bom wil gooien in een menigte om aan te tonen dat de politie hun zaakjes niet op orde heeft. Terwijl iedereen weet dat als een gek kwaad wil hij/zij dat ook kan, ongeacht of het fysiek of digitaal is.

Natuurlijk is het goed dat hij dat lek ontdekt heeft (knap ook, vind ik), maar zoals hij er over praat lijkt het er op dat hij het nu gebruikt als 1 grote ego-trip: hij zal het wel eens even vrij gaan geven, in plaats van het te delen met de beveiligingsbedrijven (anti-virus en dergelijke) zodat die daar mogelijk iets tegen kunnen doen.

[Reactie gewijzigd door Pietervs op 5 augustus 2015 08:32]

Valt wel mee, credit where credit is due.Hij had de werkende exploit ook de markt op kunnen gooien.Zal bestwel een hoop centjes opleveren.
Ok, ik ben slecht in goede voorbeelden misschien
In vergelijkingen maken die op dezelfde voet staan ook. ;)

Anyway... Over responsible disclosure gesproken, eens ff kijken:
- Meneer heeft een lek ontdekt, en een POC gemaakt
- Meneer heeft dit aan Google gegeven en daarna heel eventjes gewacht
- Meneer heeft vervolgens de informatie vrijgegeven, maar NIET de werkelijke manier van exploiten noch de bron van zijn exploit; die wordt pa *na* dat Google aardig de tijd heeft gehad om te patchen (helaas geld dat niet voor fabrikanten, maar dat is niet zijn noch Google's probleem... Alhoewel, misschien voor die laatste indirect.)

Dit lijkt me toch een behoorlijk staaltje responsible disclosure. :)
Het enige dat misschien wat afwijkt is dat hij al gepubliceerd heeft dat het lek uberhaupt bestaat. Dat gebeurt niet zo vaak bij RD... Dat is dan ook het enige wat niet voldoet.
Maar of dat nou zo'n ramp is...? Tot nu toe is niemand er nog werkelijk in geslaagd tenzij ze toegang hadden tot de bron. (eg: Trend Micro... Die hebben wel toegang gekregen voor nader onderzoek.).

Ik denk dus niet dat hij het zo slecht heeft gedaan hoor.
Hij volgt eigenlijk min of meer het beleid van Google zelf: die hanteren ook x aantal dagen, en daarna worden alle details gepubliceerd. Het enige verschil met Google is in dit geval dat Google haar mond helemaal stijf dicht houdt gedurende de periode dat de software ontwikkelaar het dient op te lossen en als de tijd om is meteen alles publiceert; hij publiceert nu al over dat het lek bestaat, alleen niet direct alle details: daar wacht ook hij mee totdat de tijd verstreken is.

De enige reden dat mensen nu boos en bang zijn, is omdat er heul veul Android gebruikers zijn: en Android heel moeilijk te updaten valt voor de meeste mensen omdat fabrikanten te lui zijn om oude toestellen snel van updates te voorzien...
Toch denk ik dat ze nu wel *moeten*. Maar we zullen zien.

Responsible Disclosure betekend echt totaal niet "nooit wat over zeggen of publiceren totdat het werkelijk geheel gepatched is", want dat zou betekenen dat er totaal niet gesproken mag worden over vele beveiligingslekken, en zet ook totaal geen druk: als men het toch niet publiceert zolang er geen patch is, heb je ook niet bepaald veel te vrezen van het grote publiek. ;) Responsible Disclosure houdt in dat je de vendor netjes de tijd geeft om een patch te maken voordat je overgaat tot (algehele) publicatie. Maar het betekend niet dat je het nooit mag publiceren als er nooit een patch wordt geschreven/released...

[Reactie gewijzigd door WhatsappHack op 5 augustus 2015 03:42]

Maar of dat nou zo'n ramp is...? Tot nu toe is niemand er nog werkelijk in geslaagd tenzij ze toegang hadden tot de bron.
Hoe weet je dat? Zou jij als je echt kwaadwillend was eerst in de krant zetten dat je alle telefoons gehackt hebt? Ik niet!!!
Het zou heel snel heel duidelijk worden als iemand het nu al geheel voor elkaar had en bij de vleet telefoontjes zat te kraken.

Maar goed, sure; zeker weten doe je het niet.
For all we know heeft iemand deze exploit al tiiiijjjdddennnn geleden ontdekt en misbruikt; feit blijft echter wel dat het niet op grote schaal heeft plaatsgevonden en er geen rapporten (van malware) bekend zijn die deze bug nu of in 't verleden misbruikten.

Dus wat dat betreft heeft het er alle schijn van dat het op dit moment erg mee valt. Alleen het risico is hoog.
[...]
En het punt is dus ook dat je je kan weren tegen deze aanval.
Hoelang is het nu al bekend? Een week of 2 a 3? En daar komen nu dus nog 2 a 3 weken bij.
Als je dan in de tussentijd nog niet:
- MMS hebt uitgeschakeld
- Automatic video retrieval hebt uitgeschakeld op verschillende third party messengers
- Geen leipe linkjes opent van mensen op diensten als Twitter (want deze bug kan ook geexploit worden via een MP4 op een website namelijk, dus als je lugubere linkjes krijgt: nog verder mijden als de pest dan normaal!)
... - Of inderdaad je toestel root en er een ROM als Cyanogen opzet

Dan heb je het toch zeker wel deels aan jezelf te danken mocht die exploit actief misbruikt gaan worden.
Niet op verdachte linkjes klikken of mailtjes openen, ok. Dat hoor je sowieso nooit te doen!
Maar de gemiddelde Android gebruiker weet waarschijnlijk niet waar je allemaal MMS en automatic video retreival moet uitschakelen. Eerlijk gezegd had ik er zelf ook niet echt over nagedacht en er zijn meer apps die er gebruik van maken dan ik in eerste instantie dacht.

Ik heb Avast draaien op mijn telefoon en die gaf mij een melding hoe ik me beter kon beveiligen met een linkje naar deze FAQ: What is Stagefright and how to protect my device?

Zonder de melding van Avast had ik deze stappen waarschijnlijk niet zelf ondernomen en ik verwacht dat veel Android gebruikers dit niet uit zichzelf zullen doen!
En het punt is dus ook dat je je kan weren tegen deze aanval.
Hoelang is het nu al bekend? Een week of 2 a 3? En daar komen nu dus nog 2 a 3 weken bij.
Als je dan in de tussentijd nog niet:
- MMS hebt uitgeschakeld
- Automatic video retrieval hebt uitgeschakeld op verschillende third party messengers
- Geen leipe linkjes opent van mensen op diensten als Twitter (want deze bug kan ook geexploit worden via een MP4 op een website namelijk, dus als je lugubere linkjes krijgt: nog verder mijden als de pest dan normaal!)
... - Of inderdaad je toestel root en er een ROM als Cyanogen opzet

Dan heb je het toch zeker wel deels aan jezelf te danken mocht die exploit actief misbruikt gaan worden.
Als ik zo in mijn omgeving kijk, zijn er denk ik drie problemen:
1. Een heleboel gebruikers van Android-toestellen hebben überhaupt niet meegekregen dat er een exploit is.
2. Als ze weten dat er een exploit is, dan hebben ze vaak niet eens meegekregen dat hun telefoon ook kwetsbaar is.
2. Als ze al weten dat hun telefoon kwetsbaar is, hebben ze geen idee wat ze daar aan moeten doen. Natuurlijk zijn er de door jou genoemde opties, maar die zijn hen echt niet bekend.
Wellicht hangt het voorgaande ook wel samen met een deel van de doelgroep van Android-toestellen. Ik merk namelijk dat voor velen geldt dat de keus is gevallen op een Android-toestel enkel omdat de iPhone te duur is.

Aangezien we het hier kennelijk hebben over ongeveer één miljard kwetsbare toestellen, durf ik wel te stellen dat er wereldwijd tientallen miljoenen toestellen kwetsbaar zullen blijven. Wil je dat verhelpen, dan zijn er volgens mij maar twee echt constructieve oplossingen:
1. Kom als fabrikant met een update voor de toestellen.
2. Kom als fabrikant, als je geen zin hebt in updates voor oude toestellen, met een gunstige "inruilactie" waarbij men met korting een nieuwe telefoon kan kopen als men de oude telefoon inlevert.
Aha, ja. Laten we vooral alles top geheim houden en nooit meer over exploits praten, dan zal er ook totaal geen druk komen op fabrikanten en ontwikkelaars van software; en kan niemand er lering uit trekken.
Dat is je eigen interpretatie. Leg me ajb geen woorden in de mond. Er is een verschil (zij het niet al te groot) tussen de exploit in algemene bewoordigen toelichten; en er spijkerharde code voor publiceren.
Ja het is vervelend als je er zelf een keer door geraakt wordt. Sh*t happens. Maar... deal with it. Het kan er enkel veiliger op worden.
Lekker figuur ben jij, zeg. Het zijn nog steeds mijn centen die voor een nieuwe telefoon betalen (indien niet upgradable of ondersteund door custom ROMs), niet die van jou, en zeker niet die van deze Joshua Drake. Bovendien heb ik als gebruiker nauwelijks zicht op de upgradebereidheid van de fabrikant. Ja, misschien tot het toestel EOL is: maar op die beslissing heb ik nul invloed. Mijn telefoon (nadrukkelijk géén budgetmerk) werd al na 10 of 11 maanden (!!) EOL verklaard; één update gekregen, en dat was het dan. Dat is simpelweg waanzinnig. Bovendien is het volkomen onduidelijk waar het circus van 'bewustwording' eindigt als het eenmaal begint.
Don't shoot the messenger. Ik vind het altijd jammer dat de gene die het aantoont en wil dat iedereen weer veilig wordt meteen pissig wordt aangekeken, terwijl dat *juist* de mensen zijn die iets goeds aan het doen zijn... Maarja, als hacker in het verdom hokje gegooid worden is niets nieuws. Het is gewoon de huidige versie van heksenverbranding, zullen we maar zeggen; al zat daar nog minder merit achter, maar dat even terzijde.
Snap je mijn bijdrage eigenlijk wel? Medunkt van niet, namelijk. Natuurlijk is het aantonen van lekken belangrijk; en als je denkt dat ik iets anders beweer mag je dat in dikke vette letters citeren. Mijn punt is: Moet 'bewustwording' tot stand worden gebracht door het publiceren van exploitcode als het gros van de nu bewustgeworden gebruikers er geen fuck mee kan; en ten tweede, het bij lange na niet zeker is dat fabrikanten hun leven zullen beteren?: dát is de vraag die ik stel. 'Dan maar geen smartphone' is geen optie. 'Ander merk' is ook geen optie, want er is geen smartphonefabrikant die Android audit als het stel paranoïden achter OpenBSD. Klaar ben je als welwillende gebruiker. (Sh*t happens. Deal. Schijn ik te moeten accepteren.)
Dat hij geen punt heeft omdat in oudere Android versies het update systeem hier niet op voorbereid is, is natuurlijk je reinste onzin.
Kul. Ik kán niets met zijn bewustwording; hooguit lijdzaam toezien hoe een makkelijke aanvalsvector expliciet wordt beschreven. Dat is geen bewustwording. Dat is, zoals hierboven gezegd, een bom in druk publiek gooien om vervolgens de politie te verwijten dat ze er niet tegen beveiligen.
Dus als iets niet lekker in elkaar is gezet (Google heeft dat tegenwoordig anders aangepakt overigens, gelukkig! (Zie, ze leren ervan...)) mag je er niets over publiceren? Dat maakt het lekker makkelijk om betere standaarden te ontwikkelen: dat hoeft dan namelijk niet meer...
Eigen interpretatie van wat je denkt dat ik schrijf; hierboven nogmaals verduidelijkt.
Het blijft jammer dat mensen als ze zelf ergens last van hebben altijd zo agressief worden tegenover de persoon die er niets aan kan doen, maar juist het probleem oplost en druk zet om dit soort problemen in de toekomst te voorkomen... Dat levert echt heel veel motivatie op om mensen veilig te houden, maar gelukkig nemen vele hackers die ongefundeerde aanvallen maar op de koop toe en gaan ze stug door met hun ethische werk.
Nee, deze klootviool schuift door specifiek deze actie van publiceren van exploitcode het risico daarvan fijn af op gebruikers die er niets mee kunnen, er ook niets aan kunnen doen, en afhankelijk zijn van een als geheel erg ongeïnteresseerde sector om het op te lossen, want geld. Smartphonefabrikanten zijn hardwareleveranciers, geen softwareboeren. Ze verdienen helemaal niets aan het langdurig ondersteunen van hun producten. (Als je een link kunt geven waar fabrikanten op deze manier worden vergeleken ben ik je oprecht zeer erkentelijk.)
... oplossingen...
Ja, handig. Je kent de vroegere waarschuwingen van bugs in browsers? 'Zet Javascript uit, zet Java uit, ga niet naar vreemde sites toe.' Ik ben het riedeltje eigenlijk weer vergeten, want het was natuurlijk grote kul die gelukkig is opgelost omdat er eigenlijk werd gezegd: 'U kunt eigenlijk niet veilig het Internet op, zelfs betrouwbaar geachte sites zijn mogelijk verdacht, dus leest u maar even een boek ofzo.' Jij adviseert iets vergelijkbaars. Straks moeten we eigenlijk ook maar even geen appjes installeren, of in-app aankopen doen. GPS toch maar even uitzetten. Roaming is ook al verdacht. Eigenlijk de telefoon maar helemaal niet aanzetten. (Ja, dat is hyperbool. Een beetje.)
- Of inderdaad je toestel root en er een ROM als Cyanogen opzet.
Leuk. CM ondersteunt tot v11 (en die support is patchy), dus kwetsbaar. En dan ben ik helaas nog zo'n handige kluns die inderdaad CM zou kunnen installeren (en dat ook eens moet omdat bepaalde ellende in het OS het gebruik van de telefoon in de weg zit). Dat hoef ik van mijn naaste familie absoluut niet te verwachten. Hoe zei je dat ook alweer? Ohja. 'Sh*t happens. Deal.'
Dan heb je het toch zeker wel deels aan jezelf te danken mocht die exploit actief misbruikt gaan worden.
'Deels'? Aan wie dan nog meer? De quasi-ethische hacker misschien ook?

[Reactie gewijzigd door cymric op 6 augustus 2015 23:33]

Lekker figuur ben jij, zeg. Het zijn nog steeds mijn centen die voor een nieuwe telefoon betalen (indien niet upgradable of ondersteund door custom ROMs), niet die van jou, en zeker niet die van deze Joshua Drake.
En?
Ik zie niet in hoe dit op enige wijze relevant is, noch hoe dat iets over mij of Joshua Drake zou moeten zeggen.

Jij bent slechts een van de miljoenen Android gebruikers, who cares wat je wel of niet betaald hebt voor het toestel waar je het op draait?
Begrijp me niet verkeerd hoor, ik snap dat je teleurgesteld bent en dit allemaal erg vervelend vindt; maar geld is nou niet echt een belemmerende factor in dit hele verhaal. Security problemen kan je niet afkopen. (Nouja... bij ransomware misschien :'))
Bovendien heb ik als gebruiker nauwelijks zicht op de upgradebereidheid van de fabrikant.
Hopelijk binnenkort, of nu al, wel.
Google en Samsung hebben zich al gemeld dat ze het update beleid drastisch aanpassen.
Wellicht dat de fabrikant van jou toestel, als dat Samsung niet is, binnenkort ook iets zal aankondigen.

Mooi he? :) Driemaal raden wie je mag bedanken...
Ja, misschien tot het toestel EOL is: maar op die beslissing heb ik nul invloed. Mijn telefoon (nadrukkelijk géén budgetmerk) werd al na 10 of 11 maanden (!!) EOL verklaard; één update gekregen, en dat was het dan. Dat is simpelweg waanzinnig. Bovendien is het volkomen onduidelijk waar het circus van 'bewustwording' eindigt als het eenmaal begint.
Ik leef met je mee.
Dien een klacht in bij de fabrikant zou ik zeggen.
Hoe meer zielen een klacht indienen: hoe meer kans op vreugd.

Maar omdat veel mensen dat niet doen, en slechts een handjevol gebruikers het wel doen, komen de fabrikanten vaak weg met "onze cijfers tonen aan dat slechts een klein deel van de klanten het als storend ervaart."

Nu worden ze even wakker geschud met een fikse pets in het gezicht, en kijk ze 1 voor 1 is aan komen draven met nieuwe update policies; want nu staat hun reputatie daadwerkelijk op het spel...
Door schade en schande wordt men wijs, het is alleen een beetje jammer dat er eerst weer iets flink mis moet gaan voordat ze willen investeren in een beter beleid.
Snap je mijn bijdrage eigenlijk wel?
Zeker, ik ben het er enkel niet mee eens.
Moet 'bewustwording' tot stand worden gebracht door het publiceren van exploitcode als het gros van de nu bewustgeworden gebruikers er geen fuck mee kan; en ten tweede, het bij lange na niet zeker is dat fabrikanten hun leven zullen beteren?
Ja. (En dan nog even terzijde dat het gros er wel degelijk iets mee kan: de stappen volgen om je te beveiligen/veiliger te maken tegen het probleem.)
Het is niet aan de onderzoeker om te beslissen voor de fabrikant, maar hopelijk wel een indicatie voor de eindgebruiker dat ze, als dat merk niets doet aan het probleem, dit merk voortaan links moeten laten liggen willen ze genieten van een veilig systeem.
'Dan maar geen smartphone' is geen optie. 'Ander merk' is ook geen optie, want er is geen smartphonefabrikant die Android audit als het stel paranoïden achter OpenBSD
Ik hoor het je niet zeggen, dus ik vraag het maar:
En dus? Is zwijgen daarom beter of...?
Kul. Ik kán niets met zijn bewustwording; hooguit lijdzaam toezien hoe een makkelijke aanvalsvector expliciet wordt beschreven. Dat is geen bewustwording. Dat is, zoals hierboven gezegd, een bom in druk publiek gooien om vervolgens de politie te verwijten dat ze er niet tegen beveiligen.
Echter is het probleem in dezen dat die vergelijking volledig mank gaat, immers is er wel degelijk iets tegen gedaan kan worden...
Zowel door eindgebruiker als fabrikant. En ik hoop dat de fabrikanten hun verantwoordelijkheid hier gaan nemen, daar het gros inderdaad hoogstwaarschijnlijk of de kennis niet heeft om het te doen, of (en dat is waarschijnlijker) geen zin heeft om er iets tegen te ondernemen.
De vergelijking is juist "Als de politie 2 maanden van tevoren te horen krijgt dat er een bom in het publiek gegooid gaat worden op <datum, tijdstip>, en ze doen er niets aan om het te voorkomen of mensen weg te houden van die plek; valt het dan iets te verwijten?"

Het is niet bepaald een geheim dat veel mensen veiligheid veels teveel moeite vinden.
Het maken van een moeilijk wachtwoorden vinden sommige mensen al teveel gevraagd. Laat staan gaan klooien met functies op je toestel, want stel je voor dat je er ff 10 minuten de tijd voor neemt.
Maarja, laat ik daar maar niet over gaan ranten; want dan ben ik nog wel ff bezig.
Nee, deze klootviool schuift door specifiek deze actie van publiceren van exploitcode het risico daarvan fijn af op gebruikers die er niets mee kunnen, er ook niets aan kunnen doen, en afhankelijk zijn van een als geheel erg ongeïnteresseerde sector om het op te lossen, want geld.
Zoals ik al zei: jammer dat je de messenger pissig aankijkt, en niet de verantwoordelijken voor het probleem... Maarja, zo gaat dat altijd.

Ik denk dat je die conclusie te overhaast trekt, overigens. De meeste fabrikanten vertonen tekenen, en sommige fabrikanten hebben al toegezegd, dat ze er wel degelijk iets aan gaan doen en ook hun hele update beleid overhoop trekken om dit in de toekomst makkelijker te maken en gelazer te voorkomen.
Smartphonefabrikanten zijn hardwareleveranciers, geen softwareboeren.
Dat is slechts deels waar, immers heeft het merendeel van de fabrikanten van smartphones Android zo omgebouwd dat het totaal niet meer herkenbaar is.
Draaien ze custom kernels, custom modules en weet ik veel wat allemaal.

Dat ze het basis systeem, Android, niet helemaal zelf ontwikkelen (doch zijn zo'n beetje alle fabrikanten lid van de OHA) doet daar vrij weinig vanaf naar mijn mening.
Ze verdienen helemaal niets aan het langdurig ondersteunen van hun producten. (Als je een link kunt geven waar fabrikanten op deze manier worden vergeleken ben ik je oprecht zeer erkentelijk.)
In dit geval wel. Over het algemeen is het natuurlijk leuker als je gebruikers kunt forceren een nieuw toestel te kopen.
Het probleem in dit geval is dat het een dermate groot probleem is, dat ze niet meer zondermeer kunnen weigeren om wat oudere toestellen (toestellen van 5 a 6 jaar geleden vind ik nog wel wat hebben als ze die overslaan; jaja, heel jammer enzo: maar je kan niet bezig blijven.) niet te voorzien van een patch.

Doen ze dat niet, dan komt dat heel slecht in de boeken te staan; en zal het de reputatie van het bedrijf absoluut niet goed doen.
Het is daarom ook niet vreemd dat Samsung, dat al geteisterd wordt door teruglopende verkopen, er als de kippen bij is om een geheel nieuw updatebeleid door te voeren en plechtig te zweren dat ze security patches loskoppelen van major Android updates en voortaan maandelijks patches zullen uitbrengen.
(En het lijkt er op dat er nog patches gebackport zullen worden ook.)
Ja, handig. Je kent de vroegere waarschuwingen van bugs in browsers? 'Zet Javascript uit, zet Java uit, ga niet naar vreemde sites toe.' Ik ben het riedeltje eigenlijk weer vergeten, want het was natuurlijk grote kul die gelukkig is opgelost omdat er eigenlijk werd gezegd: 'U kunt eigenlijk niet veilig het Internet op, zelfs betrouwbaar geachte sites zijn mogelijk verdacht, dus leest u maar even een boek ofzo.' Jij adviseert iets vergelijkbaars. Straks moeten we eigenlijk ook maar even geen appjes installeren, of in-app aankopen doen. GPS toch maar even uitzetten. Roaming is ook al verdacht. Eigenlijk de telefoon maar helemaal niet aanzetten. (Ja, dat is hyperbool. Een beetje.)
Nou nee niet echt.
Als er een lek in Flash zit (lol... "als"... haha!) dan kan je jezelf wel degelijk beveiligen door te proberen zoveel mogelijk sites die flash gebruiken te vermijden of Flash tijdelijk even uit te zetten. Zodra er dan een patch is kan je het weer inschakelen.
Door even die kleine moeite te nemen, en even wat ongemak te ervaren, hou je jezelf wel veilig.

Hetzelfde hier. Door even de moeite nemen om, totdat het probleem is opgelost, MMS uit te schakelen en automatische video retrieval in bepaalde messengers uit te schakelen kom je al een heel eind, als je uberhaupt al aangevallen gaat worden/wordt.
Hoe is dat in vredesnaam hetzelfde als "zet je telefoon maar helemaal niet meer aan"?

"Straks moeten we ook dit", "straks moeten we ook nog dat" zijn allemaal hellende vlakken die je mij niet hoort suggereren noch zal ik die ooit suggereren; tenzij toevallig op dat aspect het *tijdelijk* noodzakelijk blijkt te zijn.

Het is maar net hoeveel moeite je wilt steken in jezelf zo veilig mogelijk te houden totdat het probleem integraal wordt opgelost. :)
Hoe zei je dat ook alweer? Ohja. 'Sh*t happens. Deal.'
Zeker.
'Deels'? Aan wie dan nog meer? De quasi-ethische hacker misschien ook?
Nee, die niet.
Wel aan de fabrikant als die na zoveel tijd nog altijd niet over de brug is gekomen met een relatief simpele patch.
De patch is een paar KB, diep triest als ze die niet verstrekken.

Nogmaals: je kan de schuld wel blijven afschuiven op de hackert, maar ik snap werkelijk niet waarom je niet bij de fabrikant gaat klagen.
Laat die het maar oplossen, dat is hun taak namelijk. En snel een beetje ook, want de tijd dringt; ze hebben nog zo'n 3 weken...

[Reactie gewijzigd door WhatsappHack op 7 augustus 2015 03:14]

Deze man neemt de moeite om ons erover te informeren.

Genoeg anderen die ook met dit soort hacks komen en ze gewoon toepassen zonder dat we dit weten. En dat is vele malen erger.

Een platform dat niet regelmatig security updates ontvangt, is anno nu simpelweg een levensgevaarlijk platform dat niemand zou mogen gebruiken. Bedrijven zouden het moeten weren, particulieren zouden goed erover geinformeerd moeten worden.

Als aan het update mechanisme van Android / fabrikant / carrier niets gedaan wordt, is het platform in feite dood. Want morgen of overmorgen komt die worm er aan die alle Android toestellen die niet bijgewerkt worden simpelweg lam legt.

Het is ook niet voor niets dat je op Windows en OS X steeds vaker security updates krijgt. Hetzelfde geldt voor alle browsers. Ik krijg zo vaak updates binnen tegenwoordig dat ik ze bijna irritant vind, maar het geeft ook aan hoe belangrijk het is ze tegenwoordig te installeren.

Dat dit bij veel Android toestellen niet gebeurt, is dan ook belachelijk. Ik persoonlijk neem dit voor mijn Galaxy S4 vooral Samsung kwalijk overigens. Google heeft het immers gepatcht, maar Samsung komt niet met een update voor mijn S4 uit puur winstbejag "koop een nieuwe! koop een nieuwe!" :')
Bewustwording zonder dat de gebruiker er éne moer aan kan doen voelt als een verdomde goedkoop excuus voor gratis publiciteit. Als er standaard in Android een updateschema zat voor dit soort dingen had de man een punt. Maar nu... waarom heeft dit soort lui toch altijd het pragmatisch-ethische besef van een pinda? Heeft iedereen in zijn wereldje altijd de laatste modellen telefoons die meteen worden geroot en zorgvuldig met de nightly builds meegaan of zo?
Mensen kunnen toch gewoon een andere telefoon gaan kopen?
Gebruikers kunnen het dus wel degelijk oplossen.

Reeds eerder genoemd in een ander topic:
Google heeft zich zo gepositioneerd tussen gebruikers en fabrikanten in, dat ze alleen de baten kregen en weinig van de kosten. Keerzijde hiervan was dat ze niet "alles" konden eisen van de fabrikanten die Android telefoons maken. (eigen schil, launcher, apps, bloatware

Nu er dus echt zooi aan de hand is, heeft Google dus een probleem !!!


Om zoveel mogelijk imago schade te voorkomen adviseer ik Google om een aantal ontwikkelaars vrij te maken en als ondersteuning naar fabrikanten sturen om deze patch klaar te maken voor alle telefoons (zegt tot 3 jaar oud -> vind ik zelf redelijk klinken)

Bovenstaande verhaal is eerlijk gezegd precies de reden waarom ik al 2 jaar geen google Phone meer gebruik. Het bedrijf Google is minder "Good" dan dat het vroeger de indruk wekte. en dat is nog een understatement
[...]


Bewustwording zonder dat de gebruiker er éne moer aan kan doen voelt als een verdomde goedkoop excuus voor gratis publiciteit.
Je kan altijd een andere non-Android telefoon kopen.
Als er standaard in Android een updateschema zat voor dit soort dingen
Ook als je vind dat het openbaar maken van lekken een stupide actie is, zou je het stukje dat ik quote een minstens zo stupide actie moeten vinden. Maar daar praat je in je rant wel heel makkelijk overheen. Lijkt mij een beetje te selectief.

Hoe dan ook, Android doet het in nieuwe versies schijnbaar beter, en het wachten met het vrijgeven van een exploit tot de maker iets heeft kunnen doen is zoals dat heet 'responsible disclosure' en komt prima overeen met het beleid dat o.a. Google zelf op dat gebied voert.

[Reactie gewijzigd door mae-t.net op 5 augustus 2015 13:21]

maar de exploit gaat dus, op termijn, wel vrij gegeven worden?
Dat betekent dat, op termijn, miljoenen mensen slachtoffer kunnen zijn..
De upgrade van 4.x > 5.x wordt namelijk door heel veel fabrikanten helemaal niet ondersteund op de wat oudere telefoons.

Zelf ben ik in het bezit van een 4.x toetsel waar geen updates meer opkomen en met custom roms kom ik ook niet verder dan 4.4.x
en dat terwijl het eigenlijk nog een prima beestje is met 32GB interne opslag en 2GB RAM
Ik heb voor de zekerheid maar in de standaard aangemaakte apn instellingen de gegevens van MMS proxy verwijderd en apn-type gedeelte MMS ook verwijderd. Of dat helpt weet ik niet maar is het proberen waard ;)
Avast heeft instructies hoe je dit probleem kan omzeilen.
https://blog.avast.com/20...ou-thanks-to-stagefright/
Ik wist dat die functie ergens in Hangouts zat ingebakken. Moest even zoeken. Bedankt !
Ik heb de berichten-app verwijderd omdat oa de providers voor elke oproep die ik weigerde een sms stuurden en in plaats daarvan Textra erop gezet, die heeft een knopje stagefright protection in de settings :*)
In principie zou de provider/fabrikant ook alleen een patch kunnen uitsturen ipv hele Android update. Dat kost veel minder moeite.
Voor alleen veiligheidspatches is het zelfs raadzaam om de fabrikant of provider te kunnen bypassen. In de huidige bijna telefoon specifieke "Androidversies" gaat dat blijkbaar te moeilijk dat dit nu niet gebeurt. Zonder Android te kennen is de verwevenheid tussen fabrikant- en providertoevoegingen te groot, of is de variatie tussen de verschillende OS versies te groot.

Voor verbetering van de veiligheid kan het naar mijn idee niet anders dan dat het basis OS beter wordt afgeschermd van haar toevoegingen en, open deur, aangemoedigd hierdoor, het onderhoud langer wordt uitgevoerd. Dit laatste zal financiële consequenties hebben, maar ik denk dat imago van Android er veel baat bij zal hebben. Een lange termijn voordeel is dan ook dat er bij de ontwikkeling van nieuwe Android versies meer wordt gestuurd op onderhoud, en dat door een meer modulaire opzet toevoegingen afgebakend blijven.
Kan dit niet via Google Play Services worden gepatcht dan? Dan is er binnen een maand vrijwel niemand meer kwetsbaar!
Helaas, zie ook mijn eerdere post. Google Play Services is een app. Een app kan alleen op app level werken en api's leveren. Het probleem zit echter diep in het OS waar geen app bij kan. Dit heeft uiteraard zijn redenen met betrekking tot beveiliging.
Android 5.1 is zelfs nog kwetsbaar, dus ook die upgrade zou niks opleveren
Dat betekent dat, op termijn, miljoenen mensen slachtoffer kunnen zijn..
Daar gaat het hem juist om...
Het kan evengoed zijn dat op dit moment al miljoenen mensen slachtoffer zijn, zonder dat we het weten.
Het dreigen met, en uiteindelijk echt openbaar maken van de precieze details brengt mensen bewust dat er exploits in hun toestellen zitten.
Dit stimuleert op zijn beurt Google, de fabrikant en de telco om toch een patch uit te brengen.
Dat de kans dat deze exploit gebruikt gaat worden dan heel wat groter wordt is een neveneffect hiervan, wat de 3 bovengenoemde partijen (hopelijk voor de eindgebruiker) willen voorkomen om gezichtverlies te vermijden.
Pin jezelf niet gevel vast op het idee dat je moet updaten naar 5.1+. Als cyanogen/rombouwer de stagefright module patcht kun je als het goed is daarmee alle versies van Android veilig bouwen. Als je dus in de komende maanden een recente custom ROM pakt, en de developer daarvan heeft niet onder een steen geleeft is de bug zeer waarschijnlijk eruit.
Cyanogen heeft Cyanogenmod 11 ook een patch gegeven. Ik zou die ROM gaan gebruiken als die beschikbaar is voor je telefoon tot de ROM die je nu gebruikt ook gepatcht is (als je een andere ROM gebruikt tenminste).

http://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8

[Reactie gewijzigd door Bart95 op 5 augustus 2015 09:25]

Maar is Cyanogen wel een betrouwbare bron van software? Is het middel niet erger dan de kwaal?
Wat zou er mis zijn met Cyanogen volgens jou? Het is een custom ROM gebaseerd op het AOSP met extra features, oa beveiligingsfeatures. Naar mijn mening is het alleen maar beter als standaard Android.
Het is een custom ROM gebaseerd op het AOSP met extra features, oa beveiligingsfeatures
En wat nog meer? Wat is hun verdienmodel? Voor mij is het installeren van een custom rom op je telefoon het zelfde als het installeren van warez op je PC: Het kan goedgaan maar als blijkt dat er narigheid wordt meegeinstaleerd moet je daar ook niet van opkijken.
Cyanogen verdient aan deals met fabrikanten die CyanogenOS als standaard firmware op hun toestel zetten (zoals bij mijn telefoon, de OnePlus One). Cyanogenmod kun je zelf op je toestel zetten en er staat minder 'narigheid' op als de Android firmware van je fabrikant, want een fabrikant gooit veel bloatware in Android (op een paar na, zoals bij een Nexus of Motorola). Cyanogenmod heeft helemaal geen bloatware en bevat alleen apps die je echt nodig hebt (zoals een bel app, SMS app en een muziekspeler).

Je hebt juist meer privacy bij Cyanogenmod, doordat je per app kan instellen wat zijn permissies zijn (je kan bijvoorbeeld instellen dat een app je locatie niet kan lezen of niet bij je camera kan) en Cyanogenmod wordt standaard zonder google apps geleverd waardoor je zelf kan kiezen of en welke apps van Google je erop zet.

Cyanogenmod is daarnaast de meest populaire custom ROM en opensource. Als je nog meer wilt weten zou ik op hun site kijken of op Wikipedia eens opzoeken of anders op het forum verder zoeken naar de ROM, want hier lijkt mij niet de beste plek om over het verdienmodel van Cyanogen te discussiëren.
Het niet vrijgeven van de exploit betekent ook dat op termijn miljoenen mensen het slachtoffer kunnen worden. Gaat misschien iets langzamer omdat er meer scriptkiddies zijn dan hackers, maar het gebeurt natuurlijk wel.

Aan de andere kant, hebben providers niet de mogelijkheid om MMS te scannen of gaat dat een te moeilijke/kostbare operatie worden?
Dit is koren op de molen van Microsoft. Neem mijn huidige werkgever: vorig jaar 150 wat goedkopere Samsung telefoontjes gekocht en - zoals van Samsung te verwachten - sinds die tijd geen enkele update meer gehad. Draaien allemaal nog 4.1. Voor 1 type hebben we van Samsung nog een onofficiele ROM gehad, zodat het toestel in de praktijk gewoon bruikbaar is (na 3 whatsappjes met foto stond het toestel "vol" en kon je er bijna niets meer mee).

Ineens wordt Windows 8 of 10 dan toch wel heel erg interessant, als je geen 600 euro per toestel wil uitgeven bij Apple en langer dan een jaar support wil op het OS van je telefoon.

Ik ben tot nu toe altijd best gecharmeerd geweest van Android, maar het hele gekloot rond updates en upgrades begint me nu toch wel een beetje naar de concurrent te dwingen. Dat zal deels Samsungs schuld zijn, deels Google's schuld, dat is voor mij niet zo belangrijk. Als ik nog eens voor Android kies, gaat Samsung er in ieder geval tussenuit, want dan wil ik een toestel van Google zelf. Zit je iets dichter bij de bron van de updates en upgrades.
Daarmee ga je even voorbij de windows phone 7 telefoons die op 7.8 zijn blijven steken.
Windows Phone 7.8 heeft tot oktober support gehad van Microsoft. Deze mensen zijn dus 4 jaar goed beveiligd gebleven. In 2012 kwam 8 met andere telefoons dus zeg dat de aller kortste support ± 2 jaar is geweest. Het is misschien niet netjes van Microsoft om geen update naar 8 te geven, maar Microsoft heeft het platform van 7.5 naar 7.8 geüpdatet en tot oktober 2014 support afgeleverd. Omdat het een Android artikel is: Veel Samsung telefoons en "low end" Android telefoons zien nooit een update.

Verder kunnen we concluderen dat Microsoft 'het leven heeft gebeterd' en nu wel sowieso alle Lumia's (97% alle WP8 devices) updaten waarbij andere fabrikanten zeer zeker zullen volgen (HTC One M8 Windows Phone, etc). Mijn punt is niet om Microsoft te verdedigen, maar ze hebben wel gebeterd, dit kan ik van Google en de hele Open Handset Alliance niet zeggen. Deze leveren nog steeds geen beveiligingsupdates, feature updates, zeggen dat het zogenaamd niet kan (vooral Samsung), etc. Dit zijn praktijken waar Microsoft niet aan meedoet. Apple trouwens ook niet met de 4s.
Blijven we met dit argument komen zonder verder na te denken? Windows Phone 7 toestellen werden tot eind vorig jaar ondersteund, 4 jaar ondersteuning in totaal. De upgrade naar Windows Phone 8 was onmogelijk omdat er hardware matig simpelweg van alles ontbrak aan WP7-toestellen. Daarbij komt ook nog eens kijken dat Microsoft al bij de aankondiging van Windows Phone 7.5 heeft gewaarschuwd dat Windows Phone 7 toestellen geen upgrade krijgen naar Windows Phone 8. De huidige WP8 toestellen krijgen nu al ondersteuning tot op zijn minst 2017, voor de oudste is dat 5 jaar ondersteuning, en dat wordt met de lancering van Windows 10 Mobile verlengt naar 2020. 8 jaar ondersteuning.
Microsoft is totaal niet interessant voor mijn werkgever. Wij gebruiken apps die niet bestaan op Windows. Dat platform valt dus af.
Voor gewone gebruikers zijn er ook diverse apps niet aanwezig op Windows. Laat staan als je Tweaker bent.
Inderdaad, dat is ook mijn reden. Maar misschien komt er verandering in moest het mogelijk zijn om android apps op windows te draaien.
Ik snap niet dat je na dit nog een keer zakelijk de keus voor Android zou durven verantwoorden. Het is echt weggegooid geld als je nadenkt over de problemen die je nu meemaakt.
Je hebt zakelijk maar 2 (of 3 als je Blackberry ook meetelt) goede keuzes.

iOS is de beste keus ivm updates, apps, extra beveiligingsopties (vingerafdrukscanner, activation lock, volledige encryptie, per app beveiligings-/privacysettings). Devices behouden hun waarde, dus kunnen tzt weer voor een redelijk bedrag verkocht worden.
Windows Phone hobbelt achter iOS aan op de meeste van deze vlakken, maar heeft veel overeenkomsten qua kwaliteit op andere vlakken. Gesloten ecosysteem, integratie met bestaande systemen, veiligheid van het device en de software, ook goede updates.

Daarentegen:
iOS is heel duur (bij ons deels opgelost door niet het allernieuwste model te kopen, dus iedereen loopt met een 5S).
Windows Phone is lekker goedkoop en redelijk wat van de belangrijkste apps bestaan alsnog wel voor Windows Phone.

Blackberry zou ook zeker genoeg basis hebben om als keuze te dienen, maar die hebben bij het hogere management dat dit soort keuzes maakt meestal niet meer zo'n goede naam.

[Reactie gewijzigd door SidewalkSuper op 5 augustus 2015 10:51]

Waarom is een complete nieuwe Android versie nodig? Kan Google dit niet via de playstore laten doen in de app play services bijvoorbeeld?
Er is door iemand van Google of de onderzoeker gezegd dat dit niet mogelijk was. Google Play Services kan op app en api level werken, het is namelijk zelf een app. Het probleem zit echter in de basis van Android waar geen enkele app, wegens overduidelijke beveiligingsredenen, iets kan wijzigen.
Dus een OS dat je gericht kan fixen is tijdens runtime is daarom kwetsbaar? Dat lijkt me juist een strategisch voordeel.
Er zijn ook apps die de boel tijdelijk kunnen rooten en de-rooten (waar gewoon een infrastructuur voor is). Daar tussenin zijn zowel het systeemvolume, het RAM-geheugen als het process-management volledig te manipuleren.
Alleen zou het wel maf zijn als Google de faciliteiten die ze zelf hebben aangelegd tegen de vrijheid van de (evil) gebruiker nu voor zichzelf onklaar gaan maken om de boel te beschermen tegen echte kwaadwillenden. Ik denk dat ze dat niet aandurven. Dan maken ze de betrouwbaarheid van Android zelf twijfelachtig.
IMO wil je je systeem op alle momenten als eindgebruiker zo gesloten mogelijk houden. Dit om te zorgen dat apps geen rare dingen gaan doen.

Ik vind het idee dat Google een app zou uitbrengen of Play Services update om directe toegang tot het systeem te krijgen extreem gevaarlijk. Nog gevaarlijker dan de problemen die zich nu voordoen. Je wilt deze systeem rechten beperken tot Play services. Omdat het een reguliere app is, kun je niet op veel manieren beperken behalve via de app ID. Daar ligt ook meteen het gevaar, wat als er een bug blijkt te zijn dat je een appID kunt overnemen of een app een andere kan downloaden en Play Services overneemt. Dan heeft een app toegang tot letterlijk alles! Software is gemaakt door mensen en daarom nooit bugvrij.

Punt twee waarom het niet gaar werken, het systeem zou geüpdatet moeten worden om deze app toe te staan, dus alleen Android M en hoger kan getarked worden.

Kortom, Play Services is leuk om oudere telefoons en Tablets van api's te voorzien, maar om het echte probleem met features, bugs, etc op te lossen, moet het hele updatemodel van Android om.
Zie ook mijn latere reactie. Als de patch voor de stagefright module is toegepast heb kun je feitelijk alle Android versies veilig builden. Eigenlijk is het stompzinnig eenvoudig voor fabrikanten om de huidige ROM voor telefoons een gepatchte versie van stagefright te geven en een vers gebouwde ROM zonder andere nieuwe features e.d. te verspreiden. Ik hoop wel dat ze dan gelijk de Android browser patchen of verwijderen. Die is ondertussen vaak ook al zo lek als een mandje.
Hier ook een Android gebruiker die begint te twijfelen. Die stagefright bug is doodeng. Goddank wordt ie waarschijnlijk gefixed voor de Fairphone (die lui hadden immers ook toegezegd hun toestel voor langere tijd te ondersteuenn) maar ook zonder stagefright zijn er genoeg redenen voor mij om te twijfelen.

Ik heb onlangs mijn vierde wipe moeten doen omdat ie op een gegeven moment amper nog wou unlocken. Op het forum bleek dat ik niet de enige was; meer mensen met exact dezelfde issues die je telefoon in feite gewoon onbruikbaar maken.

Van het weekend sprak ik met een dame die voor een paar tientjes een 4S had gekocht. Telefoon reageerde nog heerlijk vlot en was ondanks het leeftijdsverschil voorzien van actuelere software dan de mijne.

We doen als android volk wel lacherig over de Apple fanboys met hun gesloten toestellen en dito ecosysteem maar wie lacht er nou eigenlijk het laatste?
Denk nou niet dat apple minder vatbaar is voor hacks en ik denk dat het probleem in jouw geval dus meer bij de telefoon zelf ligt want genoeg android telefoons die gewoon snappie blijven..
Dat is eigenlijk precies wat ik denk. Dit is niet mijn eerste android toestel. Op mijn werk gebruikt vrijwel iedereen al jaren een Iphone. En die hebben nooit zulke problemen gehad als ik.
Natuurlijk is een iPhone ook vatbaar voor hacks, maar belangrijkste is dat een iphone véél vatbaarder is voor fixes van die hacks...
Dat is natuurlijk waar dit gedoe over gaat. Alle producten bevatten bugs en zijn daardoor vatbaar voor hacks, het gaat erom dat dit goed opgelost kan worden! Google heeft dit probleem gigantisch onderschat toen ze het Android ontwikkelmodel hebben bedacht.
Beveiligingsonderzoeker Joshua Drake van beveiligingsbedrijf Zimperium is nu van plan om de exploit op 24 augustus vrij te geven, zegt hij tegen Tweakers op de Black Hat-beveiligingsconferentie in Las Vegas.
Wie is er daar dan momenteel, of heeft hij dat via een Skype-verbinding gezegd? Het is natuurlijk wel vreemd dat het zo lang moet duren voordat er eindelijk een patch komt. Is er geen anti-exploit die je kan installeren hiertegen? Net zoals die er voor windows wel zijn (bijv. Malwarebytes anti-exploit )

offtopic:
Ik heb wel interesse in een soort van agenda op de website waar ik kan zien naar welk evenement tweakers gaat en welke andere evenementen er zijn. :)

[Reactie gewijzigd door Frozen op 5 augustus 2015 01:21]

[...]

Wie is er daar dan momenteel?
Ik!

Update: nee, niet via Skype, IRL

[Reactie gewijzigd door Joost op 5 augustus 2015 01:21]

Hopelijk betaal je dat tripje niet uit eigen zak dan, BlackHat is veel te duur imo
Ik was ook lichtelijk verbaasd dat de exploit zomaar zou worden gepresenteerd. Ik ben alleen benieuwd wat de providers precies willen bereiken met het verzoek om toch nog even te wachten met de publicatie?
Ik was ook lichtelijk verbaasd dat de exploit zomaar zou worden gepresenteerd. Ik ben alleen benieuwd wat de providers precies willen bereiken met het verzoek om toch nog even te wachten met de publicatie?
Kan me voorstellen dat ze misschien tijd willen om betere filtering in te stellen, om eventuele worms te detecteren. Maar goed, dat zou alleen met mms'jes werken, die via de provider gaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True