Motorola begint binnenkort met uitrol patch voor Stagefright-bug

Motorola heeft een patch ontwikkeld die het recent ontdekte Stagefright-lek in Android moet repareren. Volgende week wordt de software aangeboden aan providers waarna het wordt getest. Kort daarna moet de uitrol plaatsvinden.

Op zijn website laat Motorola weten dat de patch komt naar de Moto X, Moto G en Moto E. Het gaat zowel om de huidige als alle voorgaande generaties van deze smartphones. De fabrikant stelt dat het al enige tijd bezig is met de ontwikkeling van een patch voor de bug in Stagefright en dat deze bijna klaar is; vanaf maandag kan de testfase beginnen. Wanneer de uitrol vervolgens plaatsvindt is niet duidelijk, maar het is aannemelijk dat dit niet lang zal duren.

Eerder lieten andere grote fabrikanten al weten dat zij met een oplossing voor het probleem in Stagefright komen. Onder andere Samsung en LG hebben beloofd hun toestellen te zullen updaten, en in het vervolg met maandelijkse beveiligingspatches te komen. Datzelfde werd verkondigd door Android-maker Google.

Het probleem zit in de Stagefright-video-engine van Android, waardoor het versturen van een video naar een Android-gebruiker al voldoende kan zijn om binnen te dringen op de smartphone. Een kwaadwillende kan bijvoorbeeld, als hij het telefoonnummer weet, een mms met een video versturen en daarin malware verstoppen; dat maakt het gemakkelijk om op afstand in te breken op Android-smartphones. Het probleem wordt vergroot doordat vrijwel alle Android-smartphones kwetsbaar zijn. Eerder paste T-Mobile de ontvangst aan mms aan, waardoor de vatbaarheid voor de Stagefright-bug moet worden verkleind.

Moto G

Reacties (51)

BobJung

8 augustus 2015 12:49

Zal de plank wel mis slaan, maar is hier nu een nieuwe ROM voor nodig of kan deze patch door Google geschreven worden en vervolgens uitgerold via updates, door alle smartphone producenten?
Dat is toch een onbegonnen zaak als je dit voor elke telefoon opnieuw moet schrijven!!

BartD95 @BobJung • 8 augustus 2015 13:03

Android is open source, iedere fabrikant kan Android naar eigen smaak aanpassen. Daardoor kan Google er geen updates meer voor uitbrengen, doordat Android op elke telefoon net wat anders is. Google heeft de patch ook al wel geschreven en aan fabrikanten gegeven, maar elke fabrikant zal dit zelf in hun versie van Android moeten verwerken en voor elke telefoon apart een update uit moeten brengen. Dat is een van de reden wat het probleem zo groot maakt.

Gopher @BartD95 • 8 augustus 2015 16:21

Ik verwacht eigelijk dat de fabrikanten die niet al te veel aangepast hebben, al een heel eind zijn met een git merge van de google master branch?

Ik zie de update wel binnenrollen op mijn Moto-G

BartD95 @Gopher • 8 augustus 2015 18:02

Dat denk ik wel, zeker bij Motorola. Dat is een van de fabrikanten die juist wel goed en voor (bijna?) al zijn toestellen updates verspreid. Hopelijk volgen er meer nu, in ieder geval met beveiligingsupdates.

[Reactie gewijzigd door BartD95 op 29 juli 2024 21:12]

Sharkoon @BartD95 • 8 augustus 2015 20:12

Zeg je nu wel, maar ik heb in afgelopen half jaar nog maar 1 update gehad..

BartD95 @Sharkoon • 8 augustus 2015 21:00

Dan neem ik aan dat je Lollipop hebt? Misschien nog geen 5.1 als je een Moto G hebt, maar daar zijn ze op dit moment mee bezig. Ik vind dat netjes, zeker als je bedenkt dat de goedkopere E de update al heeft. Met de G hadden ze gewoon wat problemen en 5.1 komt zelfs voor de 1e generatie (uit 2013).

BèR @BartD95 • 8 augustus 2015 22:38

Ik heb al weken lang de officiële 5.1 op mijn Moto G (1e gen). Vind het toch wel netjes als ze dit patchen

Anoniem: 426269 @BèR • 10 augustus 2015 15:25

Ik wacht er al een half jaar op. Ik wil mijn LEDje terug bij een bericht in prioriteitsmodus (voorheen geluid uit, wat ik ook liever gewoon terugheb).

TD-er

@BartD95 • 9 augustus 2015 07:49

De moto g uit 2015 (2e gen met 4g) heeft sinds introductie in februari geen enkele update gehad.
Dus ook niet naar 5.1, terwijl de moto G uit 2013 al in april bijgewerkt is naar 5.1
En de 5.0 heeft toch wel vervelende issues die in 5.1 zijn verholpen.

Lapa @TD-er • 10 augustus 2015 14:18

Ik heb vrij recent de Moto X (2e gen) gekocht. Out of the box was dat 4.4, maar ik kreeg daar onmiddellijk een update op naar 5.0.

Maar 5.1 ho maar. Terwijl die zover ik weet wel in de VS uitgerold is op deze telefoon.

Edit: ik heb inmiddels gezien dat ik wel naar 5.1 kan updaten (via 5.0.2), dat moet blijkbaar door 'handmatig' op system updates te checken (via Instellingen). Ik dacht dat ik daar wel een notificatie van zou krijgen, kreeg ik immers wel v.d. 5.0 update.

[Reactie gewijzigd door Lapa op 29 juli 2024 21:12]

Gopher @Sharkoon • 8 augustus 2015 21:13

Ze mogen even duren, maar je krijgt ze tenminste wel.

Blokker_1999

@BartD95 • 8 augustus 2015 18:48

Het zou perfect kunnen, alleen heeft Google nooit een degelijk update mechanisme voorzien in Android waardoor ze geen enkele update kunnen pushen als ze dat zouden wensen. Microsoft heeft zijn OS dan beter onder controle daar zij wel updates naar toestellen van alle fabrikanten sturen. Ik hoop echt dat dankzij stagefright er nu een gelijkaardig mechanisme komt in Android.

catfish @BartD95 • 8 augustus 2015 13:47

dit geloof je toch echt zelf niet?
een mooie smoes, dat moet ik wel zeggen
dat er fabrikanten zijn die de GUI grondig aanpassen, zaken toevoegen,... helemaal akkoord, maar dat er ook zijn die in de library's zitten aan te passen? daar geloof ik niets van

BartD95 @catfish • 8 augustus 2015 15:00

Ik denk dat er best bij zijn die dat niet doen maar het kan wel degelijk. Als Google het zelf zou kunnen oplossen zouden ze dat zeker wel doen. Dit is geen goede reclame voor Android.

eborn @BartD95 • 8 augustus 2015 16:54

Het is gewoon een fundamentele fout in Android. Prima dat Google ooit gekozen heeft voor een systeem waarbij operators/providers zelf aanpassingen kunnen doen. Maar een systeem als dat men nu via Google Play Services probeert te 'repareren' had gewoon al vanaf het begin in Android moeten zitten. In ieder geval vanaf een versie 2.x

dwilmer @catfish • 8 augustus 2015 14:21

Ja, ze passen de libraries ook aan. Misschien niet stagefright maar wel veel drivers, omdat die nog lang iet generiek zijn.
Op Ars Technica staat een wat diepgaander artikel over de problemen: http://arstechnica.co.uk/...able-security-armageddon/

KoffieAnanas @BobJung • 8 augustus 2015 13:14

Het komt zo te zien neer op het vervangen van 1 generiek library bestand, daar is geen hele nieuwe rom voor nodig. Ik heb de library handmatig vervangen door een nieuwe versie (uiteraard root rechten nodig).

robvanwijk @KoffieAnanas • 8 augustus 2015 17:06

In dit geval (een security patch, die het (wenselijke) gedrag van de library niet verandert), kun je het inderdaad in veruit de meeste gevallen simpelweg vervangen. Dat is ook de reden dat er enige hoop is dat deze patch snel wordt goedgekeurd door de hele keten van Google, via fabrikanten en providers, tot daadwerkelijke klanten.

Maar het update-model van Android moet ook om kunnen gaan met veel complexere patches, waarbij wijzigingen worden aangebracht in code die door fabrikanten en/of providers geforked is en waarbij alle aanpassingen naar de fork geport moeten worden.

En zelfs in dit relatief simpele geval... zou jij echt bereid zijn om op de knop te drukken "rol dit uit naar tienduizenden verschillende versies van in totaal een miljard devices" als jij degene bent waar mensen verhaal komen halen als hun smartphone gebricked wordt? Ik zeg niet dat het update model werkt, maar kan me er wel iets bij voorstellen dat er een boel partijen zijn die grondig willen controleren dat ze ofwel de schuld voor problemen af kunnen schuiven, ofwel zeker weten dat er geen problemen ontstaan.

i-chat @BobJung • 8 augustus 2015 12:53

stagefright is onderdeel van android-base (en dus een onderdeel van de rom), je kunt dus een ota update verwachten, maar zeer waarschijnlijk eentje waarbij een reset niet nodig zal zijn itt de normale gang van zaken bij upgrades.

n00bs 8 augustus 2015 12:49

Weet iemand of het mogelijk gaat worden om de patch los te downloaden (samsung S5) en deze te installeren?

Ik wil namelijk geen Android 5.0x. Ik heb zelf de laatste 4.42 rom, root, xposed etc..

Bartske @n00bs • 8 augustus 2015 12:54

Lijkt me niet, sowieso is het voor toekomstige lekken beter om naar de laatste android versie over te stappen.

i-chat @n00bs • 8 augustus 2015 12:56

ja en nee, als stagefright onderdeel is van aosp kun je mogelijk proberen de patch te backporten naar jou versie of je zou kunnen proberen om een versie van stagefright uit een 5x versie toe te voegen aan de source van je 4.4x rom, maar je loopt dan tal van risico's bijv indien er in stagefright aanpassingen zijn gemaakt waardoor sommige delen van je os geen toegang meer hebben tot je media

als je een android dev bent zal er bijna zeker een manier zijn om dit voor elkaar te krijgen in elk ander geval kun je het vergeten.

Ro-Me @n00bs • 8 augustus 2015 13:26

Ja, voor verschillende toestellen is de patch handmatig te installeren door een bestand te vervangen of de patch te flashen via een custom recovery.

Voor mijn toestel (Jiayu S3) is er al een patch gekomen. Het lijkt me sterk dat dan een Samsung S5 wordt overgeslagen.

[Reactie gewijzigd door Ro-Me op 29 juli 2024 21:12]

seapip @n00bs • 8 augustus 2015 15:38

He is een los library bestand dat je gewoon als root kunt vervangen, zie de xda forums voor meer details.

Anoniem: 280673 @n00bs • 8 augustus 2015 12:54

Ik verwacht van niet omdat het merkafhankelijk zal zijn.

KoffieAnanas @Anoniem: 280673 • 8 augustus 2015 13:54

Ik verwacht van wel daar het erop lijkt dat het merkonafhankelijk zal zijn. Dus per Android versie een generieke patch.

KoffieAnanas 8 augustus 2015 13:10

De patch komt bij kitkat roms neer op het vervangen van 'libstagefright.so' in '/system/lib'. De patch is al beschikbaar voor mijn Jiayu S3.

Soldaatje 8 augustus 2015 13:13

Sony zou deze maand de patch uitrollen vanaf de Z2:

Sony

De reactie van Sony omtrent Stagefright is wat vaag, al laat de fabrikant weten dat gewerkt wordt aan patches. “Sony Mobile neemt de veiligheid en privacy van klantgegevens zeer serieus. We hebben patches van Google ontvangen en zijn hard aan het werk om deze via normale en reguliere software updates beschikbaar te stellen”, aldus een woordvoerder. Volgens Google zullen de Xperia Z2, Z3, Z3 Compact en Z4 (uitgebracht als de Xperia Z3 Plus in Nederland) nog deze maand worden geüpdatet. Welke andere Sony-smartphones een update tegemoet kunnen zien en wanneer, is niet bekend.

http://www.androidplanet....ernstige-stagefright-lek/

Anoniem: 256386 8 augustus 2015 12:54

Mms mogelijkheid uitgeschakeld.

i-chat @Anoniem: 256386 • 8 augustus 2015 13:00

de bug werkt niet alleen via mms... maar ook via hangouts, skype en tal van andere chat en media aplicaties maar zelfs via websites etc ben je kwetsbaar, de enige mogelijkheid zou zijn als je stagefright uit zou schakelen en er een proces tussen zou zetten die video's eerst scant voor ze aan stagefright worden doorgespeeld in dat geval zou je schadelijke code eruit kunnen filteren ten koste van een boel lagg...

bbc @i-chat • 8 augustus 2015 13:16

Ik heb de MMS servers ook aangepast. Ik surf niet zoveel op mijn telefoon.

Deze patches zijn leuk, maar ze zijn enkel voor topmodellen die niet al te oud zijn. Een groot aantal klanten blijft gewoon in de kou staan, waarvan een hele hoop niet eens weten wat het risico is.

Voor mij zullen het enkel nog Nexus telefoons worden.

Anoniem: 172410 @bbc • 8 augustus 2015 13:20

Geen MMS betekent niet dat je niet kwetsbaar bent. Een video kijken op een website is ook al genoeg, of zelfs die pagina laden in sommige gevallen. Alles dat video speelt is een probleem.

[Reactie gewijzigd door Anoniem: 172410 op 29 juli 2024 21:12]

WOteB2 @Anoniem: 256386 • 8 augustus 2015 13:42

Een paar workarounds gevonden die werken op een Wolfgang AT-S40W en een Alcatel Pop C3

MMS uitschakelen doe je op verschillende manieren.
Mogelijheid 1. is om de automatisch ophaal diens uit te schakelen. Dat doe je op deze manier: Instellingen van je SMS/MMS client ==> MMS-instellingen ==> Automatisch ophalen, en daar het vinkje weghalen. Automatisch ophalen is dan uitgeschakeld.

Je krijgt dan alleen een SMS-je als er een MMS bericht binnen is gekomen.

Drastischer is mogelijkheid 2. Systeem instellingen ==> Draadloos en netwerken ==> Mobiele netwerken ==> Namen toegangspunt(en) ==> je provider ==> APN-type, en daar de MMS uitvinken.

Bij mogelijkheid 2 is MMS dus helemaal uitgeschakeld. Ook nu krijg je een aankondiging dat je een MMS-bericht hebt ontvangen, maar nu kun je het helemaal niet meer openen.

Meer informatie, ook voor Hangouts hier: https://www.twilio.com/bl...-stagefright-exploit.html

Overigens heb ik Hangouts en ander Google spul sowieso al helemaal uitgeschakeld op beide mobieltjes.

[Reactie gewijzigd door WOteB2 op 29 juli 2024 21:12]

jeroen7s 8 augustus 2015 13:33

Het gaat zowel om de huidige als alle voorgaande generaties van deze smartphones.

dus mensen met een 1st gen moto G, moto E of moto X krijgen geen patch

Edit: verkeerd gelezen, ik dacht dat er stond deze en 'de' voorgaande generatie, ipv alle voorgaande generaties

[Reactie gewijzigd door jeroen7s op 29 juli 2024 21:12]

IkWilbert @jeroen7s • 8 augustus 2015 13:42

Ja hoor. Die krijgen de patch ook gewoon. Staat in het nieuwsbericht van Motorola.

We will offer a security patch to our carrier partners for their testing and approval for the following products:

Moto X Style (patched from launch)
Moto X Play (patched from launch)
Moto X (1st Gen, 2nd Gen)
Moto X Pro
Moto Maxx/Turbo
Moto G (1st Gen, 2nd Gen, 3rd Gen)
Moto G with 4G LTE (1st Gen, 2nd Gen)
Moto E (1st Gen, 2nd Gen)
Moto E with 4G LTE (2nd Gen)
DROID Turbo
DROID Ultra/Mini/Maxx

[Reactie gewijzigd door IkWilbert op 29 juli 2024 21:12]

Anoniem: 145867 @IkWilbert • 8 augustus 2015 15:31

Dan is het nog aan de "Carrier" partners om deze door te zetten?

silasje1 @jeroen7s • 8 augustus 2015 13:41

Als je de bron leest zie je dat die wel er tussen staan

bitflusher @jeroen7s • 8 augustus 2015 14:13

Lollypop wordt (heel langzaam) uitgerold voor moto e gen1. Ik denk dat de patch pas later komt.
India en brazilie (bron xda) hebben al 5.1 daar zal de patch ook wel het eerst uitgerold worden.

SuperDre @jeroen7s • 8 augustus 2015 17:33

Tja, maar mensen met een xoom blijven dus met de gebakken peren zitten...

GJE 8 augustus 2015 15:54

Heb een MOTO G 1gen, en wacht op de 5,1 update, want er zitten nogal wat bugs in lollipop 5,0

Vindt dat men veel te traag is met vrijgeven van de software.....
Juist dit lijkt me een goed moment om de update mogelijk te maken.

jeroen7s @GJE • 8 augustus 2015 16:21

zelfde hier, de 5.0.2 update was een ramp, traag en loopt vaak vast, ook al is de batterijduur nu wel beter, was toch beter op 4.4.4 blijven zitten

BèR @GJE • 8 augustus 2015 22:42

Heb je een branded toestel dan? Ik heb een Moto G 4G simlockvrij gekocht en draai al weken (bijna maanden) lang de officiele OTA 5.1.

Henk Poley 8 augustus 2015 19:51

Had recentelijk hun release manager al eens gepolst of er een 'out-of-band' update zou komen voor de Stagefright problematiek. Hij melde terug dat ze het Lollipop (5.1.1) updates zouden meenemen.

Maar het lijkt er dus op dat er nu toch een update van de huidige Android versie komt.

[Reactie gewijzigd door Henk Poley op 29 juli 2024 21:12]

kodak 8 augustus 2015 23:59

Het duurt erg lang voordat de mensheid doorkrijgt dat ze wat betreft security al jaren worden afgescheept door de leveranciers van hun smartphones. Motorola, LG, Samsung hebben nu juristen met knikkende knieen uit angst dat hun klanten ze voor de rechter gaat slepen als die getroffen worden. Ondertussen doen de meeste leveranciers, waaronder de Nederlandse providers, nog steeds niets aan hun patchbeleid. Het doel lijkt zo min mogelijk investeren en support leveren richting je klanten en zo veel mogelijk nieuwe devices over de toonbank. De leveranciers hebben er gewoon geen zin in om fatsoenlijk updates uit te rollen, maar ook niet om de klant duidelijk te informeren dat ze al jaren smartphones zijn en worden aangesmeerd waar beveiligingslekken nauwelijks in gepatched worden. Who cares zolang de leverancier maar winst maakt en de reputatie nog prima is.

[Reactie gewijzigd door kodak op 29 juli 2024 21:12]

Lapa @kodak • 10 augustus 2015 14:27

Het is al erg genoeg dat de producenten (Samsung, Motorola, enz.) ertussen zitten. Als ook nog je provider zijn eigen sausje over het OS heen gooit en dus invloed (= altijd vertraging) op de uitrol van updates heeft, is het helemaal ellende.
Koop dus nooit een telefoon met branding van je provider als je het kan voorkomen.

Tha Masternoop 9 augustus 2015 01:43

Mijn vrouw kreeg een aantal weken geleden een video via Whatsapp binnen van iemand die ze niet kende. Ze heeft de video ook nog geopend. Daarna haar telefoon via een volledige recovery terug gezet naar fabrieksinstellingen. Wist op dat moment niet dat het om een stagefright bug ging maar het lijkt er dus op dat dit ook in het wild gewoon plaats vindt.

Op dit item kan niet meer gereageerd worden.

Motorola begint binnenkort met uitrol patch voor Stagefright-bug

Lees meer

Reacties (51)

Sorteer op:

Weergave: