Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 191 reacties

Een lek in alle Android-versies van 4.3 tot en met M Preview 1 zorgt ervoor dat aanvallers door middel van een nep-app zonder bijzondere toestemmingen complete controle over een toestel wisten te krijgen. Google heeft het lek voorafgaand aan de onthulling gedicht.

IBM Security Intelligence stelt dat het lek in 55 procent van de Android-installaties voorkwam. De hack slaagde dankzij een kwetsbaarheid in de OpenSSLX509Certificate-class. Doordat op die manier een kwaadwillende app aanvullende systeemrechten kon verkrijgen, was het niet nodig om in de Google Play Store om naar bijzondere toestemmingen te vragen. De onderzoekers hebben de exploit geprobeerd op een Nexus 5 met Android 5.1.1.

Nadat de app zijn rechten binnen heeft gehaald, kunnen aanvallers bijvoorbeeld een bestaande applicatie vervangen door een vervalste versie, die zijn login-gegevens vervolgens kan versturen naar de aanvallers. Afgezien van de reboot is er niets dat een gebruiker merkt van het werken van de exploit. Het team van IBM presenteert de exploit op Usenix Woot '15 in Washington, volgende week. De paper die ze erover hebben geschreven, is direct beschikbaar.

Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M. Ook Google Play Services heeft een update gekregen om te helpen het lek te dichten.

Moderatie-faq Wijzig weergave

Reacties (191)

Ik vind het erg vervelend voor de mensen die een Android toestel hebben.

Hoe ver moeten we nog gaan, een gesloten Apple en Microsoft of een open Android toestel met alle gevolgen van dien.
Ik heb verschillende nieuwsberichten gelezen dat firma's hun eigen os gingen maken, jammer genoeg dat dit niet goed van de grond komt.
Ik hoop dat het lek goed gedicht wordt en dat er meer geld door Google wordt geinvesteerd om de os vaker te updaten om dit soort gevaren in de toekomst voor te zijn.
Misschien worden Android devices dan wat duurder, maar wel veiliger.
Er zijn vele alternatieven voor iOS en Android, ik erger me er aan dat mensen nu gaan roepen van "Wat moet je anders kiezen?", terwijl er gewoon prima alternatieven zijn, die een stille dood sterven (of belachelijk gemaakt worden door onwetende personen...) wegens een gebrek aan gebruikers en ontwikkelaars (apps). Dat je dan niet het laatste hype spel kan spelen zoals de mensen om je heen moet je dan maar voor lief nemen...

[Reactie gewijzigd door Superpelican op 11 augustus 2015 13:46]

Er zijn vele alternatieven voor iOS en Android
Alsof dat helpt.

Deze beveligingsgaten worden gevonden doordat deze OSsen (en ook Windows) zo prominent aanwezig zijn. Dat wil niet zeggen dat alternatieven geen beveilings problemen hebben. Die alternatieven worden veel minder grondig onderzocht en komen ook niet in het nieuws. Dat er geen beveligingsgaten gevonden worden wil niet zeggen dat ze er niet zijn, misschien zoekt er niemand naar omdat ze veel minder interessant zijn.

Is Jolla OS, WebOS of Firefox OS nou zo goed en bugvrij? Ik geloof er niets van, daar wordt alleen maar een fractie van de energie in gestopt in vergelijking met de high profile OSsen en als ze wat vinden is het geen nieuws want niemand gebruikt het.
Dat 'security by obscurity' verhaal is een mythe. Er werd altijd gezegd als Apple's OS even groot of in de buurt kwam van Windows dat het even veel beveiligingsproblemen gaat krijgen. Nou iOS is nu groter dan Windows en heeft niet dezelfde graad van beveiligingsproblemen als Windows toen. Windows zelf ook niet, simpelweg omdat het ontwerp erg verbeterd is en lekken veel sneller gedicht wordt.

Beveiligsupdates door meerdere partijen jassen is vragen om problemen (OS producent, Toestelfabrikant, Provider, gebruiker).
Hierboven ben je echt appels met peren aan het vergelijken. Wat ben je eigenlijk aan het vergelijken en waarom? Een mobile OS benader je meestal op een andere manier dan een Desktop / Server OS.

Daarnaast lijk je te denken dat de wereld eeuwig hetzelfde blijft en kijk je blijkbaar alleen naar "beveiligingslekken". Mensen worden creatiever. Denk bijvoorbeeld ook aan In app aankopen die je handig je geld aftroggelen en je opzadelen met torenhoge rekeningen. Security is meer dan beveiligingslekken.

Hoe kom je erbij dat er minder beveiligingsproblemen zijn tegenwoordig ten opzichte van vroeger? Ik zie nog steeds veel beveiligingslekken voorbij komen tegenwoordig. Hoeveel grootschalige gegevens er tegenwoordig wel niet gestolen worden, dat herinner ik me niet van 10 jaar geleden.

Daarnaast wat ben je met elkaar aan het vergelijken?
Als je naar alle devices voor de thuismarkt kijkt heeft Microsoft een voorsprong nog steeds op Apple. En dan hou je nog niet eens rekening met de servermarkt.
https://en.wikipedia.org/...hare_of_operating_systems

Puur desktop markt (toch de meest interessantste markt want daar staat de meeste privacy informatie.) dan zie je dat Mircosoft nog wel iets groter is.
https://www.netmarketshar....aspx?qprid=8&qpcustomd=0

Op de Mobile / Tablet Markt (wordt steeds interessanter, maar minder met aanvallen op het OS, maar meer via Apps) speelt Microsoft bijna geen rol.
https://www.netmarketshar....aspx?qprid=8&qpcustomd=1

[Reactie gewijzigd door dmjdebruin op 11 augustus 2015 16:14]

De desktop markt is helemaal niet interessant. Dat zijn thuiscomputers vol vakantiefoto's en gedownloadde media. Servers zijn veel interessanter om te kraken. Daar zitten grote databases met persoonsgegevens en bedrijfsinformatie en -documenten, en ze zijn altijd online en daarom handig voor een botnet.

Gezien het marktaandeel van *nix gebaseerde OS'en heeft hij dus wel degelijk een punt. Als aanvallen zich verhouden tot marktaandeel zou linux continu aangevallen worden, en toch is dit in de praktijk niet zo.

Oftewel ik ben het volledig met Sqewie eens: cybercriminelen focussen zich op de makkelijke doelwitten, niet op het meestgebruikte.
Toch kan het handig zijn: via een 'vertrouwde' client met een bedrijfsserver gaan babbelen.
Desktop OS'en zijn interessanter dan je denkt.
Ook van desktops zijn ID's (inlog gegevens) een interessante target (vooral van banking). En voor in een botnet is een desktop waarschijnlijk ook handig.
Hoe kom je erbij dat er minder beveiligingsproblemen zijn tegenwoordig ten opzichte van vroeger? Ik zie nog steeds veel beveiligingslekken voorbij komen tegenwoordig. Hoeveel grootschalige gegevens er tegenwoordig wel niet gestolen worden, dat herinner ik me niet van 10 jaar geleden.
Wat me wel opvalt is dat de beveiligingsproblemen veel subtieler zijn en veel dieper in het systeem liggen, soms bij de wortel. De bugs aan de oppervalkte zijn wel weg. Tweakers moeten tegenwoordig erg goed zoeken voor dat ze op een Android toestel bijvoorbeeld weer Root toegang kunnen krijgen en met elk lek dat gevonden en gedicht wordt, wordt het moeilijker.

Vergelijk dat met de beveliging van bijvoorbeeld routers, die komen in het nieuws omdat de standaard wachtwoorden zijn afgeleid van het MAC adres of het serienummer. Dat soort lekken zijn bij de mainstream OSsen wel verleden tijd. Echt simpele voor de hand liggende gaten zijn er al tijden niet meer.

Ook op het web. Er zijn natuurlijk nog steeds websites die via SQL injectie open liggen maar lang niet zo erg als 10 jaar geleden toen dat nog een nieuw fenomeen was. De lekken die er zijn, zijn vaak veel geraffineerder.

Wel is er veel meer te halen van een PC en mobiel device waardoor als het mis gaat er meteen ook heel veel op straat ligt. Een ook zijn er veel meer websites met grote klantenbestanden dan 10 jaar geleden en als die gekraakt worden ligt er wel meteen weer veel op straat. Beveiliging is dan ook veel belangrijker geworden dan 10 jaar geleden, het is ook veel meer noodzaak.

Ook het aantal sites dat wachtwoorden gewoon onversleuteld oplaat worden steeds minder. Bij de laatste grote inbraken zijn vaak wel de klantgegevens buitgemaakt maar al vaak al niet meer de wachtwoorden, creditcard gegevens en andere gevoelige gegevens. Dat soort sites zijn er nog wel, maar steeds minder.
Toen dat werd aangekaart ging het niet om iOS maar om Mac OS op de desktop/server, dat blijft voor hackers/virusschrijvers toch nog steeds de geliefde platformen... De mobiele platform zijn wel steeds interessanter en dat blijkt dus ook doordat er ook steeds meer aanvallen worden uitgevoerd, vergis je niet ook op iOS !!!
Maar nogmaals : als MacOS net zo groot wordt als Windows 7/8/10 dan zul je inderdaad steeds meer zien dat er meer resources in gestoken worden om het platform aan te vallen....
Wat hij bedoelt is dat je die vergelijking kan terug trekken naar de tijd toen iOS veel groter was dan Android en je op iOS toen de malware op één hand kon tellen en op Android dat toen een veel lager marktaandeel had je al al duizenden malware had.

Het is dus niet het marktaandeel dat bepaald of een OS interessant is voor criminelen maar hoe het OS in elkaar zit.
Waar pe1dnn helemaal gelijk in heeft is dat de "onderzoeker" zoals dat tegenwoordig heet, vele malen meer bekendheid krijgt bij een bekend OS, dus de incentive is groter.

Je bent met een obscuur OS niet veiliger tegen de echte hacker die zelfstandig binnen kan komen, maar wel veiliger tegen degenen die eerst een exploitgebruiksaanwijzing moeten downloaden.
Waar baseer je dat allemaal op? Volgens mij zuig je die "feiten" uit je duim.
Volledig mee eens! Apple werd jaren geleden ook als bug en virus vrij beschouwd. Niet omdat het niet kan, gewoon omdat er toen te weinig te halen viel voor kwaadwillende. Naarmate Apple populairder werd kwamen de virussen en bugs vanzelf.
Bugvrij is iets anders als er worden geen bugs ontdekt/gezocht.
De bugs zijn er, ze zijn alleen nog niet openbaar.
Bovendien reeds gedicht...
terwijl er gewoon prima alternatieven zijn
Noem eens 1 prima alternatief voor IOS of Android?

die is er niet, tuurlijk zijn er alternatieven, maar om die prima te noemen, ze zullen zo'n beetje in alles beperkter zijn als IOS en Android, een prima alternatief moet mij de zelfde ervaring kunnen bieden

het is inderdaad jammer dat ze allemaal een stille dood sterven en dat niemand ze kiest, maar dat zorgt er juist voor dat het dus geen prima alternatief is
Voor Android is er Cyanogen Mod. dus er is een voorbeeld, maar niet voor alle platforms.
De stagefright bug zat ook in Cyanogenmod firmware. Was pas met versie 12.0 opgelost
maar is dus wel opgelost... Er zullen nog wel meer bugs inzitten, maar vooralsnog zie ik bij Asus, LG etc. weinig beweging mbt. updates.
Dus als je een ouder toestel hebt en daar kan CM op dan ben je vermoedelijk beter af.
Cyanogenmod is Android.

En Android hoeft niet onveilig te zijn, er zijn gewoon variaties die prima werken en geen last hebben van deze lekken. Neem MIUI Android, mijn Mi3 was bijvoorbeeld niet kwetsbaar vóór de wekelijkse patchronde. Het hele privilege systeem werkt daar echt perfect.
Zelfs betere. Pak Windows phone. Juist IOS is beperkter en Android te open. Windows phone/10 Mobile. Gebruikt het eens, dan zal je het zelf ook zien. Juist aan nay sayers zouden we een broertje dood moeten hebben.
Ik hoor altijd dat zelfde geneuzel over Apple dat het gesloten is en als ik vraag waarom men het gesloten vindt dan krijg ik daar nooit concreet of duidelijk antwoord op. Omschrijf nou eens waarom je het gesloten vindt?
Het betekent simple gezegt dat je bij Apple een stuk minder opties krijgt om het te personaliseren. Ik heb Windows pc en als ik soms programma's zie op Apple, die ik ook op mijn Windows pc heb, schrik ik gewoon hoe versimpeld het is. Het is niet raar als de helft van het programma verstopt is.
Niet dat het erg is. Apple is simpeler, en dus veel sneller. Iets wat ook zeer fijn is.
Maar voor mensen die wat meer vrijheid willen is Apple soms wel wat vervelend. En dan praat ik als Windows gebruiker. Linux gebruikers kunnen hier vast nog vele malen meer over vertellen.
Het personaliseren in thema's bedoel je? interface, iconen, menu's etc?

Met welk programma is dat dan? Mijn ervaring is juist dat er meer opties beschikbaar waren in een programma omdat er juist meer met OS X mogelijk was. Zoals smart converter enzo.
Ik heb het niet over thema's etc. Ik heb het over hoe programma's werken.

Ik heb even gechecked wat je bedoelde met smart converter. Dit is een programma dat alleen op mac kan, niet waar? En wat doet het precies? Video's... veranderen? Ik snap niet zo goed waarvoor? Is gewoon mp4 formaat niet oke voor alle apparaten?

Toen ik zei dat programma's versimpeld worden voor Mac, had ik het over programma's die op beide operating systems bruikbaar zijn. Een specifiek programma is Avira. Dit is een virusscanner. Op Windows kun je er van allerlei dingen mee doen. Gewoon alles scannen maar ook, bijvoorbeeld, specifieke mappen scannen, aangeven wat voor soort virus hij moet zoeken, zojuist gestartte programma's scannen, kortom, allerlei dingen. Toen ik hem gebruikte op een Apple, zag ik dat er geen van deze persoonlijke keuzes mogelijk waren, enkel gewoon scannen. Oftewel versimpeld. Niet schadelijk ofzo. Als je niet van veel kiezen houd, is dit mooi makkelijk.

Nog een klein voorbeeldje, Itunes. DE reden waarom ik echt geen Mac wil. Als je al Itunes gebruikt is het geen probleem en maakt het Mac, en allerlei ander Apple apparatuur juist fijner om mee te werken. Zet je je muziek op Apple apparaat X, betekent dat je je muziek overal waar het Apple logo op staat kan terugvinden. Super chill. Maar als ik mijn muziek ergens anders vandaan wil halen? Ik kan niet ergens anders muziek downloaden, het moet via Itunes. Dat is een ding waaruit blijkt dat Apple wat meer gesloten is dan Windows.
Heel simpel ... Basis zaken zoals bestanden delen naar derden of een eigen ander apparaat gaat niet, nauwelijks of heel omslachtig.

Ik maak een nummer met mijn band, dat zet ik op mijn iphone met itunes, daarna wil ik die aan jou geven en dat gaat dus niet eenvoudig.
Delen zonder wifi/mobiel internet kan je sowieso vergeten, NFC ook niet.

Maar laten we het nog simpeler houden:

Ik wil die icons niet op mijn scherm hebben van apps die ik niet gebruik (al die standaard Apple apps), die kan je dus NIET gewoon weghalen. Je kan ze bij elkaar in een map drukken maar verwijderen lukt niet.

En zo weet ik nog een aantal van dit soort vervelende zaken.
Oh, dat was een foutje van mij, ik doelde meer op OS X dan iOS maar heb je een Mac of een windows?

Met het delen van muziek ben ik er ook wel eens tegen aan gelopen. Dat is inderdaad onmogelijk als je vanuit je muziek wat met blue-tooth wil delen maar het heeft wel een reden. iTunes en de Muziek app zitten gebonden aan muziekrechten die is opgelegd door de muzieklabels dus mag er geen functie inzitten waarbij je hun muziek zou kunnen delen. Android heeft alleen een speler en dat heeft een hele andere functie plus dat je je muziek op een opslag hebt doormiddel van een map en je mp3 files. Dit werkt bij Apple ook anders, synchroniseren via iTunes :)

Wat wel weer kan is je muziek delen via je berichten. Ik deel mijn nummers vaak via de berichten app op OS X en degene naar wie ik het stuur kan het vervolgens opslaan. Daar zitten ook geen rechten aan vast. Via je je iCloud drive kan het en via de mail. externe servers zoals dropbox ook. Er zijn oplossingen maar het kan soms omslachtig voelen en werken maar het kan wel.

Een goed voorbeeld hiervan is Smart Converter. Dit programma kocht ik en het was zowel in de app store verkrijgbaar als op de website. Er zat echter 1 verschil in, die in de Appstore had een dvd beveiliging erop zitten en op de website niet. Apple wilde gezeik voorkomen en de ontwikkelaars moesten de beveiliging erop zetten anders kon het niet in de app store. Na een paar maanden was de dvd beveiliging toch aanwezig in het programma via de website, zowel voor de mac en pc. Open of niet, vaak zijn dat soort redenen waarom het niet kan of niet erin zit.

Die van de standaard apps vind ik ook vervelend maar dit kan toch ook niet bij android? Ik probeerde bij iemand de standaard apps van zijn HTC en Samsung eraf te halen maar dit ging niet. Dit moest ook in een aparte map.
Op Android is dat mischien per schil verschillend.
Maar android zelf kan je ALLE icons weghalen want ze staan allemaal (blijvend) in de apps map.
Je hebt dus 1 grote Apps map waar alle apps in staan en van daaruit kan je ze slepen (shortcuts) naar de pagina die je wenst.
De pagina's kan je dan vrij editen en dus leeg maken of bijv. een shortcut van je favoriete app op iedere pagina zetten.

Natuurlijk kan je onderaan in IOS ook je favoriete apps in de shortcut balk zetten maar die staat zo vol.
Ik vind het fijn om op iedere pagina op dezelfde plek bepaalde app shortcuts te hebben staan.

Ik vind dit op IOS enorm beperkend en betuttelend en heeft niks met veiligheid of copyrights te maken.
Ook vind ik het opzij duwen van alle icons in IOS storender als in Android, waarbij je dus makkelijker icons (shortcuts) kan moven zonder dat het compleet alle icons verplaatst, zelfs tot op andere pagina's.

Natuurlijk is het gemis van Widgets op de pagina's helemaal ouderwets en wederom snap ik dat ook niet helemaal.


Positief punt: Het verwijderen van apps in IOS. Even vasthouden, klik op kruisje en weg. In Android vind ik dat omslachtiger.
Ik krijg bij heel veel mensen het idee dat als je er geen porno of illegale software op kan draaien het meteen als gesloten bestempeld wordt.
Daar zou je nog eens gelijk in kunnen hebben :) Illegale software vind ik vaak niet eens rustgevend. Je kan er van alles mee doen.
Op Apple kun je best makkelijk porno of illegale software draaien :p
Dus dat is het niet.
Ik zal het volgende keer notarieel /voor de Sheldons onder ons begrijpelijk vastleggen: op een iphone met officiele door apple gemaakt operating systeem zonder hacken of ROMmen of wijzigen van deze fabrieks software is het onmogelijk om illegale software, danwel software van pornografische aard te draaien.

Mijn originele stelling laat ik hierbij intact. :P
Aight. Dat zou best kunnen.
Ik weet niet veel van Iphones, dus dan zal ik je gelijk moeten geven.
Zoals al velen voor mij zeiden: Het slechte update beleid ligt niet aan Google. Google update zijn nexus toestellen vaak zat, echter de andere fabrikanten verzaken het.
Heeft overigens niets met deze bug te maken, die is al gefixed voor elk android toestel met GP services app (dus eigenlijk elk android toestel vanaf Android 2.3)
Feit blijft voor de (non-techie) eindgebruiker dat ze vaak rondlopen met een toestel dat onveilig is. En dat is niet alleen gevaarlijk voor die personen zelf, maar ook voor al hun contacten (die prive gegevens gaan ook naar de criminelen die een toestel hacken)
standaard wordt GP services automatisch geupdate.
Het ligt inderdaad niet aan Google, Zelf heb ik een LG toestel wat ik nog geen 2 jaar heb. Geen budget telefoon, maar toch geen snelle updates omdat LG hier gewoon bagger traag mee is.

Op de vraag van Drewssap "Hoe ver moeten we nog gaan, een gesloten Apple en Microsoft of een open Android toestel met alle gevolgen van dien." kan ik zeggen dat ik zelf loop te denken toch naar de WP over te stappen. Een optie die voor mij mogelijk is daar de apps die ik op Android gebruik ook op WP werken. Jammer voor Google, maar het is niet anders.
Het ligt inderdaad niet aan Google,
Het ligt aan de partij die Android ontwikkelt / vrijgeeft onder bepaalde voorwaarden.....
Shit, het ligt toch aan Google.!
Niet perse, het OS wordt gratis aangeleverd en dan moet de fabrikant er maar mee doen wat ze willen. Ik ben van mening dat de uitgevende partij (Google) er voor zou moeten zorgen maar kan me voorstellen dat anderen er anders over denken.
Android is zo groot geworden doordat fabrikanten er alles mee mochten en omdat het "gratis" was (gebruiker was het product dus gratis was het niet maar goed).;

Als Google nu die teugels aan gaat trekken, of in ieder geval gaat proberen aan te trekken...
Ik vraag me af hoe groot de stem van Google in deze is, aangezien Android niet van Google is.
Google is degene die OEMs toelaten het OS zodanig aan te passen dat het een puinhoop wordt. Dat Google er de schuld van krijgt is net zo terecht als dat MS van elke BSOD de schuld kreeg
Ik ook, en ik heb zo'n oud goedkoop Android toestel van de Aldi (45 Euro) met een prepaid abbonnement (daar zet ik per keer 20 Euro op).

Ik gebruik het echter alleen om te bellen, te SMS'en, en om internet pagina's zoals b.v. het weer de treindienstregeling, en Google search.

Ik heb daarom in de instellingen gezet dat het geen apps mag laden zonder toestemming, ik heb de standaard certificaten gewist, ale apps behalve Google search gewist, de locatie service en de GPS uitgezet, en i..b. de apps om video's weer te geven verwijderd, een PIN ingesteld, en de encryptie aangezet.

Dat bevalt me prima. Zorgelooks bellen en gebeld worden, Google search waar nodig, en verder heb niet zo vreselijk veel zorgen maak over verlies, diefstal, of hacken van mijn toestel.
Als dat gebeurt koop ik een nieuwe (net zo goedkoop), met een nieuw prepaid abbonnement. Het naarste is dan nog het verlies van mijn telefoonnummer.

Steek ik nu mijn kop in het zand, of heb ik de belangrijkste risico's wel afgedekt? Wat denkt u?
BT & WiFi uit, behalve als je het werkelijk gebruikt is nog een optie.
Als je wel een wegwijzer zoekt, OsmAnd (Free of + ) kan zonder data gebruik.
Nokia Here maps is ook erg goed voor offline gebruik.
Je hebt jezelf prima beveiligd als ik het zo lees, alleen vind ik dat je jezelf erg beperkt en volgens een streng protocol je telefoon gebruikt.
Zou bijna zeggen neem geen smartphone, maar dat is persoonlijk.
Duurder? De goedkope toestelletjes van 100 euro werken nauwelijks, daar nog meer voor vragen of zo? Ok dat ligt wel aan de laag die de fabrikanten er op leggen maar toch...
Voor 100 euro kun je natuurlijk ook niet al te veel verwachten.
Er zijn echt wel budget telefoons die prima werken, en goed ondersteund worden.

Voorbeeldje: pricewatch: Motorola Moto G (2015) Zwart
Inderdaad, de Motorola Moto G is een prachtvoorbeeld van een budgetvriendelijk toestel (ik heb wel geen idee hoe het zit met eventueel vastlopen van het toestel...). Maar dat is maar een enig geval. Grotendeels vind ik wel dat Windows Phone meer erkenning verdient in het low-end segment aangezien zij perfect draaien op zeer goedkope toestellen.
Ik heb dit toestel en het werkt echt fantastisch ik kan er zelfs heartstone redelijk vloeiend op spelen. Nu had ik 'm daar absoluut niet op gekocht maar gezien dit feit vraag ik me eigenlijk af hoe je het nog kan verantwoorden om 500+ euro aan een smartphone uit te geven.

Ik zat te twijfelen om inderdaad eventueel voor een windows phone te gaan, uiteindelijk niet gedaan vanwege schijnbaar weinig interesse vanuit app developers.
Fijn om te horen :D . Inderdaad het is schijnbaar zo, maar ik heb daar persoonlijk weinig last van. Zeker nu er een unified store komt voor Windows zal het app aanbod normaal gezien toch wat sneller stijgen. Plus niet te vergeten dat apps gemakkelijk geport kunnen worden naar Windows Mobile vanuit iOS of Android.
Tsja, dat laatste doet Microsoft slim.

Maar daarmee erkennen zij eigenlijk zelf al het enorme belang van IOS en Android op dit moment. Zo erg dat ze nu dus app ontwikkelaars al een incentive moeten geven om toch ook naar Windows te gaan porten.

Niet dat daar wat mis mee is, maar je ziet wel precies aan het werk wat Android de afgelopen 5-6 jaar heeft bereikt, ondanks de onvolkomenheden.

Maar ach, we zullen het zien. Hoe alles gaat lopen hangt sterk af van hoe goed Windows 10 ontvangen gaat worden (ook op smartphones) en of behalve Lumia ook andere fabrikanten Windows 10 meer gaan omarmen.

Voorlopig blijf ik de voorkeur aan Android geven, maar wel mits Google en de fabrikanten een goede oplossing gaan vinden voor patches.
Tsja, blijft dat ook zo als straks dat app aanbod gaat stijgen?

Android draait stock (en dan bedoel ik écht stock dus zonder HTC, Samsung of Sony bloat) of met zeer weinig apps ook perfect op zeer goedkope toestellen. Tot je er dus meer van gaat vragen.
Right, fabrikanten die hun eigen OS gaan maken. En hoe veilig wordt dat dan?

Android krijgen ze hoegenaamd 'gratis' en zelfs dan hebben ze geen resources over voor security. Hoe moet dat dan gaan als ze hun eigen OS ook nog helemaal moeten ontwikkelen?
Met een eigen OS kan je je wel differentiëren van andere fabrikanten en eventueel meer geld krijgen voor je toestellen, en dus ook meer resources aan security wijden.
Nu proberen de fabrikanten zich ook te differentiëren, maar gaat dat ten koste van het update process en dus de security.
Stabiel succesvol worden met een eigen OS is tot nu toe alleen Apple gelukt, wat ze mede te danken hadden aan een reeds grote schare fans van bestaande producten.

Buiten Apple om is geen enkel ander fabrikant-eigen OS dat gelukt. Blackberry kwam in de goede richting maar bedient sinds Android (en het succes van Samsung) nog maar een niche-markt.
Blackberry heeft het verprutst inderdaad, maar zij hadden een goed OS en een profitable business. Volgens mij hebben ze zich trouwens vooral door Apple in de luren laten leggen, toen de traditionele (bedrijfs-) gebruiker van Blackberry liever een iPhone ging gebruiken.

Volgens mij gaat ook Microsoft onvermijdelijk op het voorplan komen met zijn eigen OS, ten nadele van de Android-fabrikanten.
Blackberry heeft het nog steeds prima op orde. Dat de markt momenteel klein is heeft verder niets met de veiligheid van het OS BB10 te maken.
Technisch hebben ze het wellicht op orde maar hun smartphonebusiness ligt inmiddels op apegapen. Niet zeker of BB OS zal overleven..
Dat er niet veel toestellen worden verkocht dat klopt. Dat Blackberry ook zonder de verkoop van smartphones kan overleven is inmiddels helder! Zorgen dmv hun BES servers dat ook Ios Windows en Android toestellen veilig in een bedrijfsomgeving kunnen worden uitgerold. Met de nieuwe wet op datalekkage in Nederland zullen er in het kader van BYOD ook veel zaken in het voordeel van Blackberry gaan veranderen.
We zullen het zien.

Voorlopig staan bij fabrikanten nog altijd veel meer smartphones met Android dan met Windows 10 op de roadmap.

Alleen als de huidige berichtgeving omtrent Android echt het grote publiek angstig maakt of als Google en de fabrikanten geen oplossing gaan vinden en het publiek daardoor Android massaal links laat liggen, ja, dan kan het wel eens snel afgelopen zijn.
Probleem met Android is nou juist dat het helemaal niet open is!

Als het open was, net als mijn Linux PC of mijn TV settop box, zou ik als ontwikkelaar gewoon het lek kunnen dichten en zelf even de firmware bijwerken. Gewone gebruikers kunnen even een update binnenhalen met een druk op de knop.

De praktijk is dat je Android device af fabriek potdicht zit, en je bent evengoed overgeleverd aan de genade van de fabrikant. Je kunt kwetsbare apps die je niet nodig hebt niet eens verwijderen! Als je al updates krijgt van het OS, zijn die al verouderd voor ze geinstalleerd worden. Enige merkbare effect van Android's upgrade systeem is dat 's morgens je accu ineens leeg is omdat hij de hele nacht nutteloze apps heeft zitten bijwerken.
De hele markt van mobiele computers is bepaald. Als een computer echt open is kan er een enorme community bij waar geen enkele OS-boer tegenop kan. Zowel hardwarefabrikanten als OS-makers zitten daar niet op de wachten. Er moet een fictieve wereld van software bovenop die de mogelijkheden inperkt tot een "verantwoord" systeem.

Eigenlijk zijn dit soort beveiligingslekken niet eens realistisch. Natuurlijk werken exploits meestal wel maar een systeem waar de gebruiker zijn OS en software die hij installeert niet zelf kan controleren maar op het woord moet geloven wat betreft onzichtbare activiteiten is een beveiligingslek op zich waar problemen als deze slechts consequentie van zijn.
Waarom moet Google meer geld investeren om deze lekken te dichten? Google heeft elke lek die is gevonden gedicht, ook bij de stagefright bug. Het probleem was alleen dat andere bedrijven zoals Samsung, HTC, LG, Asus, Acer en weet ik het hoeveel er zijn er niks mee gedaan hebben.
Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M. Ook Google Play Services heeft een update gekregen om te helpen het lek te dichten.
Uit de laatste alinea. Het is dus al gedicht en mogelijk dus in de rom die ook voor Stagefright is verstuurd naar klanten.
Tja, de vraag is natuurlijk altijd of de andere apparaten niet net zo lek zijn, maar de lekken minder vaak door onderzoekers worden gevonden.

Er zijn ook zat mensen die het niet zullen melden, maar het lek stil zullen houden en proberen te verkopen. En dan is de grote vraag of, en wanneer het ontdekt gaat worden.
Ik denk dat er voor alle OSen wel een lek is dat al jaren niet opgemerkt is door de makers, en dat toch wel misbruikt word door geheime diensten en hackers, alleen worden die zo gericht gebruikt dat het eigenlijk niet opvalt voor beveiligingsonderzoekers.

Je zag het ook toen "hacking team" gehackt werd, en er naar buiten kwam dat ze diverse exploits gebruikten die nog onbekend waren. Persoonlijk vind ik ieder gevonden, en opgelost lek mooi meegenomen. Alleen moet Android gewoon een goede manier krijgen om ook patches in de basis van android door te voeren.
Totdat de Europese Commisie oordeelt dat dit anders moet. Tot die tijd moet je voor een lekvrij OS niet naar Google kijken.
een open systeem is teminste beter dan closed (bij closed zijn alle updates van bv apple, dus lang wachten)
bij open kan je er nog zelf een andere os opzetten (cyanmod)
waarbij je vergeet dat het gros van de gebruikers geen know-how of zin heeft om een toestel te kopen waarvan ze het OS meteen gaat/wil vervangen.
voor het kopen van een toestel (uit china)
heb ik laatst een tuturial on instructables gemaakt:
http://www.instructables....ck-the-right-china-phone/
daarmee is aan het eerste deel voldaan, mits de onwetenden het ook kunnen googlen, want hele volksstammen hebben geen idee hoe ze zoekmachines effectief kunnen gebruiken. Nu alleen dat "zin" nog.....
Android nog steeds nummer 1 dus dan krijg je van dit soort praktijken maar nergens om je bang over te maken.
Fout ! Ten eerste suggereer je dat openheid een bron van kwetsbaarheden opleverd - iets waarvoor geen enkel bewijs bestaat. Vervolgens is ook de veronderstelling dat Google te weinig doet om Android veilig te krijgen niet onderbouwd.
"Google heeft het lek voorafgaand aan de onthulling gedicht."
Komt de update bij iedereen via de Play Store of moet dit weer via de fabrikanten?

De laatste zin vind ik niet echt duidelijk:
"Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M. Ook Google Play Services heeft een update gekregen om te helpen het lek te dichten."
Ben ik ook benieuwd naar, zolang de telefoon nog geen update heeft uitgevoerd blijft het dus lek.
Laatste tijd geen goede reclame voor Android, vraag me af wat de mainstream media hiervan weergeeft.
Incorrect, zoals in het artikel staat heeft Google Play Services al een update gehad om het lek te dichten. Sinds enkele maanden heeft Play Services ook een "Verify Apps" tool die standaard aan staat en werkt als een virusscanner.

Omdat Play Services een system applicatie is heeft deze wat extra permissies, en in dit geval kan de Verify Apps tool perfect misbruik van het lek voorkomen.

Mocht je die Verify Apps tool niet uit hebben gezet ben je dus al beveiligd en is er niets meer aan de hand. Je kan checken of dat het aan staat via de 'Google Settings' app, en bij Security kijken of 'Scan device for security threats' aan staat. Het kan zijn dat de instelling ook bij je normale Settings app staat bij Security en dan Verify Apps.
Werkt dat ook op oudere Android tostellen?
Hoop idd dat ze de patch gelijk meenemen in de update die de fabrikanten al aan het voorbereiden zijn voor de vorige problemen.
Tja het begint er op te lijken dat android windows aan het inhalen is qua bug en exploits.

Het verschil is echter dat MS centraal kan updaten en dat bij google dus niet altijd het geval is waardoor gebruikers met lekke telefoons en tabelts blijven zitten.
En toch moet ik het eerste nieuwsbericht nog zien waaruit blijkt dat Android bugs en exploits ook massaal tot ellende leiden.

Terwijl dit nog steeds schering en inslag is onder PC-gebruikers.
Wanneer was de laatste keer dat het massaal gebeurde dan? Paar 10 of zelfs 100duizend stelt namelijk geen hol voor bij de marktgrootte van Windows.

Overigens is Windows i.c.m. EMET de afgelopen paar jaar maar 2 keer gekraakt(beide gevallen niet als je handmatig EMET strenger had ingesteld, en beide niet in het wild actief geweest). Een OS is wel degelijk veilig te krijgen.
Vanmiddag een update van de Google Play Services gekregen. Deze versie is v7.8.99 (2134222-438).

Is er een manier om te ontdekken of je Android-versie kwetsbaar is of niet ? Zelf draai ik 5.1.1 (kernel 3.4.108-unicornblood-find7 - 10-08-2015).
Google heeft dit natuurlijk ook wel een beetje over zichzelf afgeroepen door lekken van andere partijen te gaan publiceren. Nu krijgen ze ineens koekjes van eigen deeg terug en blijkt de Android wereld toch niet helemaal bestand tegen "responsible disclosure" zoals Google het zelf ook meent te doen. En dat is natuurlijk ook wel een beetje een lachertje. Eerst staat Google met een belerend vingertje naar de "concurrentie" te wijzen en nu ze zelf het lijdend voorwerp zijn staan ze met lege handen omdat ze niet in staat zijn om fixes voor bepaalde (kritieke) problemen bij veel gebruikers met toestellen ouder dan een jaar te krijgen. (Al is het natuurlijk al wel wat verbeterd, sinds ze bepaalde zaken via de Play Services app kunnen updaten.)

Dit heeft mij zeker wel aan het twijfelen gezet m.b.t. de keuze voor een volgende telefoon. Windows wordt nu wel heel erg interessant, zeker aangezien we daar ook gewoon Android en iOS apps op kunnen gaan draaien. En mijn vertrouwen in de "update strategie" van Android is inmiddels toch wel tot ruim onder die van Windows gedaald. Blijft een gevoelskwestie natuurlijk. Mocht mijn volgende toestel wel een Android toestel worden, dan wil ik hoe dan ook geen fabrikant als Samsung meer tussen mij en Google hebben en ik wil garanties over updates voor minimaal 2 volle jaren.

[Reactie gewijzigd door BazzH op 11 augustus 2015 14:25]

Dit gaat dus om een nep-app. Dus geen apps uit dubieuze bron side-loaden en ook geen Chinese Wallpaper apps installeren en je bent redelijk veilig.
Maar wie zegt dat een legitieme ontwikkelaar zijn app niet verkoopt aan een crimineel en die de app aanpast en 'm zo distribueert?
Dan ben je alsnog de sjaak namelijk.
Als je verify app aan hebt staan in Google instellingen kan je gewoon met een gerust hart sideloaden, maar je moet met sideloaden altijd je hooft er bijhouden.
Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M.
Leuk verhaal, maar ik loop nog rond met een Galaxy S3 die maar tot versie 4.3 gaat. En met mij miljoenen mensen die oudere toestellen op 4.3 hebben.
Dan ben jij hierdoor geholpen:
Ook Google Play Services heeft een update gekregen om te helpen het lek te dichten.
Dat is maar de vraag. Zoals ik het lees moet je de patch in het systeem alsmede de patch van de play services hebben.
Het lek wordt gedicht door een update van de Google Play services app, niet door een systeemupdate dus.
De Google Play services app is een paar jaar geleden ingevoerd, om kleine updates te centraliseren.
Dat is een probleem met Samsung en heeft opzich weinig met Android of Google zelf te maken.
Natuurlijk heeft dat met Google te maken; Samsung is wereldwijd de grootste producent van Android toestellen en dus het visitekaartje van Android.
Samsung kiest er voor om geen update meer uit te geven voor dat toestel, niet google.
Android zelf is gepatched, dat die versie niet naar de galaxy S3 komt ligt geheel bij samsung.
Kan mij dat verrekken. Kastje, muur. Feit blijft dat je een telefoon krijgt die gigantische mankementen heeft. Moet je als autofabrikant proberen. Telefoons bewaren dermate gevoelige informatie dat fabrikanten en ontwikkelaars samen een verantwoordelijkheid dragen om dit soort ongevallen gezamelijk op te lossen, in plaats van het probleem maar bij de ander neer te leggen.

[Reactie gewijzigd door Zwarte_os op 11 augustus 2015 13:21]

Ben het an sich met je eens, maar je maakt zelf al de parallel met autofabrikanten.

De autofabrikant levert jou een ding waarvan ze beloven dat jij ermee kan rijden. Als er iets mis is met een onderdeel, dan ga jij naar de autofabrikant toe. en waarschijnlijk zelfs je dealer. Niet naar de fabrikant van het onderdeel.

In dit geval kiest een fabrikant om 'gratis' een OS van de plank van een ander te trekken en daar een product op te baseren. Sterker nog, de fabrikant pas het ook nog eens in vergaande mate aan en zorgt er daarmee mede voor dat patchen een tijdrovender klus wordt.

Fabrikanten die stock Android leveren, die bewijzen over het algemeen ook nog eens dat ze sneller updates uit kunnen rollen.
Heeft alles met google en android te maken.
De core van android had nooit zo vrij gegeven moeten worden dat de vele lekken van android niet gerepareerd worden op de meeste android toestellen.
Die vrijheid heeft android en google aan de fabrikanten gegeven, en zijn dus wel degelijk mede verantwoordelijk aan de huidige onveilige puinhoop dat android is geworden.
Had Google dit niet gedaan dan hadden de fabrikanten FU gezegd en zelf iets ontwikkeld en dan was er nu geen ecosysteem.
Een lek in alle Android-versies van 4.3 tot en met M Preview 1 zorgt ervoor ...
Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M.
wat is het nu? Is het lek gepatcht ofniet?
Ja. Het lek was eerst aanwezig in die versies en nu met een incrementele update bovenop die versies is het gedicht.
dan kan de tweakers redactie misschien de zin "Een lek in ..... zorgde ervoor" gebruiken om dit te verduidelijken?
Nee, want de telefoonfabrikanten hebben de gepatchte versie nog niet verwerkt in hun eigen ROMS en als firmware-update aan hun gebruikers aangeboden.
Dus: Ja, het lek is gepatcht en nee, vrijwel niemand heeft die patch nog.
Mooi verhaal, jammer dat het niet klopt.

Google Play Services is gepatched en dit heeft niks met telefoonfabrikanten en ROMs te maken.
Wanneer je beter gelezen had, had je gezien dat het wel klopt.

Uit het artikel:
Google heeft het lek al gedicht door middel van gepatchte versies van Android 4.4, 5.0, 5.1 en M. Ook Google Play Services heeft een update gekregen om te helpen het lek te dichten.
De update van Google Play Services helpt het lek te dichten, maar dicht het lek op zichzelf dus niet volledig. Een volledige oplossing is dus alleen de gepatchte versie van Android. Daarvoor ben je afhankelijk van je fabrikant.
Dus nu is het waarschijnlijk alleen nog mogelijk als je een app gaat sideloaden wat een zeer kleine procent van de gebruikers doet en waarvan de risico's al lang bekend zijn?
Het lek zit wel degelijk nog in je telefoon. Maar als je alle apps via de Google Play store binnenhaalt, heb je er geen last van omdat GP je app checkt voor deze geïnstalleerd wordt. Zo gauw je gaat side-loaden loop je wel degelijk gevaar. En dat totdat de fabrikant deze patch in een firmware update uitbrengt. En dat is voor zo goed als alle toestellen maar de vraag of dit ooit gebeurd.

Dus je bent safe, totdat je gaat side-loaden. Ik heb geen idee hoe ingeburgerd dit is, ik heb al sinds Gingerbread geen Android meer. Maar toen was het iig aan de orde van de dag.
Laten we eerlijk zijn, als je gaat sideloaden vanuit een onbetrouwbare bron dan vraag je om problemen.

Voor eerlijk gebruikers is het dus nu in principe opgelost.
En daarom installeer ik op alle android toestellen, TrustGo antivirus/malware, met remote tracker etc.
En hoe veel denk je dat dat nou echt helpt? 8)7
Je hebt het filmpje niet bekeken zeker? Alles wat jij installeert kan vervangen worden. Een antivirus kan een exploit niet tegenhouden. Dat geldt voor elk OS. Een antivirus draaien op een windows heeft weinig zin als je geen patchen gaat installeren.
Een virusscanner op android is vrij nutteloos.

Op windows zijn er "hooks" voor zulke software om inkomend verkeer te monitoren en toegang te geven aan alle bestanden, maar op android draait zulke anti-virus app met evenveel rechten als iedere andere app. Hierdoor heeft de app (tenzij het zelf een exploit gebruikt) vrijwel geen rechten buiten zijn "jail".
Het enige wat zulke app kan doen is een lijst van geïnstalleerde apps vergelijken met een lijst van verdachte apps, of wat bestanden scannen op de SD partitie.
Misschien kan op deze manier een app gemaakt worden die alle bloatware (ook die van Google) uninstall-baar maakt. Ik zie een potentieel voordeel aan dit nadeel ;)
Het echte probleem is toch dat de niet recente versies van android niet meer geupdate worden: http://researchcenter.pal...android-users-to-malware/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True