Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 158 reacties

Google is onlangs begonnen met de uitrol van een patch om te beschermen tegen de Stagefright-bug in Android, maar volgens beveiligingsbedrijf Exodus is de software niet afdoende. De bug zou nog steeds te misbruiken zijn. Google zegt aan een tweede patch te werken.

In een blogpost stelt Exodus dat het een Nexus 5 die was voorzien van de patch, die overigens bestaat uit vier regels nieuwe code, kon hacken via de Stagefright-bug. Op zijn blog geeft Exodus de technische details om de beveiliging te omzeilen, waarmee het dus aantoont dat de bugfix waarvan Google eerder de uitrol startte, niet afdoende is om het lek in Android te repareren.

Google heeft inmiddels al op de publicatie gereageerd en laat in een statement, dat door The Verge is gepubliceerd, weten dat het op de hoogte is van de problemen met de patch. Er is inmiddels al een tweede bugfix vrijgegeven, waar inmiddels ook andere Android-fabrikanten over beschikken. Daardoor is aannemelijk dat op termijn de bug alsnog wordt gerepareerd. De apparaten van Google in de Nexus-lijn krijgen medio september de nieuwe patch.

Ook andere fabrikanten hebben beloofd de Stagefright-bug te zullen repareren. Onduidelijk is of zij meteen de nieuwe fix op hun toestellen zetten, of dat dit pas in een tweede patchronde komt. Stagefright is de naam van een video-framework in Android en deze blijkt met een malafide video te kraken. Daardoor kunnen kwaadwillenden de smartphone overnemen. Omdat de bug als sinds Android 2.2 in het besturingssysteem zit, zijn bijna een miljard apparaten kwetsbaar.

Stagefright exploit

Moderatie-faq Wijzig weergave

Reacties (158)

Dit is toch wel kwalijk hoor. Ik vind Android een zeer fijn systeem, maar Google zal toch echt meer controle moeten gaan nemen over het OS wat ze ontwikkelen. Dan kunnen dit soort dingen ten minste snel gepatcht worden. ( Ja, ik weet dat ze dat deels al doen via de Play Services.)
Eigenlijk moeten bedrijven via andere kanalen meer worden gedwongen om de toestellen te updaten.

Een manier kan via de rechter zijn en een massa-claim indienen. Het is namelijk een ondeugdelijk product. Of de verkoper vermeld duidelijk dat het toestel dat hij aanschaft niet moet worden gebruikt voor delicate zaken, en dat het toestel beter in een andere kamer kan worden gelegd omdat die zo makkelijk te kraken is,
of fabrikanten zorgen ervoor dat een toestel een minimale termijn heeft om op zijn minst een aantal cruciale updates te blijven doorvoeren.
Een manier kan via de rechter zijn en een massa-claim indienen. Het is namelijk een ondeugdelijk product.
Je hebt een punt in de garantieperiode (hoewel software daar meestal van uitgesloten is). Je kan een leverancier na de garantieperiode tot heel weinig dingen dwingen en daar zit nu juist de clue. De updates komen vaak wel de eerste jaar maar daarna niet.

De consument zal gewoon moeten vragen aan de verkoper om een garantie af te geven. Dat heb ik gedaan voor een (redelijk) aantal zakelijke modellen en die worden nu allemaal op kosten van Orange omgewisseld voor nieuwere modellen. Ik snap best dat je als gewone consument daar weinig mee kan maar als ik zie dat model x een update garantie van 5 jaar heeft zal dat zeker invloed hebben op mijn aankoop. Helaas vinden de meeste mensen cpu cores en OLEDs belangrijker.

Ik heb een oudere Android die ik gewoon niet meer kan gebruiken voor bepaalde zaken. Dat is diep triest.
Je hebt een punt in de garantieperiode (hoewel software daar meestal van uitgesloten is). Je kan een leverancier na de garantieperiode tot heel weinig dingen dwingen en daar zit nu juist de clue. De updates komen vaak wel de eerste jaar maar daarna niet.
Dat gaat over pakketsoftware en niet over een essentieel en onlosmakelijk met het karakter van een fysiek product verbonden eigenschap zoals het OS of de firmware.

Daarnaast is de wettelijke minimum termijn voor garantie in de EU 2 jaar en niet 1 jaar (een fout die bijv. Apple ook geregeld bewust al dan niet bewust maakt) en kennen we in Nederland regelgeving op basis van een termijn die overeenkomt met de redelijkerwijs te verwachten levensduur van een product, met een ondergrens van 2 jaar.

Jouw smartphone? Als leek kun je er redelijkerwijs vanuit gaan dat die toch een flink aantal jaartjes mee kan.
Klopt, maar ik vind dat dat teveel verantwoordelijkheid bij de consument legt. De fabrikant heeft geld gevangen voor het device, dan zorgen ze maar dat de koper het ding veilig kan gebruiken.

En wij zijn dan nog Tweakers; wij weten hier nog wat van af. Maar je oma, je moeder en je opa weten dat niet en die gebruiken dus vrolijk een kwetsbaar toestel. Ik zou het zeer kwalijk vinden als die mensen op die manier geld of data kwijtraken.
En zelfs als Google wel verantwoordelijk is (patch maken) - maken ze er nog een potje van .. Als consument heb je ook geen flauw idee waar je nu zou moeten aankloppen eigenlijk (ik heb een S6). Samsung support is erbarmelijk en beschamend slecht. Bij Google aankloppen kan denk ik alleen via newsgroups oid? Succes!
Google verkoopt je niks
Google verdient geen geld aan Android

Wat wil je bij google halen?

Bovenstaande 2 punten zijn tevens de grote zwakheden van Android.
Google verdient niks aan Android? Dat is een grapje toch? Dat ze er geen geld voor vragen wil niet zeggen dat ze er niks aan verdienen ;)

Google moet gewoon zijn verantwoordelijkheid nemen en wellicht is er Europees iets te organiseren dat er minimaal een X-aantal maanden/jaren support moet zijn op mobiele telefoons, ongeacht welk OS erop draait. Laat de fabrikanten dan maar 50 euro meer vragen. Uiteindelijk zijn wij als consument er ook een deel de oorzaak voor dat de marges dusdanig klein zijn dat veel fabrikanten verlies draaien en dus ook geen geld hebben voor meer support dan nu het geval is.

Ik betaal met liefde 50 euro meer voor fatsoenlijke support.
Dus Google verdient niks aan Android en vervolgens leg je uit hoe ze geld verdienen aan Android (advertenties, klanten voor GMail, search, Youtube, die binnen Android uiteraard standaard diensten zijn)...

Zoals ik al zei: dat ze niet direct voor Android geld vragen (zo van: jij een Android telefoon, wij 25 euro) wil niet zeggen dat ze er geen geld aan overhouden. Dus het statement van "wat wil je bij Google halen dan" alsof ze een non-profit organisatie zonder geld zijn slaat nergens op.
Google verkoopt Juridisch gezien gewoon niet veel.

Als Android kapot is, moet je niet naar Google maar naar Android.
Dat Google grote belangen heeft hier is een ander verhaal, maar ze zijn niet direct aansprakelijk.
Google verdient inderdaad niets aan Android.

Maar... (bijna) niemand heeft Android op zijn telefoon. (bijna) Iedereen heeft Android + de Google apps/services. Zonder die services geen play store en geen Google services waar een hoop apps gebruik van maken, en daarmee een minder OS.

Wil je als telefoonbouwer een interessante versie van Android meeleveren moet je de Google apps/services meeleveren en moet je een licentie nemen bij Google.

Maar ik denk dat het inderdaad voornamelijk verdienen is aan profiel opbouw en daarvoor advertenties verkopen. Overigens vinden de aandeelhouders van Google dat er best wat meer verdient mag worden met Android, want de ontwikkeling is best een kostenpost (die Google wel kan hebben, maar aandeelhouders kijken alleen naar een zo hoog mogelijk rendement)
Zoals ik het in een ander topic al aangaf; systeemupdates moeten bij de fabrikanten worden weggehaald en exclusief door Google worden beheerd. Zeg maar dezelfde manier waarop Apple en Microsoft werken. Dan komen er vaker, sneller en langer updates en zijn we direct van al die onnodige "systeem-apps" en overige bloatware af die fabrikanten erop plempen.

Fabrikanten doen gewoon te weinig moeite om updates uit te brengen. Zelfs bij "flagship" toestellen is het vaak om te janken. Ze verdienen daar geen geld aan. Ze willen liever dat je een nieuw toestel met een nieuwe softwareversie koopt.

[Reactie gewijzigd door Titan_Fox op 13 augustus 2015 22:07]

Microsoft en Nokia konden beide onafhankelijk van elkaar updates pushen naar de Lumia toestellen. Vaak was het wel zo dat de Nokia update pas geinstalleerd kon worden (dependency) nadat je de Microsoft update had..

Echter was Nokia feitelijk de enige fabrikant welke echt maatwerk schreef voor Windows Phone. Duurde natuurlijk ook niet lang voordat Lumia synoniem voor Windows Phone was geworden. Microsoft wou in eerste instantie WP in de (mobiele) markt zetten zoals dat met Windows for Desktop/Server doet waarna OEM-fabrikanten die kunnen customizen. Dat customizen was op WP wel beperkt omdat Microsoft de look&feel van het systeem wou bewaken.

Apple is een totaal ander verhaal omdat dat een volledig gesloten platform is voor zowel hardware als software. Bij Android is het de fabrikant welke de code van Google 'krijgt' en daar vervolgens eigen patches overheen gooit. Google kan deze methode overigens niet eenvoudig veranderen ivm met patent issues. Android zit namelijk vol met patent technologie van onder andere Microsoft. Omdat Google Android niet commercieel in de markt zet, wordt Google nog niet door Microsoft aangepakt. Echter de telefoonfabrikanten leveren Android bij hun toestellen en zijn juridisch degene welke de patenten op commerciele schaal schenden en daarom moeten de fabrikanten dus ook licentiekosten aan Microsoft betalen. Samsung zou mogelijk tot 15 dollar per toestel aan Microsoft betalen.. Echter omdat de fabrikanten dus hun wijzigingen kunnen porten zodra Google een nieuwe versie released, zit er dus een extra vertraging in de uitrol. Nou zou dit in principe een kleine patch zijn (zelfs de tweede patch), maar dat is natuurlijk alleen het geval als jouw toestel ook daadwerkelijk de allerlaatste versie draait en dat is bij veel toestellen niet het geval en dat wordt het backporten van patches een heel stuk lastiger. Je ziet eenzelfde probleem vaak bij Debian welke ook de policy hebben alleen security bugs te repareren voor een distributie release zonder nieuwe functionaliteit toe te voegen of bestaande te breken. Het voordeel is dat Debian dus superstabiel is, maar het nadeel is dat updates vaak langer op zich laten wachten dan bij andere distributies..

Google zit momenteel een beetje in hetzelfde vaarwater als waar Microsoft 15 jaar geleden zat en moet zich nu verdedigen vanwege allerlei machtsmisbruik en patent schendingen door het concern. Die zitten dus niet te wachten op een zwaar (en duur) gevecht tegen een reus als Microsoft..
Google heeft vandaag al totaalcontrole over het OS en op gebied van updates steekt het gewoon slecht in elkaar. Dat je fabrikanten wilt laten customizen mag geen belemmering zijn om zelf de basis te kunnen updaten. Kijk naar de vele linux distributies en hun package managers. Had je dat hier gehad kon men direct libstagefright updaten zonder aan de rest van het systeem te moeten raken.
Op zich heb je gelijk. Het probleem is dat bijv Samsung en CyanogenMod zo diep veranderingen doorvoeren dat google geen updates kan pushen en toch de custom versies werkend te houden. Ik ben geen expert maar volgens mij moet je de Samsung en CyanogenMod versies als forks zien van AOSP. Zoiets als Ubuntu gebaseerd is op Debian.

Als Samsung en andere bedrijven zich beperkten tot wat apps en een custom UI bovenop android, dan had google gewoon updates kunnen pushen.
Controle is het sleutelwoord. De beveiliging in Android is vooral tegen de gebruiker zelf. Dat die een malware meer of minder in zijn systeem heeft of wat prive-informatie lekt is minder erg dan een gebruiker die zelf de controle in handen weet te krijgen.
Waar slaat dat nou weer op? Als er 1 OS is waar je als gebruiker maximale controle over hebt, is het Android wel: ontzettend aanpasbaar aan jouw eisen. Dat de beveiliging beter kan, daar is denk ik geen discussie over, maar deze verkapte flame verdient de 6 +1 moderaties die je al hebt gescoord echt niet.
En ik helemaal blij dat er vrij vlot een fix was voor mijn Jiayu S3 (Een toestel wat nou niet echt extreem snel updates krijgt), is het weer niet goed ... -_-

Naja aan de positieve kant, hopelijk werkt de tweede patch van Google wel en dan zijn we van het gelazer af. :) Want ja je kan dat lek natuurlijk ook niet laten zitten.

Hopelijk komt er dan ook een nieuwe versie van de stagefright test app welke op de afbeelding in dit artikel is te zien.

[Reactie gewijzigd door Jvann op 13 augustus 2015 19:57]

Zelfde hier; Oppo Find 7. Deze draait een test-build van Dirty Unicorns waar de Stagefright patch in was meegenomen. Om deze te installeren moest ik een full-reset doen en al mijn apps opnieuw installeren en configureren. Die rotklus mag ik binnenkort dus nogmaals gaan uitvoeren.

Snap alleen niet waarom de tweede patch pas medio September wordt uitgerold. Geldt dit enkel voor Nexus-hardware ? Vind het wel lang duren; al die tijd ben je dus kwetsbaar.
De bugfix is er al, maar Nexus-Hardware krijgt het pas September. Wanneer andere apparaten het krijgen moet je aan de andere fabrikanten vragen ;) .

Op mijn Jiayu S3 was het erg simpel, ik kreeg een zip bestand en die kon ik flashen via de Updater en het was klaar. Geen reset of wat dan ook.
Tja google heeft schijnbaar geen haast, nog een maand wachten voor de nexus.

Tja ik moet steeds denken hoe Google MS afmaakt omdat ze laat zijn met bugfixes. Google laat de laatste tijd ook zien dat ze er helemaal niets van bakken. Sterker nog android is wat mij betreft geen platform voor de toekomst gezien het slechte update beleid of geen update beleid. Het is terug naar windows 10
Ik kreeg gisteravond een update voor mijn Nexus 6 binnen, ik vermoed dat dat de eerste fix was. Dat is alsnog erg laat voor een dergelijk kleine fix met zulke grote gevolgen. Ik hoop dan ook dat ze dit binnen 1-2 weken alsnog definitief oplossen.
ik hoop het voor je maar het artikel zegt dit: De apparaten van Google in de Nexus-lijn krijgen medio september de nieuwe patch.

Tja medio september is dus over 1 maand, niet echt snel van google.
vreemd. google heeft dit direct al uitgerold:

5 augustus: LMY48I for Nexus devices will have the Stagefright fixes included.

via adb zijn alle nexus toestellen te updaten en/of te wipen via originele factory images.

Dat deze fix niet goed werkt snap ik, maar google zit er wel bovenop. Bovendien kan je zelf in de gaten houden welke patches er worden uitgebracht op Google Developers. Via AndroidPolice kan je in de gaten houden welke laatste ontwikkelingen er zijn voor de Nexus lijn.

Google Developers
AndroidPolice

[Reactie gewijzigd door drogeworst op 14 augustus 2015 07:15]

Als google er bovenop had gezeten hadden ze:
a) de fix eerst goed laten testen of het wel echt het probleem op zou lossen
b) de 2de fix ook direct uitrollen.

5 augustus is een fix uitgerold die niets oplost en nu moet je een maand wachten. Dat is niet er bovenop zitten.
Daarnaast weet je tot september dus niet of de 2de fix dan wel gaat helpen.
niks op aan te merken.

maar ik heb een Nexus en een LG G3.

Wat heb ik van LG gehoord? Niets. Wat heeft LG gedaan? Niets. Wanneer word het lek gefixed op mijn LG G3? Dat weet niemand.

Met mijn Nexus is Google iig bezig.
Met mijn Nexus is Google iig bezig.
Die indruk willen ze graag maken met een schijn update. Maar als een goeie update nog een maand op zich laat wachten dan ben je als Google dus niet goed bezig. Zeker niet als je bedenkt dat dit lek als sinds het begin van het jaar bekend is. De patch laat dus een half jaar op zich wachten. Meer dan 90 dagen waar Google anderen zo graag op afrekende.
Dus men moet de tweede fix maar direct uitrollen met de kans dat er over een week weer een bericht staat dat de patch niet voldoende is? De eerste patch heeft al aangetoond dat snel uitrollen lang niet altijd verstandig is.
Welke doorsnee massa gebruiker, en dat zijn er een heleboel, kijkt op google developer of android police. Die willen een telefoon waarmee je gewoon net als windows je updates krijgt en verder niets hoeft te doen.
Spot on.

Daarom ben ik het eens dat Google zélf Android moet gaan updaten ongeacht de fabrikant. Op regelmatige basis.

En idd niet via adb. Met alle risico's van dien. Bovendien is adb helemaal niet te begrijpen voor een normale consument.

[Reactie gewijzigd door drogeworst op 14 augustus 2015 11:25]

Tja google moet idd zelf update zoals ms maar ze heben daar bewust niet voor gekozen.
Hun model was groot marktaandeel, iedereen kon en kan android op welke telefoon dan ook zetten zonder dat google er eisen aan stelde.

Kijk ik hier op tweakers even bij smartphones dan staan er 326 android phones
1 met 1.6
1 met 2.2
15 met 2.3
11 met 4.0
25 met 4.1
21 met 4.2
30 met 4.3
86 met 4.4
72 met 5.0
61 met 5.1

18,7% beschikt dus maar over versie 5.1
22%% beschikt over 5.0

De rest 59.3% heeft een versie ouder dan 5.0
Denk daar eens goed over na hoe triest het dan is met google android versies.

Bij tablets is het trouwens nog veel erger, daar is het % tabelts hier op tweaker pricewatch met versie lager dan 5 rond de 90%

[Reactie gewijzigd door bbob1970 op 14 augustus 2015 11:33]

Absoluut.

Irritatie factor van jewelste.

Ik had het er gisteren nog over met een maatje van mij. Heeft Android 4.4.2. Hopeloos verouderd dus. Heeft m nog geroot ook. Ik bedoel: kan je je voordeur nog wijder openzetten? Zegt ie: nee ik heb er een firewall op dus veilig.

Maw: een gebruiker van Android word in feite misleid door de beveiliging over te laten aan de fabrikant, Telekom provider of erger aan de gebruiker zelf.

In zekere zin (denk ik) dat ik met mijn Nexus toestel kwa veiligheid goed zit. OS technisch dan.

En idd met tablets zijn al helemaal droevig gesteld

[Reactie gewijzigd door drogeworst op 14 augustus 2015 11:46]

Er zit ook nog een verschil in de zones. Een aantal landen hebben 7 dagen geleden volgens mij al de update op de Nexus 6 ontvangen. Nederland was in dit geval later dan anderen, maar ik kan begrijpen waarom ze dit gefaseerd uitrollen.
In het geval van zulke bugs bestaan er imho geen excuses om het gefaseerd uit te rollen.
Waarmee de toegevoegde waarde voor de Nexus-lijn eigenlijk grotendeels als sneeuw voor de zon verdwijnt.
Waarmee de toegevoegde waarde voor de Nexus-lijn eigenlijk grotendeels als sneeuw voor de zon verdwijnt.
Hoe kom je erbij? Natuurlijk verdwijnt de toegevoegde waarde niet "grotendeels als sneeuw voor de zon". Dat het hier even niet optimaal draait verandert niets aan het feit dat de Nexus-lijn er eentje is waarbij je enkele jaren gegarandeerd bent om Android-updates snel op je toestel te hebben. Dat is altijd al de toegevoegde waarde (naast het feit dat alles gewoon werkt, waar ik bij andere toestellen steevast incompatibiliteiten heb ervaren) geweest en die verdwijnt dus niet.
Exact. Precies dat.

De Nexus lijn is juist (iets) veiliger omdat er juist sneller word geupdate dan de niet-Nexus toestellen.

Zie mijn links in mijn comment net hierboven. Die gaan naar Google developers en AndroidPolice. Als je die twee links in de gaten houd dan kan je maar 1 ding concluderen: alles behalve de Nexus lijn is juist trager (of uberhaupt niet) gefixed.

Voorbeeld: wanneer word mijn LG G3 gefixed? Geen idee. Dat weet niemand. Wanneer krijgt mijn LG G3 uberhaupt een Android update? Geen idee, dat weet niemand. Ik kan ze zelf niet eens flashen. Via adb niet te bereiken zonder te rooten (wat ik pertinent niet wil trouwens). Er zijn geen images beschikbaar.

EDIT: vandaar dat mijn volgende toestel weer een Nexus word. Juist door stock Android.

[Reactie gewijzigd door drogeworst op 14 augustus 2015 07:44]

Aha dus i.p.v 1/2 jaar wachten moet je nu maar een maand wachten op een fix voor een fix.
Dat lijkt me idd een heel goed verkoopargument om voor de nexus lijn te gaan. 8)7

Wat de meesten vergeten hier is dat de massa niet de kennis heeft om zaken in de gaten te houden, die moeten gewon een automatsiche update krijgen, ja drukken en klaar.

Feit blijft dat het android model zoals google het in de markt zet compleet faalt op update gebied. Telefoonfabrikanten moeten het doen maar doen het niet, iets dat google had kunnen weten aangezien ze geen eisen stelden aan deze fabrikanten welke versie ze op hun telefoons zetten nog een update verplichting.
Dit heeft natuurlijk de gigantische groei van android mogelijk gemaakt maar laat nu het falen van updates zien.

MS is altijd de gebeten hond, ene naar het andere lek maar updates worden centraal aangeleverd voor de denktop en ook voor telefoons, daar kan google iets van leren, als het voor android nu niet al te laat is.
Vind dat je idd een punt hebt.

Maar Google is er wel mee bezig. Maar idd niet op de meest gebruiksvriendelijke manier
Android heeft sowieso gefaald. Alleen Samsung maakt wat winst, de rest schrijft rode cijfers. Daarnaast is het update beleid een groot drama. De meeste fabrikanten zijn je na een half jaar alweer vergeten en daarom lopen er straks 900 miljoen mensen met een zeer kritiek lek in hun telefoon. Deze bug kan nog wel eens de grootste bedreiging voor Android ooit zijn.
Het is eigenlijk heel triest dat een bedrijf als google dat vooral ook leuk meehelpt om lekken bij ms aan te kaarten zelf haar zaakjes dus niet goed voor elkaar heeft.

Ik heb het vaker geschreven is is juist een bewuste keuze geweest om geen controle te hebben over updates. snel groot worden, marktaandeel krijgen ten koste van veiligheid. Groot zijn ze idd, dominant marktaandeel maar 1 keer groot misbruik en android zou zo maar eens van de troon kunnen vallen.

MS is bezig met een inhaalslag op dit gebied en het zou zo maar eens kunnen zijn dat bij grote blunders van android windows sterk kan gaan groeien.

De massa buiten tweaker heeft er geen eens idee van maar komt het wereldwijd in het nieuws dat android niet veilig is, telefoons misbruikt zijn dan wordt de massa wakker en heeft google een probleem.
Tja ik moet steeds denken hoe Google MS afmaakt omdat ze laat zijn met bugfixes.
Feitelijk heeft Android natuurlijk precies hetzelfde probleem als Windows: het is een open platform waar bijna alles op mag wat God verboden heeft. En dan heb ik het alleen nog maar over de software, wat te denken van de hardware?
Dit gaat over updates.
En ook bij updates speelt dat probleem net zo goed. Je kunt beter een gesloten systeem hebben, met zo min mogelijk rechten voor de eindgebruiker. Dan heb je die update zo uitgerold.
Android is geen open platform. De meeste telefoons staan niet toe dat je aan de systeembestanden komt en je kan ook niet zomaar bijdragen aan de ontwikkeling er van.
Ah, je begrijpt me verkeerd. Doordat Android in allerlei verschijningsvormen op de markt komt (net als Windows), geschikt voor allerlei verschillende apparatuur, is het gewoon per definitie lastiger te onderhouden.
Android (als in AOSP) is een open platform, dat sommige fabrikanten apparaten met android beperken staat daar los van. (beperkingen die overigens lang niet zo ver gaan als op sommige andere systemen)
Hoewel ik het inderdaad wat langzaam vind (zeker voor een bug met deze impact) is het natuurlijk wel wat anders dan de 3+ maand waar het in het geval van microsoft over ging.
De bug is al in april bekend gemaakt aan Google, we zitten dus wel degelijk al aan 3+ maanden.
Microsoft fixte het wel in 1x.
Die testen in die 3 maanden namelijk ook of het daadwerkelijk werkt en wat de impact is op de rest van het systeem. Die hele stap slaat Google blijkbaar over met als gevolg dat er nog een maand vertraging bij komt omdat de 1ste fix niet deed wat het hoorde te doen.

Daarnaast is het nog maar de vraag hoelang het duurt voordat dit dus door derde partijen wordt uitgerold. Bij Microsoft stond het na uitbrengen voor alle apparaten beschikbaar. Bij Google kan het wel even duren voordat het bij mijn Samsung aan komt.
Wat betreft de 3e partij: dat heeft weinig met android te maken, het enige waar je google op kunt aanspreken is de termijn tussen het bekend worden van het probleem en het implementeren ervan in de AOSP codebase en op de nexus apparaten.
Weet jij (of iemand anders) of er een manier is om te zien of je toestel kwetsbaar is ? De Stagefright Detector die ik gebruik heeft (nog) geen update gehad en geeft aan dat mijn telefoon "not vulnerable" is. Ik heb dus geen flauw idee hoe het precies zit. De firmware die ik gebruik is van 10-08-2015; dus drie dagen oud.

http://s10.postimg.org/7de7yvjmx/image.jpg
Ik gok dat het wachten is op een update van de app ;)
Daarom gebruik ik CM, gewoon nightlies installeren zonder full reset.
Zit er ook aan te denken maar wil eigenlijk de functionaliteit van mijn S-Pen niet kwijt.
Nou ja, ik kan wel zonder reset een update installeren, maar dan krijgt Google Play Services het op de heupen en blijft er constant een melding op je scherm ploppen dat de service is gestopt. Als je die weg tikt komt ze gewoon direct opnieuw in beeld.
Als je de Data, de Cache en de Dalvik cache wiped, is dit meestal verholpen. Anders kan je ook nog de gapps opnieuw flashen.
Dat klopt, maar dan ben ik dus al mijn user-data kwijt en moet ik iedere app opnieuw installeren en configureren. Het kan dus wel, maar het is gewoon een klotewerk. Ben daar toch makkelijk een uur mee bezig voordat alles weer zo staat zoals ik het wil.
Een cache wipe is vaak al voldoende, een factory reset is maar zelden nodig.
Er vanuitgaande dat je een custom rom draait, waarom gebruik je dan geen titanium backup zodat je je apps kunt backuppen/restoren?
Is inderdaad een goed idee. Zal ik straks doen nadat ik alles weer opnieuw heb geïnstalleerd ;)
Ik vraag me dan ook af of dit niet tegendraads werkt. Nu hebben ze allemaal alles op alles gezet optijd te zijn is het nog niet goed en kunnen ze straks weer een update uitrollen...
Het is nu niet dat ze er snel bij waren met deze patch. Ze waren ook al maanden op de hoogte van de bug. Het is pas toen de onderzoekers die het ontdekt hadden het publiek maakten dat er een beetje vaart achter de patch kwam en dan is ie nog niet goed.
De patch werkt wel, alleen zijn ze nog iets vergeten.

Je moet het zo zien dat er een stukje code is, die een bericht "opvangt" . Ik probeer het niet al te technisch te maken, maar je moet zo zien dat dit bericht normaal een maximale lengte mag hebbent van bijv. 64 karakters omdat je anders een fout krijgt namelijk een "overflow". In feite betekend dit dat de rest van je bericht dan "lekt" uit de huidige "functie" en dan kun je van alles doen.
Nu hebben ze een fix gemaakt, dat kijkt of de lengte van het bericht niet groter is dan een 'variabele'. Zo ver zo goed, behalve dat men deze lengte óók nog eens kan veranderen waardoor je alsnog weer een overflow kunt krijgen.

Naar mijn weten zit er ook een verschil tussen het eerste report van de bug, en het nu "2e" deel er van. Zover ik weet was het tweede stukje niet gedefinieerd in het eerste report.
Dus meer een vorm van; aan de ene kant los je het op, en aan de andere kant flikkert het weer om.
Nee, meer een halve oplossing. Er viel niets om met de bugfix, ze hadden alleen maar de helft opgelost.
Komt mij heel erg over als de next day dmg control fix, een paar regels schrijven die de simpelste implemetatie van de hack lastiger maken voor scriptkiddies maar meer niet.

Maar dus vooral om overal in de media te krijgen, there we fixed it....
Het is een overflow, die fix je altijd relatief simpel. Het zijn 4 regels, maar in feite is het maar één regel, met 2 regels voor de brackets en één regel voor een breakline..

Meer hoef je ook niet te doen. Er is alleen op een andere plek iets waardoor je alsnog de size kan beïnvloeden. Dat is over het hoofd gezien.
Hej....
Ik heb ook een s3, maar waar komt bij jou die patch dan weg? Ik zie niks op hun site....
Dank.... Dat heb ik 4.4.4
Ow, is er al een update? Ik ben wat lui met updates en wilde nog even wachten.
Vreemd genoeg is mijn Nexus 5 met M Developer Preview 2 sinds eerder deze week níet meer kwetsbaar volgens de app van Zimperium, waar hij dat eerder wél was. Heb geen System Update gehad.
Bij mij geeft die app ook aan dat mijn Find 7 niet kwetsbaar is (nightly van Dirty Unicorns v9.5 - Lollipop 5.1.1 - 10-08-2015). Ik vraag me alleen af of de Zimperium app rekening houdt met het feit dat de vorige patch niet afdoende was om de kwetsbaarheden van Stagefright aan te pakken. Dat de app "not vulnerable" aangeeft hoeft dus eigenlijk niet veel te betekenen, tenzij er een update van de Stragefright Detector wordt uitgebracht waarin deze CVE's wel zijn opgenomen.
Vreemd genoeg is mijn Nexus 5 met M Developer Preview 2 sinds eerder deze week níet meer kwetsbaar volgens de app van Zimperium, waar hij dat eerder wél was. Heb geen System Update gehad.
Zijn jullie niet ongerust dat door het gebruik van de app, je jezelf als target kan aanmerken ?
Is Zimperium te vertrouwen ?
Of zijn er straks allemaal 'testers' gehackt, omdat hun toestellen netjes aangemeld stonden als 'kwetsbaar'

* FreshMaker zet zijn aluhoedje weer op ;)
En als ik het goed zou de vinder van de bug de details op 24 augustus openbaren. De Nexus toestellen lopen dus op zijn minst drie weken gevaar en toestellen van andere fabrikanten dus nog langer.
Ik ben nu benieuwd hoe snel de andere fabrikanten de patch gaan uitrollen en naar welke toestellen.
Hebben ze dat niet afgeblazen omdat het zo'n groot risico is?

---

Edit:

My bad:
...beveiligingsbedrijf Zimperium is nu van plan om de exploit uiterlijk op 24 augustus vrij te geven

[Reactie gewijzigd door s1h4d0w op 14 augustus 2015 09:39]

Dat zou vreemd zijn, Google betaald onderzoekers om lekken en zwakheden aan het ligt te stellen voor andere os-en en wacht er eigenlijk helemaal niet mee om deze te publiceren. Met ook alle gevolgen van dien.

Zoals een paar maanden geleden nog bij windows df direct video's van een lockscreen van ios wat niet helemaal goed in elkaar zat. . Daar werd niet gewacht en toen waren de reacties hier van tja moeten ze maar direct met een fix komen.

Ik vind het daarom ook vreemd dat er een beetje de hand boven het hoofd gehouden word. Zeg niet dat ze het vrij moeten geven maar dit voert de druk ook niet echt op in mijn ogen.

Wil geen Android bashen maar zelfs het MMS verkeer lijd eronder, ben benieuwd wanneer we een ernstig lek vinden in Windows of we de stekker uit de AMS-IX trekken en wachten totdat Microsoft een update uitrolt.

Zoals Windows al decennia lang heeft, hoge bomen vangen veel wind en zijn voor kwaadwillende zeer interessant.

[Reactie gewijzigd door downcom op 13 augustus 2015 20:24]

Google is dan ook scheinheilig. De enige rede dat ze de onderzoekers betalen, is om andere zwart te maken of om die onderzoekers zelf in te lijven.
Ik vraag mij echter wel af wie nog MMS gebruikt met al die chat-apps tegenwoordig.
Daar heb je gelijk in, maar het doel heiligt in dit geval de middelen. Wat betreft MMS; daar mogen ze wat mij betreft de stekker uit trekken hier in Europa. Heb nog nooit een MMS verzonden en/of ontvangen, en heb toch al zeker 15 jaar mobiele telefoons in mijn bezit.
Het doel heiligt in de context alleen de middelen als de verantwoordelijke zegt er niks aan te willen gaan doen en de melding negeert. Niet als er wordt gevraagd voor een uitstel van 2 dagen omdat de patch dan pas kan worden uitgerold of als er aan een fix gewerkt wordt maar het gewoon een complexe taak blijkt te zijn. Beide gevallen zijn meermaals gebeurd door Googles "90 dagen policy", en zeker omdat er ook werkende code werd meegeleverd is dat gewoon spelen met vuur, of beter verwoord: vuur gooien naar andere spelers.
Zolang de problemen maar adequaat worden opgelost interesseert het me niet wie er vuur naar een ander gooit. Dat is niet iets waar ik me druk om wil maken.
Behalve als het er toe leidt dat ze ook tegelijkertijd vuur naar de gebruikers gooien ;) Dan wordt het gevaarlijk spel.
Het probleem is ook niet of JIJ die mms gebruikt, maar een 'aanvaller' kan JOU een mms STUREN.
De meeste toestellen staan op automatisch ophalen hiervan, dus ben je onwetend kwetsbaar.
zijn de 90 dagen al voorbij?
Jazeker ze hebben zelfs extra tijd gekregen tot 24 augustus.
fout, die mensen lopen nu al gevaar, of dacht je nu echt, dat er nog geen criminelen hebben zitten graven in de stagefright code toen eenmaal bekend was dat er in dat specifieke systeem een bug zat...

laten we duidelijk zijn, het enige dat er gaat veranderen de 24e is dat er vanaf dan elke middelbare scholier met een beetje kennis van programmeren kan proberen die bug te exploiten en dat het aantal geslaagde pogingen iets zal stijgen ten opzichte van nu...

maar denk niet, dat omdat jij nog niet weet hoe het zit, men nu dus nog veilig is.
Nee daar heb je natuurlijk gelijk in maar als de details naar buiten komen zal het op veel.grotere schaal misbruikt worden.
Ik vraag me af of deze nieuwe fixes inmiddels al open source zijn en dus snel in Cyanogenmod etc. zullen verschijnen?
leuk dat je de wijsneus uit wil hangen, maar dit bericht van vandaag zegt dus juist dat deze oude patches niet afdoende zijn, dat er nieuwe patches nodig zijn. Of begrijp ik het nou volkomen verkeerd?

[Reactie gewijzigd door woekele op 13 augustus 2015 21:04]

Het bericht zegt dat de patches van Google niet afdoende zijn. Ik lees niets over of dit dezelfde patches zijn als die CM toegepast heeft. Daar ging ik persoonlijk niet van uit, maar ik heb er geen onderzoek naar gedaan.

Mijn wijsneus kon niet ruiken of jij al van de patches van CM op de hoogte was, nietwaar? Ik denk gut, ik gooi er ook eens een link tegenaan. Waarvoor excuses. 8)7
CM, en bij uitbreiding elke ROM maker, gaat het warm water niet opnieuw uitvinden. Security patches worden gewoon gebackport vanuit upstream. Indien zij een fout zouden merken in die patch dan zouden zij dat ook openbaren. De kans dat CM dit dus al gefixed heeft met de vorige patch is dus zeer klein.
Ik geef onmiddellijk toe dat ik geen idee heb wat de relatie is tussen Google en CM; ik dacht dat CM juist niet vies zou zijn van het wiel opnieuw door de kraan laten stromen (wegens hun nadruk op onafhankelijkheid en open source). Als de patch van Google engineers afkomstig is en gewoon door CM overgenomen dan is het op zijn minst kwalijk te noemen dat CM niet zelf grondiger test voor ze het in hun eigen code base opgelost verklaren. Dat mag best voor een security vulnerability van deze omvang.
CM heeft all een nieuwe update uitgebracht waarmee dit gat alweer is gedicht.

Neem aan dat het bij Google zelf ook all het geval is.

Voor de rest heb je een groter probleem als je toestel fabrikant helemaal nog geen update hiervoor heeft uitgebracht.
Mij leek het logisch dat CM dezelfde 'foute' patches gebruikt als Google, vandaar. Als dat niet zo is, dan mijn excuses en alsnog bedankt voor je link ;)
De Patch cm12.1-20150814-Nightly die is ook tegen dit gapatcht

frameworks/av
• 38c26d7 stagefright: Don't crash on invalid / null AVCC atoms in MKV
• 7c7f1e1 Fatal error while playing certain mkv files.
• 35460e9 MPEG4Extractor.cpp: handle chunk_size > SIZE_MAX
• 51dde7a AudioMixer: fill 0s at right place when no more buffers available
• c69b0a3 video: Disable resync markers
• 523b5c5 libstagefright: Scale up bitrate for HSR videos
• 8d2c4b3 IOMX: Add buffer range check to emptyBuffer
• aae1058 HDCP: buffer over flow check -- DO NOT MERGE
• 636050c Add some sanity checks
• 6a2289e Add AUtils::isInRange, and use it to detect malformed MPEG4 nal sizes
Die is pas later uitgekomen dus. Maar in elk geval mooi dat het er nu is. Nu even wachten op een mooie gepatchte 4.4.4-build voor de i9100. Komt binnenkort wel dan :)

[Reactie gewijzigd door woekele op 15 augustus 2015 15:45]

Aangezien ik de eerste patch op mijn 2 toestellen (Samsung Galaxy Note 2 4G gekocht eind 2013 en Samsung Galaxy Core gekocht door de baas juni 2014) nog niets eens ontvangen heb, zal het waarschijnlijk nog een hele poos gaa duren voor ik de 2e zal gaan ontvangen.

De Note 2 draait inmiddels 4.4.2 (sinds een paar maanden ofzo) en de Core draait 4.1.2 (nooit updates voor uitgekomen het afgelopen jaar).

Tegen de tijd dat de patches beschikbaar zijn heb ik misschien zelfs al wel een Windows 10 toestel. :)
"De apparaten van Google in de Nexus-lijn krijgen medio september de nieuwe patch."

Gelukkig duurt het nog maar een maand voordat een behoorlijk groot beveiligingsprobleem gedicht wordt, slechts een slordige 2 maanden nadat het lek bekend werd.

:X
Ik kreeg gisteren een OTA systeemupdate voor mijn Nexus 6 binnen. Ik vermoed dat de 1e fix daar in zat, 2 maanden is dus niet correct. Een aantal weken per melding dus. Alsnog te lang, maar 2 maanden is niet correct.
Waarom wordt een fix die niks fixed gezien als een fix door jou? Het bericht gaat er juist over dat die patch van indertijd niks afdeed aan de kwetsbaarheid, het is dus wel degelijk een slordige 2 maanden zoals Robin hierboven zegt.
Het fixt wel degelijk iets :) De voor de oorspronkelijke bug geschreven hacks werken NIET na die fix. Het punt is door iets anders te beinvloeden (eigenlijk een andere bug dus), is het wel weer mogelijk...

Daarom is de app die checkt of je toestel vatbaar is ook aangepast, want die oude versie zei netjes dat het opgelost was, en de nieuwe niet meer :)

Zie zijn uitleg wat dat precies inhoud: Douweegbertje in 'nieuws: Beveiligingsbedrijf: Android-patch beschermt niet tegen Stagefright-bug'
wedden dat mijn nexus prime geen update krijgt?
Onacceptabel dat Google zogenaamde patches uitbrengt die eigenlijk geen patches zijn maar alleen maar een cover-up om de bug te verbergen en gebruikers (en criminelen) te laten denken dat het lek gedicht is.
De patch heeft wel degelijk een fout hersteld. Alleen heeft men het probleem niet ver genoeg onderzocht waardoor er een lek is blijven openstaan. Dit heeft niets te maken met het verbergen van een lek. Uiteindelijk staat de reputatie van het dominante mobiele platform hier op het spel.
Is een patch uitbrengen die het probleem niet oplost wel een patch? Is dat nalatigheid of gewoon misleiding? Wat als het niemand was opgevallen dat dit het probleem niet oploste? Had Google het dan daarbij gelaten?
Toch wel veel apparaten worden gepatched. zelfs mijn huawei p6, dat zegt echt veel.
Idd, huawei staat niet bekend om vlotte updates.
Vrijwel alle fabrikanten staan niet bekend om vlotte updates. Dat is ook de reden dat ik de originele software vaak direct verwijder en een custom-ROM installeer.
Dat komt omdat Google hen DWINGT om dit probleem te patchen omdat ze bang zijn voor een Worm die alle 1 miljard Android telefoons bricked. Dat zou een enorme reputatie schade opleveren voor Android en het hele ecosystem ter discussie stellen.

[Reactie gewijzigd door ArtGod op 14 augustus 2015 21:10]

Ook best erg dat het voor de 2e keer op rij een extern bedrijf is dat weer een gat ontdekt. Google zijnde zou ik toch wat meer testen voor ze een "fix" uitrollen.

Wie weet was Exodus niet het eerste bedrijf dat het 2e lek ontdekte. Stel je voor; Google komt uit met de "fix". Iedereen blij: de filters kunnen weer uit, alles weer automatisch downloaden. En dan een bedrijf dat dit ontdekt, en misschien wel iets anders wil dan dit meteen te melden. Weer honderden telefoons geïnfecteerd...
Weer honderden telefoons geïnfecteerd...
Wat een aantallen zeg op 1 miljard xD maar serieus, is er buiten de proof of concept al iemand die hier last van heeft?
Als het jezelf niet overkomt zullen weinig mensen het erg vinden, en veel mensen zullen het erger vinden als één telefoon geïnfecteerd wordt, namelijk hun eigen, dan dat er honderd onbekende telefoons worden geïnfecteerd.

Ook vraag je dit aan de verkeerde doelgroep. De meeste mensen op deze site zijn technisch opgeleid en weten dus wat te doen in zulke gevallen.
weet jij hoe moeilijk het is om zaken als dit te vinden? Als je met simpelweg 'wat meer testen" deze zaken kon oplossen dan zou men dit echt wel overal in de software industrie doen. Zo simpel is het allemaal niet. Er is een reden dat bugs gelijk deze gepresenteerd worden op de grootste beurzen in de IT security industry en dat is niet omdat het triviale foutjes zijn
Hoe komt het dan dat een ander bedrijf het zo snel kan vinden?

Zeker met de mankracht van Google zouden zij dit sneller moeten ontdekken.
de persoon die dit opnieuw kon doen was ook de mens die de oorspronkelijke bug had gevonden. Die heeft enorm veel code daarrond liggen analyseren in assembler, dus die kent dat klein onderdeel van de code beter dan zelf de mens die die code ooit geschreven heeft.

meer volk op iets zetten kan helpen, maar er IS niet veel volk dat zaken zoals dit kan.
Dan zou Google dit aan deze persoon moeten vragen of de patch foutief was of niet. Een bug is acceptabel, maar het schrijven van een patch die niet helpt en ook meteen zeggen dat het veilig is is dus niet acceptabel.

Moet deze persoon echt kinderjuffrouw gaan spelen?

[Reactie gewijzigd door peteremck op 15 augustus 2015 14:40]

de patch hielp wel tegen het hen opgegeven scenar, maar er was nog een ander scenario waarmee je nog hetzelfde probleem toch kon veroorzaken. Lees de technische details eens na, dan realiseer je je wel dat dit niet zo voor de hand liggend is.
Quote van mezelf:

"Het schrijven van een patch die niet helpt is onacceptabel."

Het feit is, dat de patch niet helpt tegen het, dus omgeven door bugs, stagefright. Ik snap dat Google snel een update wil uitrollen, maar het liefst wel eentje die het probleem, de bugs in stagefright, verhelpt.

Als het zo doorgaat, wie weet hoe vaak deze persoon moet aankloppen bij Google. Dan kan de consument doorgaan met het downloaden van het talrijke patches die steeds maar een deel van het probleem verhelpen.

Ik snap dat het moeilijk, zo niet onmogelijk, is foutloze software te schrijven. Toch zou Google de volgende keer meer moeite kunnen doen dan 4 regels nieuwe code, hoe "goed" die ook is.
Er is altijd nog plaats voor wat "IF"kes erbij :)

[Reactie gewijzigd door peteremck op 16 augustus 2015 11:06]

als je zo redeneert dan is geen ENKEL programma ooit geschreven of geen enkele patch ooit goed gedaan, want er worden nog altijd fouten gevonden.
Inderdaad, waarschijnlijk is geen enkel (geavanceerd) programma foutloos.
Maar de nonchalance hoe sommige bedrijven zoals Google met dit feit omgaan is gewoon niet leuk. Prima als het niet foutloos is, maar dan zouden ze de consument niet moeten laten denken dat alles veilig is.

[Reactie gewijzigd door peteremck op 16 augustus 2015 22:52]

Inderdaad, misschien wordt er wel nooit foutloze software gemaakt. Maar bedrijven moeten de consument niet lekker maken, met voorbeeld van "patches die alle problemen in een keer oplossen."

Afijn, als het onmogelijk is foutloze software te schrijven, waarom geven we het niet op? Dan gooien we al onze data op straat voor wie het maar wil hebben. Of gaan we door, tevergeefs het waarschijnlijke feit dat het nooit zal lukken...

En wie weet, binnen jaren, decennia, eeuwen, millennia...

Ooit lukt het misschien. En daarom gaan we door.

[Reactie gewijzigd door peteremck op 16 augustus 2015 22:38]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True