Beveiligingsbedrijf ontdekt nieuw beveiligingsprobleem in mediaserver Android

Beveiligingsbedrijf Trend Micro heeft opnieuw een beveiligingsprobleem in Android gevonden, waardoor een app met beperkte rechten eigen code kan uitvoeren op het niveau van de mediaserver. Die heeft onder meer toegang tot het internet en de camera.

Het beveiligingsprobleem bevindt zich in het AudioEffect-deel van de Android-mediaserver, aldus beveiligingsbedrijf Trend Micro. Het probleem, dat het uitvoeren van code mogelijk maakt, is minder makkelijk te misbruiken dan de bug in de Stagefright-library, eveneens onderdeel van de Android-mediaserver. Die kan worden misbruikt door een malafide filmpje te serveren, bijvoorbeeld in een chatbericht of vanaf een website.

In tegenstelling tot die bug kan de bug in AudioEffect enkel worden misbruikt vanaf een app. Dat heeft wel tot gevolg dat een app met beperkte rechten toegang kan krijgen tot onder meer de microfoon en de camera; vanuit de app kan namelijk code worden uitgevoerd met rechten van de mediaserver. Omdat de mediaserver ook toegang heeft tot internet, zou een aanvaller de camera en microfoon kunnen aftappen en doorsluizen naar zijn eigen server.

De bug is inmiddels gedicht, stelt Trend Micro, maar de bug zou in Android 5.1.1 nog aanwezig zijn. Dat duidt er op dat de bug pas in de eerstvolgende Android-versie in de praktijk is verholpen. Bovendien zijn gebruikers van oude Android-versies nog kwetsbaar.

Het is de derde keer in korte tijd dat er bugs in de Android-mediaserver naar buiten komen. Naast de Stagefright-bug ontdekte Trend Micro eerder een app waarmee een telefoon onbruikbaar kan worden gemaakt door hem eindeloos te laten rebooten.

AudioEffectPOC

Een voorbeeld-app van Trend Micro, met beperkte toegangsrechten

Reacties (77)

Verwijderd 17 augustus 2015 18:46

Ik vraag me toch af hoe het opeens komt dat al deze dingen aan het licht komen. In elk OS zitten bugs, ik kan me niet voorstellen dat hij bij Android heel veel meer is dan bijv een Windows Mobile of iOS, maar daar hoor je maar weinig over. Helemaal de Jailbreaked versie van iOS zou je denken dat die vol met risico's zit, maar je hoort er maar weinig over.

David Mulder @Verwijderd • 17 augustus 2015 18:57

Je moet twee dingen bedenken: Ten eerste was/is de stagefright bug één van de meest extreme bugs die er zijn gevonden in lange tijd en ten tweede is android open source. Wat betekend dat? Tientallen als niet honderden mensen zijn de code van de mediaserver ingedoken om te kijken wat voor ander 'moois' ze konden vinden. En ja, uiteindelijk kom je dus op de aloude discussie uit van obscurity vs security... en persoonlijk kies ik dan eerder voor Android, maar goed, ieder z'n afweging.

Vexxon @David Mulder • 17 augustus 2015 18:58

Want closed source is hetzelfde als security through obscurity?
Wellicht begrijp ik je verkeerd.

[Reactie gewijzigd door Vexxon op 23 juli 2024 04:27]

David Mulder @Vexxon • 17 augustus 2015 19:01

Zo word het inderdaad wel gezien ja. Enerzijds betekend het dat 'the bad guys' niet makkelijk in je code kunnen zoeken naar bugs (het obscurity gedeelte), maar anderzijds betekend het ook dat 'the good guys' het niet kunnen. En 'the good guys' zijn meestal minder gemotiveerd het te doen als het tegenzit dan 'the bad guys', want 'the bad guys' verdienen er een stuk meer aan.

Edit: Even voor de duidelijkheid, dat betekend niet automatisch dat open source maken veiliger is. Dat hangt er dan ook nog vooral van af hoeveel bad guys en hoeveel good guys er relatief zijn.

[Reactie gewijzigd door David Mulder op 23 juli 2024 04:27]

Blizz @David Mulder • 17 augustus 2015 20:05

"Open source is veiliger als er meer good guys zijn dan bad guys" is pas security through obscurity.

David Mulder @Blizz • 17 augustus 2015 20:08

Ten eerste is dat niet wat ik zei (bad guys zijn er namelijk sowieso meer, het verhouding is wel een factor waar je rekening mee moet houden puur vanuit een security efficiency point of view), mare, verklaar je nader, want ik zie niet in hoe zelfs dat wat jij zegt security through obscurity zou zijn?

Blizz @David Mulder • 17 augustus 2015 20:16

Wat jij in je eerste comment stelt is dat closed source neerkomt op security through obscurity en dat je in dat geval kiest voor open source. In de edit van je tweede comment zeg je dat de ratio good vs bad een grote impact heeft.

Ik ben het in grote lijnen eens met wat je zegt, maar closed source == security through obscurity vind ik onzin. Ja, het kan voordelig zijn als meer mensen de source kunnen bekijken. Nee, het is niet per se nadelig als mensen dat niet kunnen. 'STO' vind ik helemaal niet zo relevant in deze discussie.

David Mulder @Blizz • 17 augustus 2015 20:32

En wat is alleen een compileerde versie distribueren essentieel anders dan het obfuscaten van code?

En let wel, ik zei niet dat ik automatisch beter is als het open source is. Dat is juist hetgeen ik tegensprak in m'n edit. Security through obscurity werkt vaak gewoon helemaal prima. Als je het rot genoeg maakt dat zelfs 'the bad guys' er geen zin in hebben dan ben je gewoon succesvol. Dus klopt inderdaad wat je zegt: Het is niet per se nadelig als mensen dat niet kunnen. Dat is waar je moet gaan kijken naar 'wie is bereid om in deze (al dan niet leesbare) code te duiken?'. De reden waarom ik aangaf dat ik in dit geval voor Android zou kiezen is omdat er overheden zijn die extreem gemotiveerd zullen zijn om fouten in mobiele besturing systemen te vinden en op te kopen, dus iedere 'good guy' die je daar tegenover kunt zetten is extreem waardevol. Iets wat totaal niet van toepassing is voor tal van andere producten.

Blizz @David Mulder • 17 augustus 2015 20:40

Maar dan neem je aan dat de enige of blijkbaar zwaarwegende reden om closed source te gebruiken 'security' is. Als dat niet door de onderhouder is aangedragen als reden, dan is het geen security through obscurity issue, want dan is security geen factor geweest. Open vs. closed is in beginsel al geen security onderwerp en zo wel, dan speelt er een fout argument en is het inderdaad STO.

Dus dan ben ik het verder met je eens.

SunnieNL

@Blizz • 18 augustus 2015 00:04

Niet alleen dat.. de good guys moeten ook nog de wil tonen het probleem op te lossen en bij de gebruikers te brengen.. en daar schort het een beetje aan bij Android.

Verwijderd @David Mulder • 17 augustus 2015 19:14

Closed source ook direct Security through obscurity noemen gaat mij wat te ver. Deze term slaat naar mijn mening meer op bijv. een security algorithm geheim houden zodat mensen zelf niets kunnen uitproberen. Apple houd iOS niet closed source om security issues geheim te houden, maar vanuit hun IP, daar zit wel een groot verschil met source geheim houden om security redenen. Maja in de exacte woorden heb je helemaal gelijk, ik hoop alleen niet dat dit zo'n term gaat worden als "web 2.0" of "de cloud", welke helemaal uit hun verband worden getrokken door marketing afdelingen.

Eigenlijk is elke webbased backoffice iets wat in "de cloud" zit, er vind immers geen software distributie plaats, elke Magento webshop zit eigenlijk al "in de cloud" daardoor, maar toen de marketing afdeling aan de haal ging met de term zat opeens dit in de cloud en dat in de cloud.

David Mulder @Verwijderd • 17 augustus 2015 19:42

Naja, je kunt je code gewoon open source maken zonder dat je het onder een vrije licentie distribueert. Dat heeft Microsoft wel eens in het verleden gedaan. Niet dat ik vind dat iedereen z'n code direct moet open source'en, zeker niet, want obscurity heeft wel degelijk veel nut. Als je namelijk een project open sourced zonder vrije licentie zal het nog steeds direct gestolen worden ondanks de licentie. Dat is gewoon de realiteit, en uiteindelijk moet je daar bepaalde afwegingen in maken.

Shark.Bait @Verwijderd • 18 augustus 2015 10:52

Apple houd iOS niet closed source om security issues geheim te houden, maar vanuit hun IP,

IOS is gedeeltelijk closed, de Darwin laag is immers open source. Windows is closed.

Vexxon @David Mulder • 17 augustus 2015 19:13

Tegenover een situatie waarbij veel bugs gevonden worden maar de gebruikers maar geen patch ontvangen. Maar ik snap je redenering.

David Mulder @Vexxon • 17 augustus 2015 19:44

Klopt, dat is inderdaad waar het bij sommige fabrikanten flink mis gaat, maar op zich is dat wel een losstaand probleem. (En is dat ook de reden waarom sommige mensen er voor kiezen om mobieltjes rechtstreeks met cyanogenmod of plain android (nexus enzo) te kopen)

VNA9216 @David Mulder • 17 augustus 2015 21:39

De keuze voor android valt helaas in mijn ogen (als android gebruiker) alleen momenteel bijna niet meer te rechtvaardigen met het trage patchen van bestaande apparaten die android draaien. Tenzij daar wat aan verandert denk ik dat ik wanneer ik een volgende telefoon koop het nemen van een android toestel niet meer voor mezelf kan verantwoorden. Hier in huis hebben we 6 android apparaten van 3 verschillende fabrikanten, en nog niet 1 er van heeft een stagefright update gehad, dat is gewoon eigenlijk niet meer goed te praten.

marhalm @VNA9216 • 18 augustus 2015 09:59

Dat ben ik geheel met je eens. Ben geen Applefan (integendeel zelfs), maar denk dat het hierna toch een iPhone wordt. Androidfabrikanten laten je in de kou staan. Het kan ze geen zier schelen of jouw telefoon veilig is of niet. Wil je een veiligere telefoon? Koop maar een nieuwe.

Google moet echt wat doen aan dat onvoorstelbaar slechte updatebeleid anders voorzie ik een grote terugval voor Android. De beerput is nu open, dus de komende maanden lezen we eidere dag berichten over nieuwe bugs en die etaleren de Applereclamemakers zoals The Verge zeer grif.

CH4OS @David Mulder • 17 augustus 2015 21:56

Opensource betekend ook dat iedereen de code kan zien en ook brakke code zou kunnen toevoegen... Van regen in de drup dus, als brakke code geaccepteerd en slecht getest wordt.

[Reactie gewijzigd door CH4OS op 23 juli 2024 04:27]

Blokker_1999

Netwerk en systeembeheer
Google

@CH4OS • 18 augustus 2015 14:50

Alleen is dat bij Android niet he geval. Enkel Google devs kunnen code comitten voor Android wat van Android al bijna meer een source available dan een open source pakket maakt.

Vexxon @Verwijderd • 17 augustus 2015 18:49

Dat al toch komen dat er maar erg weinig mensen zijn die hun iPhone jailbreaken bij android is dat natuurlijk vele malen makkelijker.

Blizz @Vexxon • 17 augustus 2015 20:17

10% van de gebruikers jailbreaken. Erg weinig zou ik dat niet noemen. Bij Android is het voor gebruikers vaak niet nodig om te rooten.

skatebiker @Blizz • 17 augustus 2015 22:13

Om een firewall te installeren wel. En zo'n firewall kun je zelf bepalen welke apps internet op mogen. De meesten mogen dat dus niet bij mij.

Blizz @skatebiker • 17 augustus 2015 23:56

Je kunt in het OS toch ook instellen welke apps toegang hebben tot data?

skatebiker @Blizz • 18 augustus 2015 13:08

Nee dat kan dus niet.
App Ops zit er niet meer op sinds 4.3.

_Thanatos_ @skatebiker • 19 augustus 2015 13:31

Zit er wel op. Alleen heb je dus root nodig (en een appje dat die root-rechten nodig heeft) om het te activeren. Op mijn Nexus 5 heb ik op alle Android versies App Ops kunnen gebruiken, dus op 4.4, op 5.0 en nu ook op 5.1.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 04:27]

Blizz @Verwijderd • 17 augustus 2015 20:10

Mooi dat je het opbrengt: gebruikers met gejailbreakte iOS-apparaten kunnen patches installeren voordat Apple een bugfix uitbrengt. Ook kunnen ze extra software installeren om hun device veilig te houden. Aan de andere kant is het apparaat inderdaad ook meer vatbaar voor malware. Het is een mes dat aan twee zijden snijdt, dus dan moet je ook die twee zijden toelichten en niet alleen de negatieve kant.

Als je weet wat je doet is een jailbreak geen probleem en raad ik het zeker aan als je je enigszins wilt verdiepen in het hoe en wat. Voor zakelijke gebruikers / apparaten is het af te raden om risico's en problemen te voorkomen.

Edit: woord

[Reactie gewijzigd door Blizz op 23 juli 2024 04:27]

MacD @Blizz • 18 augustus 2015 02:06

En dat is ditto het geval voor Android.

Maar, zoals een security researcher al zei: 'geroot/ge-jailbreakd zijn is alsof je op het internet zit zonder condoom'. Nadat je geroot bent en gedaan hebt wat je wilt (backup/andere rom/build.prop aanpassen om de stagefright bug te dichten/whatever) moet je voor je eigen veiligheid toch echt weer jezelf un-rooten wil je enigszin veilig zijn.

En dat kan dan weer niet op iOS ...

Blokker_1999

Netwerk en systeembeheer
Google

@Verwijderd • 17 augustus 2015 18:58

Ik vermoed dat na stagefright enkele beveiligingsonderzoekers alle code rondom het afspelen van media beter zijn gaan bekijken. Kans is groot dat er door dezelfde groep mensen aan gewerkt word en dat er gelijkaardige fouten te vinden zijn.

Verwijderd 17 augustus 2015 18:46

"De bug is inmiddels gedicht, stelt Trend Micro".

Het originele bericht zegt:
"August 1: The Android Security Team published the fix in AOSP."
"We also recommend that device manufacturers patch their devices regularly"

Dus: gepachted in the Android source code, maar (wederom) onduidelijk wat de fabrikanten en telecomproviders gaan doen. Dus Google kan weer aan de bak om die partijen te overtuigen het te fixen.

Verwijderd @Verwijderd • 17 augustus 2015 18:50

Ik ben er ook bang voor. Toch heb ik wel vraagtekens hoe riskant dit precies is. Je moet immers wel eerst een app installeren die dan dus geen rechten heeft, maar deze verkrijgt via dat de mediaserver, wat eigenlijk niet anders is dan als de app toegang had gevraagd tot de camera en internet en aangezien je op android deze toegang niet kan weigeren als je de app wilt gebruiken accepteert de gemiddelde gebruiker dit toch wel. (bijv. Facebook die toegang wil tot je agenda, toen was de App toch echt van mijn telefoon af)

David Mulder @Verwijderd • 17 augustus 2015 18:58

Klopt inderdaad totaal. Blijft een slechte bug, maar voor de mensen voor wie dit echt uitmaakt dat zijn ook de mensen die niet zomaar apps installeren en hun camera hebben afgeplakt.

Verwijderd @David Mulder • 17 augustus 2015 19:33

Hun camera hebben afgeplakt?

MacD @Verwijderd • 18 augustus 2015 02:08

Echt beveiligde gebouwen/instanties (denk Interpol/NATO etc) mag je niet eens een mobiel met camera het gebouw inbrengen. Minder beveiligde gebouwen kunnen je verplichten de camera af te plakken met een 'tamper-proof' sticker.

CH4OS @Verwijderd • 18 augustus 2015 12:33

nieuws: Justitie adviseert webcams met tape af te plakken

Blokker_1999

Netwerk en systeembeheer
Google

@Verwijderd • 18 augustus 2015 14:53

Op telefoons heb ik het zelf nog niet gezien, maar laptops zie ik regelmatig met iets voor de camera gekleefd.

itsRay @Verwijderd • 17 augustus 2015 19:41

Precies de reden dat ik bij closed source blijf. Ik wil niet afhankelijk zijn van het feit dat ik toevallig een vlotte fabrikant (OEM) heb getroffen bij de aanschaf van mijn toestel wanneer er weer iets gepatched moet worden. Daarom hier geen Android, alleen WP en iOS. My 2 cents.

Blokker_1999

Netwerk en systeembeheer
Google

@itsRay • 18 augustus 2015 14:54

Je kan natuurlijk ook voor een Nexus kiezen, heb je wel snel updates als er eenmaal een patch is.

itsRay @Blokker_1999 • 18 augustus 2015 19:04

Neh, heb daarnaast ook moeite met het verdienmodel van Google ;-)

djunicron 17 augustus 2015 18:53

Dit was toch ook eigenlijk geen bug? Google heeft toch bewust de mediaserver permanent toegang tot "effecten en filters" via de microfoon lopen?
Zo weet je toestel wanneer deze in een auto is (geluid? check, -> controleren via gyro (ben ik broekzakreiziger of zit ik in een houder?) -> naar Fused locatie. Android 4.2 en hoger zijn hiermee effectief gezien wardrivers voor Google, mits je akkoord gaat met hun locatie services.

Dit is allemaal "functionaliteit" die je b.v. bij de Moto X en Nexussen gebruikt ziet worden. (2013) Functionaliteit die er niet uit kan, het zit in de media server inderdaad en dus deels in de locatie service (sinds 2008?) Android toestellen zijn al sinds die tijd "af te luisteren", de mic en gyroscoop staan simpelweg altijd aan. Quallcomm en Samsung hebben deze low power always on functionaliteit (op één meer meerdere sensoren / mics) ook gewoon altijd in hun product specificatie gezet.

En buiten twee bedrijven waarvan ik weet dat ze het gebruiken, net als Google dat doet, zullen er vast nog wel honderden zijn die "afluisteren". En daar wordt inderdaad geen melding van gemaakt als je het netjes bouwt. Maar ook dat is niet nieuw?

MacD @djunicron • 18 augustus 2015 02:14

Gyro, mic en location zijn allemaal features waar je in je manifest toegang toe moet vragen, en die komen dus ook naar voren als je de app installeert die dat wilt gebruiken.

Ennuh, de Moto X (eerste versie) was de eerste die dat daadwerkelijk always-on gebruikte (always on 'ok, Google'). Samsung deed dat niet. En Qualcom is een chip/chipset fabrikant die in meerdere telefoons zit (Snapdragon, in Oppo, OnePlus, HTC en vele, vele andere ... pas sinds kort niet meer in alle Samsungs). En die always on functionaliteit (voor mic/gyro)? Da's een extra low-power chip gemaakt in ... Nederland.

Olympus user 17 augustus 2015 18:57

Ik vraag mij af hoe de banken hier mee omgaan als je rekening geplunderd is.
Je hebt dan vrijwel nooit je software up-to-date zoals ze eisen.

mashell @Olympus user • 18 augustus 2015 09:40

Hang er vanaf. Als Samsung er voor heeft gekozen dat jouw telefoon op Android 2.2 is blijven steken, ben je dan nog up to date? Aan de ene kan wel je gebruikt de laatst voor je mobiele telefoon beschikbare software. Aan de andere kant zijn er nieuwere mogelijk veiligere Androids. Als dit iets is waar je je zorgen om maakt: niet telebankieren vanaf je mobiel. Ik denk dat mijn iOS 8 niet zo veilig is als mijn Windows 7 PCs daarom telebankier ik niet met iOS.

Verwijderd 17 augustus 2015 22:13

De huidige Android updatestrategie begint nu toch wel frustrerende vormen aan te nemen.

Met een eerdere HTC en recenter een Note II en Note IV had ik het Android initiatief stevig omarmd, maar nu voor de Note II zeer waarschijnlijk nooit meer een patch zal uitkomen (waarbij het aantal updates sowieso al op 1 vinger was te tellen) ben ik er wel een beetje klaar mee.

Gisteren rolde er nog een iOS update voor onze oudste iPad binnen en dan begin ik toch dingen te overwegen die ik liever niet zou doen.
Ik zie in de huidige Android patches eerlijk gezegd niet op enige termijn een structurele verbetering komen.
Zo jammer dit.

Ik begrijp best dat updates geld gaan kosten, maar deze tenenkrommende gelatenheid bij fabrikanten draait het Android platvorm geheid de nek om.

MacD @Verwijderd • 18 augustus 2015 02:16

Pfft ... onze oudeset iPad is lang geleden achtergelaten. Als je naar release date kijkt komen Apple en Android vaak gewwon redelijk overeen. Met het pluspunt dat Android altijd handmatig naar het nieuwste geupdate kan worden. Een Samsung SII draait heel erg goed op Lolipop. Probeer eens een iPad 2 op iOS8 of 9 ;-)

Fire69 17 augustus 2015 22:57

De bug is enkel te misbruiken vanuit een app?
Dan heb je voor 99% van de gebruikers deze bug eigenlijk niet nodig, want bij de installatie kan je gewoon aangeven dat je camera en microfoon wil gebruiken, en die 99% zal dat gewoon toestaan omdat ze het toch niet checken...

Verwijderd 18 augustus 2015 08:44

Tijd voor een OpenBSD OS op de telefoon.

swel 17 augustus 2015 19:09

Alle software is zo lek als een mandje. Het is een kwestie van zoeken naar de gaten.
Deze zogenaamde beveiligingsbedrijven richten alleen maar schade aan. Zal me niet verbazen dat iemand ze betaald voor de gespendeerde tijd aan het zoeken van gaten in de software van de concurrent.

RagingPenguin @swel • 17 augustus 2015 19:42

Het is juist goed dat beveiligingsbedrijven zoeken naar de gaten. Software 100% lekvrij maken gaat nooit lukken, maar je kan wel zorgen dat de 'goede' kant lekken sneller dicht als de 'foute' kant ze kan misbruiken.

Al zou een werkende expliot voor bv de Stagefright-bug in handen van scriptkiddies was gevallen zou de schade enorm zijn. Nu worden de bugs gedicht i.p.v. misbruikt. Echte schade ondervind Google niet aan de beveiligingsbedrijven, die bedrijven doen wat Google eigenlijk zelf moet doen.

Hadespuiter @RagingPenguin • 18 augustus 2015 01:27

Een stagefright exploit komt geheid in handen van scriptkiddies en de schade gáát enorm zijn aangezien honderden miljoenen (de wat oudere) toestellen geen fix krijgen.

blorf @swel • 17 augustus 2015 23:41

Gewoon niet een bedrijf de baas laten spelen over je computer scheelt een hoop. Dat is beveiligingslek nr. 1 en gelijk een goeie.

reinier666 17 augustus 2015 18:45

Dus voor 90% van de toestellen gaat het nooit opgelost worden......

himlims_ @reinier666 • 17 augustus 2015 18:46

en 90% van de consumenten boeit dat ook niet; koop wel nieuwe, want is traag ....

Zarhrezz

@himlims_ • 17 augustus 2015 19:43

Tja, behalve dat dat 'gratis' toestel bij een verlenging niet zo nieuw is en dat het dus gewoon kwetsbaar is. We zijn nog een aardig eind verwijderd van de situatie dat Android toestellen die in de winkel liggen veilig zijn omdat ze de laatste versie draaien.

_Thanatos_ @Zarhrezz • 17 augustus 2015 20:17

*laatste versie kunnen draaien

Het probleem ligt bij de onwil van de fabrikanten, niet bij Google. Het is wellicht niet handig dat Android zo versnipperd is, maar dat is nou eenmaal het model.

Ja, ik kijk jou aan, Samsung!

Coumanski @_Thanatos_ • 17 augustus 2015 21:24

En LG, en Sony, en Huawei en al die anderen. Toch? Zowat elke producent van Android-phones heeft een bar slecht trackrecord wanneer het op updates e.d. aankomt.

skatebiker @Coumanski • 17 augustus 2015 22:09

Dat moeten die fabrikanten ook niet doen maar Google.

Als er een bug in Windows zit kun je ook gewoon Windows Update draaien of het nu een HP, Dell of Lenovo laptop is.

Dat moet bij Android ook zo gaan.

Overigens al die lekken zijn mede ernstig omdat alle apps klakkeloos met internet verbinden. Is dat nu echt wel nodig ?

Met een goede firewall kun je al een hoop ellende voorkomen, Ik heb daarom AFWall+ er op. Maar helaas kan dat alleen bij geroote apparaten, dat moet ook eens veranderd worden. Gewoon standaard een firewall er in.

_Thanatos_ @skatebiker • 18 augustus 2015 01:30

Dat moet bij Android ook zo gaan.

Vind jij. Het model van Android is nou eenmaal anders. De fabrikanten zijn daarmee in zee gegaan, en daar hebben ze de consequenties maar gewoon van te slikken.

Natuurlijk kun je Google wel de schuld geven dat ze het zo verzonnen hebben, maar de fabrikanten zijn minstens zo schuldig in dat ze ermee aan de slag zijn gegaan.

_Thanatos_ @Coumanski • 18 augustus 2015 01:28

Klopt, maar ik heb een Samsung. Een hartstikke duur ding, net een jaar oud. Nieuwste update is van een half jaar terug: 4.4.4.

Coumanski @_Thanatos_ • 18 augustus 2015 13:26

aaah OK. Ben je zeker dat er geen nieuwere versie is van je OS? Ik draai zelf 5.0 nu op de Note3. Die is dan toch een stukje ouder dan jouw Samsung.

_Thanatos_ @Coumanski • 19 augustus 2015 13:26

Gister nog aan Samsung gevraagd, en ze willen nog niets zeggen over een Lollipop-update. Dus Marshmellow zal ik wel helemaal op m'n buik kunnen schrijven

Net gecheckt, en de nieuwste versie is 4.4.2 (niet 4.4.4, foutje van mij). De allernieuwste firmware is van november 2014

Dus dat wordt cyanogen... Alleen die ondersteunt deze tablet niet. Aargh! Hoe moeilijk is het nou om gewoon enigsins recente software op een apparaat te krijgen?

Coumanski @_Thanatos_ • 20 augustus 2015 08:42

Meestal heel moeilijk of helemaal niet. Helaas. Ik ga zelf wachten tot eind dit jaar de nieuwe Windows Phones komen. Ben Android nu wel een beetje moe en toe aan iets anders.

_Thanatos_ @Coumanski • 20 augustus 2015 09:48

Horizontaal scrollen ben je denk ik ook vrij snel beu

Coumanski @_Thanatos_ • 21 augustus 2015 07:15

mashell @_Thanatos_ • 18 augustus 2015 09:46

Het probleem ligt bij de onwil van de fabrikanten, niet bij Google

Nee, het probleem juist bij Google. Zij scheiden updates niet van nieuwe features. Daarom moeten fabrikanten bergen werk verzetten (een nieuwe Android porten naar een oud toestel) wat notabene hun business case (het verkopen van nieuwe telefoons) ondermijnt. Dat ze daar niet al te gewillig voor zijn is gewoon logisch. Als Google net als bij Microsoft Windows beveiligingsupdates van nieuwe versies losmaakt en die zelfstandig en los gaat verspreiden is het probleem fatsoenlijk opgelost.

_Thanatos_ @mashell • 19 augustus 2015 13:29

"Net als bij Microsoft Windows" klopt ook niet, omdat Microsoft het hele OS in handen houdt. Fabrikanten mogen alleen wat customizations aan het OS doen in de vorm van kleurtjes en wat apps. Wijzigingen aan het OS mogen niet (of kunnen niet). Dat geldt voor zowel Windows als Windows Phone.

Dus logisch dat Microsoft de updates volledig in handen houdt. Het model dat zij erop nahouden, forceert die controle in de handen van Microsoft. Het model van Google is gewoon anders. Dat is een keuze, en niet per se een slechte. De KEUZE is niet slecht, alleen het gevolg van die keuze, en dat is de onwil van fabrikanten om zelfs maar een (ik noem maar wat) ernstig beveiligingsprobleem te patchen.

mashell @_Thanatos_ • 19 augustus 2015 14:08

Fabrikanten mogen alleen wat customizations aan het OS doen in de vorm van kleurtjes en wat apps

Fabrikanten leveren heel de drivers voor de hardware op Windows. Net als bij Android. De userinterface aanpassingen van Android zijn vaak ook niet veel meer dan een nieuwe launcher, oftewel een applicatie. Daar zit het probleem niet, het probleem zit aan de onderkant, die drivers. En daarom is het een Google probleem want hun architectuur laat geen eenvoudige updates toe. Dat kunnen we Google niet kwalijk nemen want natuurlijk zijn Android (en iOS) minder volwassen en niet zo uitgerijpt dan Windows voor de desktop.

_Thanatos_ @mashell • 23 augustus 2015 17:10

Als het om drivers gaat, moet je het probleem bij de chipmakers neerleggen. Die geven de telefoonmakers gewoon een binaire blob en daar hebben ze het maar mee te doen.

mashell @_Thanatos_ • 23 augustus 2015 23:05

Drivers voor de Soc komen inderdaad vaak van de chipfabrikant. Maar schrijven of integratie van de drivers van het externe flashgeheugen, de camera, het slot voor de geheugenkaart etc. zijn wel het werk van de mobieltjesfabrikant. Als Google nou gewoon netjes updates van nieuwe features scheidt dan hoeft de mobieltjesfabrikant dat allemaal niet telkens opnieuw te doen.

_Thanatos_ @mashell • 24 augustus 2015 21:04

Zo "gewoon" is het schijnbaar niet...

Helsie 17 augustus 2015 18:46

"Hij is inmiddels gedicht."

Houdt het dan ergens verband met de Stagefright bug, die ook net gedicht is?

MacD @Helsie • 18 augustus 2015 02:18

Nee. Ongeveer zelfde framework, andere bug.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (77)

Sorteer op:

Weergave: