Beveiligingsbedrijf geeft broncode voor Stagefright-exploit vrij

Het bedrijf Zimperium heeft uit de doeken gedaan hoe een van de kwetsbaarheden in de Stagefright-video-engine in Android werkt. Met de broncode voor de exploit kunnen tools gebouwd worden voor misbruik, maar Google is bezig met het uitrollen van een patch.

Op zijn blog heeft beveiligingsonderzoeker Joshua Drake van Zimperium een voorbeeldcode geplaatst om de Stagefright-kwetsbaarheid te misbruiken. Het gaat om de zogenaamde stsc-kwetsbaarheid waaraan de identifier CVE-2015-1538 is gehangen. Zimperium wijst erop dat het slechts een van de mogelijke kwetsbaarheden is, die gezamenlijk te boek staan als de Stagefright-bug, maar is het wel een van de meest kritieke fouten. Met de vrijgegeven broncode is het mogelijk om een exploit te bouwen om de Stagefright-kwetsbaarheid te misbruiken.

De code die is vrijgegeven werkt niet per se op alle Android-toestellen, zo stelt Drake, maar vereist mogelijk enkele kleine aanpassingen. Ook is het mogelijk dat sommige smartphones al gerepareerd zijn door patches die zijn vrijgegeven door Google, waardoor de exploit dus niet langer werkt. Veel toestellen blijven echter kwetsbaar, waardoor het mogelijk is dat hackers de code gebruiken om in te breken bij gebruikers. Met het vrijgeven van de exploit hoopt Drake juist dat ontwikkelaars er iets van leren, onder meer door te testen of hun systeem nog vatbaar is voor de kwetsbaarheid.

Drake had eerder al te kennen gegeven dat hij de exploit vrij zou geven. Dat moest gebeuren op de Black Hat-conferentie. Toen werd echter besloten tot uitstel, om Google meer tijd te geven om de kwetsbaarheid te repareren. De internetgigant bracht eerder al een patch naar buiten, maar een beveiligingsbedrijf wees erop dat deze niet voldoende bescherming bood tegen de Stagefright-bug. In hoeverre er momenteel misbruik wordt gemaakt van de Stagefright-bug is niet bekend.

Stagefright exploit

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 09-09-2015 19:40 106

09-09-2015 • 19:40

106

Lees meer

App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update
App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update Nieuws van 2 december 2016
NorthBit geeft broncode Stagefright Metaphor-exploit voor Android vrij
NorthBit geeft broncode Stagefright Metaphor-exploit voor Android vrij Nieuws van 28 maart 2016
Google brengt patches voor 'Stagefright 2.0-lekken' uit
Google brengt patches voor 'Stagefright 2.0-lekken' uit Nieuws van 6 oktober 2015
Universiteit van Texas ontdekt kwetsbaarheid in lockscreen Android Lollipop
Universiteit van Texas ontdekt kwetsbaarheid in lockscreen Android Lollipop Nieuws van 15 september 2015
Beveiligingsbedrijf ontdekt nieuw beveiligingsprobleem in mediaserver Android
Beveiligingsbedrijf ontdekt nieuw beveiligingsprobleem in mediaserver Android Nieuws van 17 augustus 2015
OnePlus brengt Stagefright-patch uit voor Oxygen OS
OnePlus brengt Stagefright-patch uit voor Oxygen OS Nieuws van 15 augustus 2015
Beveiligingsbedrijf: Android-patch beschermt niet tegen Stagefright-bug
Beveiligingsbedrijf: Android-patch beschermt niet tegen Stagefright-bug Nieuws van 13 augustus 2015
Motorola begint binnenkort met uitrol patch voor Stagefright-bug
Motorola begint binnenkort met uitrol patch voor Stagefright-bug Nieuws van 8 augustus 2015
Google: veel Android-apparaten krijgen snel fix voor Stagefright-bug
Google: veel Android-apparaten krijgen snel fix voor Stagefright-bug Nieuws van 5 augustus 2015
Samsung belooft maandelijkse patches voor smartphones na recent Android-lek
Samsung belooft maandelijkse patches voor smartphones na recent Android-lek Nieuws van 5 augustus 2015
Onderzoeker wacht met vrijgeven exploit voor gevaarlijke Android-bug
Onderzoeker wacht met vrijgeven exploit voor gevaarlijke Android-bug Nieuws van 5 augustus 2015
Lek in video-engine Android maakt apparaten kraken makkelijk - update
Lek in video-engine Android maakt apparaten kraken makkelijk - update Nieuws van 27 juli 2015
Meer producten en artikelen
Netwerk en systeembeheer Google Android

Reacties (106)

-Moderatie-faq
106
102
62
0
0
0
Wijzig sortering
Trommelrem 9 september 2015 20:23
Google heeft bij de ontwikkeling van Android een fundamentele fout gemaakt. Ze zijn er vanuit gegaan dat de OEM's de patches wel zouden regelen. Assumptie is de moeder van alle fuckups. Apple en Microsoft hebben dat toch beter geregeld. Die producten hebben duidelijke roadmaps en ook producten in de extended support worden gewoon voorzien van veiligheidsupdates. Op de lange termijn kan dit best weleens een te groot probleem voor Google worden.

[Reactie gewijzigd door Trommelrem op 23 juli 2024 07:15]

kodak @Trommelrem9 september 2015 23:22
Als we het dan toch over aannamens hebben. Waarop baseer je dat Google de gedachte dat fabrikanten het patchen zouden gaan doorvoeren? Dat je als leverancier van een OS je software aan fabrikanten beschikbaar stelt om aangepaste versies te kunnen maken impliceert nog niet dat er ook patches doorgevoerd zouden worden die lost staan van de branding.
Er is eveneens geen verplichting opgenomen patches te leveren, terwijl de leveranciers wel delen in de winst van Google voor toepassen van android op de devices.
De fundamentele fout lijkt niet de hoop te zijn dat leveranciers patches doorvoeren, maar dat Google in zijn geheel geen rekening lijkt te hebben gehouden met de situatie dat leveranciers geen patches door voeren. Maar zolang het grootste deel van de eindgebruikers niets kan schelen voelt Google en de leveranciers zich ook niet geroepen om daar verandering in te brengen. Ze richten zich vooral op marktaandeel en uitrol van nieuwe devices met android.
batjes @kodak10 september 2015 09:50
Niet opgelet? Want het is pas recent dat Google de moeite neemt een centraal patching systeem te ontwikkeling.

Dit had er vanaf het begin in moeten zitten, een oplossing zoals MS dat met WP gedaan heeft stelt weinig voor. Bij WP ben je ook afhankelijk van je provider.... tenzij je dit zelf niet wilt, elk WP toestel is handmatig te updaten en je kan zonder enige problemen je provider gewoon buitensluiten in het update process......

Waarom kan dit bij Android niet? Dit zijn ontwikkelingen die we in de jaren 80-90 al doorgegaan zijn. Windows 95 had het update process beter voor elkaar dan Android.

Of Google is willens en wetens de OS wereld ingestapt en heeft de update afhankelijkheid bij de OEMs neergedonderd.....
Of Google heeft absoluut geen benul hoe je een OS moet ontwikkelen.

Want het is eigenlijk absurd dat Google fouten maakt die MS en Apple 20 jaar geleden al niet eens durften te maken.....
kodak @batjes10 september 2015 10:53
Of Google is willens en wetens de OS wereld ingestapt en heeft de update afhankelijkheid bij de OEMs neergedonderd.....
Of Google heeft absoluut geen benul hoe je een OS moet ontwikkelen.
Er zitten strategieen achter android. Deze zijn voornamelijk economisch gedreven. Security (risico beheersing) is waardevol als het (in)direct geld zal opleveren. Zolang gebruikers android blijven gebruiken is dat voor Google winst. Zolang leveranciers android blijven toepassen is dat voor Google winst. Als leveranciers android alleen willen toepassen als ze de vrijheid krijgen om zelf te bepalen of ze wel of geen (security)patches uitrollen naar haar klanten dan is de keuze voor Google duidelijk: de leveranciers mogen het zelf bepalen zolang de eindgebruikers maar android blijven gebruiken. En wat blijkt: eindgebruikers blijven android ook gebruiken als ze geen (security) patches krijgen - zolang ze er massaal maar geen last van hebben dat hun device niet werkt / geen nadelen merken.
Vanuit een security perspectief is het absurd om risico te lopen dat stage fright je overkomt als je begaan bent met je device of de data. Maar dat zijn de meeste gebruikers niet. Net zo min als de leveranciers erg begaan zijn met het risico voor haar klanten versus de kosten die het met zich meebrengt om de patches te maken, testen, uit te rollen en support af te handelen. Dat hele laatste rijtje kost ze tot op heden waarschijnlijk veel meer winst dan dat een security driven patchbeleid richting klanten oplevert.
batjes @kodak10 september 2015 11:08
Naar mijn gevoel hangt het een beetje in het midden, Google had bar weinig ervaring met het bouwen van een OS. En het is erg goed te merken dat nu -in 2015- pas Google Android de 21ste eeuw in weet te brengen. Het loopt dieper in het OS echt hopeloos achter op Windows, OSX en Linux. Alhoewel ze met Android 5 de goede weg lijken in te slaan en hopelijk zit Android OS technisch over een versie of 2 ook gewoon goed in elkaar.

Android is hopeloos de wereld ingegooit met "HF ermee" en de fragmentation is nu al groter dan die van Linux met zijn honderduizenden distro's. Google leek absoluut geen verantwoordelijkheid te willen nemen voor Android en heeft dit jarenlang naar de OEMs toegedrukt.

Maar "helaas" heeft Google ondervonden wat Microsoft veel ondervonden heeft. Als er wat mis gaat in het OS, ook al is het overduidelijk de schuld van de OEM, driverbouwer of app ontwikkelaar.... De gebruikers geven Google en MS de schuld.

De OEMs doen er niets aan, die krijgen de schuld niet van de gebruikers. Zolang die er niet op afgerekend worden, zal dat niet veranderen. Google leek naar mijn mening hier een beetje op te gokken, dat gebruikers wel naar Samsung gingen om te klagen over hun OS... En dat deden ze niet, ze gingen naar Google :)
CivLord @Trommelrem10 september 2015 10:26
Ik denk dat Google hoogmoedig heeft gedacht dat beveiligingsproblemen wel mee zouden vallen, en bij het begin van Android nooit serieus heeft nagedacht over een systeem om deze te patchen. Ze zullen gedacht hebben dat er weinig problemen zouden zijn en dat een snelle opeenvolging van versies ervoor zou zorgen dat een eventueel beveiligingslek snel een irrelevant klein aantal toestellen zou raken, waardoor een exploit niet de moeite waard is. Daar hebben ze zich dus schromelijk in vergist.
Ten eerste zijn er meer problemen dan (vermoedelijk) verwacht.
Ten tweede zijn niet alle problemen meteen bekend, waardoor meerdere versies met hetzelfde beveiligingslek zitten.
Ten derde blijven verschillende fabrikanten vooral voor goedkopere (en dus meer verkochte) toestellen oude versies gebruiken nadat er een nieuwe versie uit is, waardoor jarenlang veel toestellen actief zijn met één en dezelfde versie.
kodak @CivLord10 september 2015 11:08
Het gaat voor Google om risicobeheersing. En dan met name financieel. De hoogste mogelijke winst behalen door zo veel mogelijk risico's die dat in de weg staan weg te nemen tegen de laagste kosten. In dat licht valt de gedachte dat ze hoogmoedig over de beveiligingsproblemen zouden zijn al snel weg: google heeft ondanks alle beveiligingsrisico's een aanzienlijk marktaandeel wat substantieel bijdraagt aan de winst van Google. Wellicht dat het ooit hoogmoed zal blijken, maar daar is klaarblijkelijk meer voor nodig dan een groot beveiligingsprobleem als stagefright.
Pikkemans 9 september 2015 20:08
Klanten van T-Mobile hebben een verminderd risico. Dit omdat ze de levering van MMSjes tijdelijk hebben uitgeschakeld. Klanten van T-Mobile krijgen ipv een mms een sms met een linkje naar het MMS bericht (die word gehost door T-Mobile).
CivLord @Pikkemans10 september 2015 10:14
Maar wanneer je via de link in de SMS naar de site met het besmette videobestand gaat ben je alsnog zelf besmet.
Alleen MMS-berichten bekijken van bekenden helpt maar gedeeltelijk want één van de mogelijkheden van verspreiding is juist dat een besmet toestel zonder medeweten van de eigenaar MMS-berichten naar iedereen uit de contactlijst te sturen.
Ikzelf kan me trouwens niet heugen wanneer ik voor het laatst een MMS heb ontvangen of verstuurd.
xFeverr @CivLord10 september 2015 10:41
Je zou ze dan het beste vanaf je computer kunnen bekijken natuurlijk. Bovendien, de exploit wordt niet automatisch ingeladen zonder tussenkomst van de gebruiker en dat was denk ik de belangrijkste reden.
CivLord @xFeverr10 september 2015 10:45
Klopt, maar wanneer je de link in de SMS volgt naar een besmet bestand ben je alsnog de sjaak.
Wanneer je het bericht op je PC wilt bekijken moet je eerst de inhoud van de SMS doormailen en je nieuwsgierigheid kunnen bedwingen totdat je bij je PC kunt.
xFeverr @CivLord10 september 2015 10:49
De procedure is:

1. Je krijgt een sms met daarin een 'pincode' en instructies om naar t-mobile.nl/sms te gaan.
2. Ga op welk device dan ook naar t-mobile.nl/sms en vul je telefoonnummer en gekregen pincode in
klaar.

Het doormailen van je SMS is dan niet nodig (of overdreven) want zo moeilijk is dit natuurlijk niet.

Natuurlijk hebben we daar nog wel een groot gevaar ja: de gebruiker en zijn nieuwsgierigheid. Maar wees eerlijk, nieuwsgierigheid kon altijd al goed fout lopen.
CivLord @xFeverr10 september 2015 10:59
Dat klinkt logischer. Het bericht van Pikkemans waar ik op reageerde heeft het over een link naar de MMS zelf.
Een code in de SMS bevordert het ook dat je op een ander apparaat naar de site gaat, waarna je de code van het scherm van je telefoon overneemt.
Verwijderd @Pikkemans9 september 2015 20:13
Klopt in Duitsland was bij T-Mobile MMS ook uitgeschakeld
Wim-Bart @Pikkemans9 september 2015 21:20
Als dat zo is dan snap ik waarom ik opeens geen MMS meer krijg. Morgen gelijk met T-Mobile bellen om het aan te zetten.
vharten 9 september 2015 20:06
Zou het niet makkelijker zijn om de MMS'jes aan de providerkant te scannen op deze exploit?
SinergyX @vharten9 september 2015 20:09
Dat zou best kunnen, maar zit je weer met privacy op inhoud, extra werk voor je providers (=€) en het lost niets op voor de mensen die bij een provider zitten die niet mee gaat in dit probleem ('ons probleem niet, koop dan gewoon een iPhone, wij hebben nu een leuke aanbieding').
leuk_he @vharten11 september 2015 10:27
Er zijn meer manieren om deze exploit te misbruiken. Naast hangouts kan het denk ik in alle video content zitten. :(
rodie83 9 september 2015 19:48
Het zal mij benieuwen wie er gebruik van gaat maken, als ik crimineel was zou ik 't namelijk wel weten. Een enorme sloot aan telefoons die nog niet gepatched zijn of dat nooit gaan worden (wereldwijd) en een voor zover ik heb begrepen een makkelijke aanval om te maken en verspreiden. Ticks all the boxes voor een internetcrimineel...

- grote doelgroep
- zeer kleine kans dat die doelgroep snel kleiner zal worden, lang plezier van dezelfde hack
- (relatief) makkelijk te maken hack
- er is zeer veel geld mee te verdienen verkrijgen

Nee, mijn gevoel zegt dat dit nog lang niet het laatste is was we van Stagefright kunnen verwachten. Helaas.

Gelukkig zegt Zimperium's app dat de gepubliceerde code (m.b.t. CVE-2015-1538) niet zal werken op mijn telefoon (S6), want is schijnbaar gepatched :)

[Reactie gewijzigd door rodie83 op 23 juli 2024 07:15]

WhatsappHack
@rodie839 september 2015 19:51
Klopt.
De enige redding is eigenlijk dat mensen MMS kunnen uitschakelen, en alternatieven kunnen scannen op code; dat verhoogt de veiligheid toch enigszins... Ware het niet dat het ook via MP4 filmpjes op websites geexploit kan worden, maarja... Hopelijk kunnen de browsers daar weer wat tegen doen.

Linksom of rechtsom zal er hopelijk veel preventieve maatregelen genomen worden, maar er zal inderdaad altijd een behoorlijk deel kwetsbaar blijven. ;(
Veel mensen weten niet eens van het bestaan af en doen er laconiek over, het grootste probleem dat er is.
bbob
@WhatsappHack9 september 2015 19:54
Probleem is de kern van het hele android systeem. Het is verstrooid, geen controle op versies van bovenaf. Fabrikanten die nog steeds oude versies op nieuwe telefoons en tablets aanbieden.

Als de bug echt op grote schaal misbruikt kan worden kan android wel eens hele rake klappen krijgen.
Verwijderd @bbob9 september 2015 21:44
Het probleem is niet android. Het probleem ligt bij de fabrikanten die ervoor zorgen dat je niks kan updaten zonder hun zegen. Als ze nou gewoon AOSP + skin en apps leveren dan kon je gewoon android updaten zonder gedoe. Maar nee, moet gewoon een custom Android op met allemaal bloatware en services die mensen helemaal niet willen.
bbob
@Verwijderd9 september 2015 22:12
Zo kun je het ook zien echter google heeft android op die manier in de markt gezet dat de verantwoordelijkheid bij de fabrikant ligt. Ze wisten natuurlijk heel goed dat die alleen maar hardware wilden verkopen en android verkoopt goed.
De meeste fabrikanten investeren niet in android en het up to date houden.

Dus ja de fabrikant is verantwoordelijk maar nee google heeft een systeem gemaakt waarin dit ook mogelijk is. Google komt er nu echter misschien te laat achter dat het met updaten niet lekker loopt en uiteindelijk is android google en zal google er op worden afgerekend als een telefoon ineens misbruikt kan worden.
toonp @bbob9 september 2015 23:35
Ik ben het niet met deze redenering eens.
Op zich is het mooi dat Google het systeem open heeft gemaakt.
Als fabrikanten Android vervolgens customizen voor hun producten, dan
nemen ze daarmee automatisch ook de verantwoordelijkheid op zich
om zelf updates en fixes beschikbaar te stellen.
De grote schuldigen zijn hier echt de fabrikanten, niet Google.
harry89 @toonp10 september 2015 00:26
Ik ben het niet met deze redenering eens.
Op zich is het mooi dat Google het systeem open heeft gemaakt.
Wat bedoel je met mooi?
Er is maar een reden dat google dit heeft gedaan en dat is om zo snel mogelijk markt te maken en zoveel mogelijk toestellen te verkopen.
Als fabrikanten Android vervolgens customizen voor hun producten, dan
nemen ze daarmee automatisch ook de verantwoordelijkheid op zich
om zelf updates en fixes beschikbaar te stellen.
Voor hoelang? Deze bug zit er al een tijdje in...2.3 heeft hem al meen ik
De grote schuldigen zijn hier echt de fabrikanten, niet Google.
Google heeft met haar gratis os (ondertussen met wurg greep van de google play store en de asop tools) de bal hiermee juridisch bij de fabrikanten neergelegd aangezien google praktisch niks verkoopt.

Je kunt dus vinden dat er dus niks is aan te merken op google en de manier waarop ze Android in de markt hebben gezet. Zelf ben ik van mening dat je dan wel erg grote oogkleppen op hebt.


Zelf denk ik, dat google met de informatie van nu, Android wederom zo in de markt zouden zetten. Het aantal klanten wat het heeft opgeleverd weegt namelijk ruim op tegen eventuele imago schade die android hierdoor op kan lopen. En die imago schade zou aanzienlijk kunnen zijn als die stagefright bug actief gaat worden uitgebuit.... Ik ben benieuwd!
bbob
@toonp10 september 2015 08:41
Als fabrikanten het customizen is iets wat google heeft ingebouwd en toestaat.

Simpele vergelijking windows in zijn huidige vorm is windows, niets customizen, updates centraal door MS, probleem qua updates opgelost.
batjes @toonp10 september 2015 09:44
Uhm, Google laat het schrijven van (o.a.) de CPU drivers ook over aan fabrikanten. Is niet alleen het customizen, om Android soepel te laten draaien op hun systemen mogen de OEMs lekker zelf uit zoeken hoe ze dit voor elkaar krijgen.

In andere OSen worden dit soort basale dingen door de OS leverancier geregeld.

Het customizen is niet direct het probleem, dit is slechts een schil/shel over het geheel, de onderliggende drivers zijn een wat groter probleem wat testen nodig heeft, wat veel geld, tijd en moeite kost....
HansvDr @WhatsappHack9 september 2015 19:55
De nieuwe browsers misschien.... Maar ja, die komt volgens mij ook niet automatisch
WhatsappHack
@HansvDr9 september 2015 21:45
Nee, die vereisen een update vanuit de Play Store.
Lijkt me een kleine moeite en veel mensen updaten gelukkig hun apps wel als daar een melding voor verschijnt. :)

Ik hoop eigenlijk dat Google gewoon de patch gaat forceren, gezien het onderliggende systeem in elk toestel hetzelfde is.
HansvDr @WhatsappHack9 september 2015 23:13
Ik had een stock browser op een Android 4 toestel die enkel een update kon krijgen via een update van Android, niet via de Play store
leuk_he 9 september 2015 23:56
Heeft nou niemand een of andere generieke pathc bedacht? Het is toch niet zo dat al die 742 android varianten allemaal unieke stagefright libraries hebben? en het zou toch mogelijkmoeten zijn die met een sooft diff proces te patchen?
EpicEraser @leuk_he10 september 2015 10:00
Oh, maar het is helemaal niet moeilijk om te patchen. Patches mergen, bouwen, een keer testen, update uitrollen.
Het grote probleem is dat dit moet gebeuren, en Google kan dit niet regelen. De fabrikanten moeten dit doen en die hebben er geen zin in want vanuit hun perspectief zijn de meeste telefoons die momenteel gebruikt worden niet meer supported.
leuk_he @EpicEraser10 september 2015 13:54
De fabrikanten moeten dit doen en die hebben er geen zin in
"moeten".. Ik heb dus zo'n telefoon waar ik op mijn vingers kan natellen dat dit niet gaat gebeuren. (net als 95% van de tweakers). Is er niemand die een custom patch die wat generieker is kan uitrollen? Ja, hobby werk.... maar o zo essentieel....
EpicEraser @leuk_he10 september 2015 22:53
Het probleem is dat alleen de leverancier fatsoenlijk een build kan maken, of in elk geval eentje die naar je telefoon geflashed kan worden zonder hem te unlocken.
Een alternatief is een simpele binary die je er (dmv root access) misschien in kunt stoppen, maar dit is ook lastig. Er zijn verschillende versies van stagefright (net zoals er verschillende versies van Android zijn om rekening mee te houden). Maar deze versies kunnen ook nog eens verschillen per device. Je zou een handmatige build van je vendor-versie van Android moeten doen... Klinkt vrij onwaarschijnlijk.

Wat je wel kunt doen is gewoon een custom ROM erop mikken (als die bestaat). In Cyanogenmod is het al een tijdje gefixed (met een snapshot release begin deze maand).

Een slimme hacker zou het misschien voor elkaar kunnen krijgen om een aantal van de patches min of meer in de binary te hacken... Lijkt me erg veel moeite (zeker omdat er sprake is van ~10 verschillende exploits) maar als het lukt zul je er misschien wel een leuk centje mee kunnen verdienen.
sambalbaj 9 september 2015 21:08
Tsja hoe moeilijk kan het zijn? Verplichte update via de Playstore en je omzeilt die losse fabrikanten. Google zou zo veel vaker moeten patchen en de fabrikanten passen hun eigen schil er maar op aan.
halofreak1990 @sambalbaj9 september 2015 21:45
Ik denk alleen niet dat je via de Play Store zomaar even het onderliggende OS kunt patchen, en laat dat nu juist de plaats zijn waar deze bug zich bevindt.
raro007 9 september 2015 21:17
Mijn asus tablet is gisteren gepatched en ben voor CVE-2015-1538 veilig.
Maar als ik als ik stagefright detector run dan geeft hij dat ik CVE-2015:-P-3864 nog open heb of valt die niet onder kritiek gat?
Loller1 @raro0079 september 2015 22:40
Dat is eenzelfde gat, maar dan met een andere exploit. Dus nee, je bent nog steeds kwetsbaar.
kodak 10 september 2015 11:20
Blijf het toch een bijzondere situatie vinden: een beveiligingsbedrijf dat winst probeert te maken door miljoenen eindgebruikers op te zadelen met het risico van publiek uitgegeven exploit code.

Kennelijk gokt het bedrijf er op dat het roepen dat het heel ernstig is meer geld oplevert dan dat het ze kost om zich te verantwoorden voor het vrijgeven van deze exploit code.

Hoe gewetensvol ben je als bedrijf als je een zo makkelijk uit te buiten kwetsbaarheid met vergaande gevolgen voor de eindgebruiker publiek bekend maakt om zelf meer winst te maken? Ben je dan met beveiliging bezig of is het je vooral om de aandacht en winst te doen?
harry89 @kodak11 september 2015 20:01
Of een google, die dit al een half jaar weet en er niks aan doet. (Te weinig iig)
Verwijderd 9 september 2015 19:46
Ik ken Zimperium door Zanti2 en weet dat hun alles doen op het gebied van sectools. Ik heb bewondering voor hun expertise op het Android vlak. Ben benieuwd hoe deze exploit aangepakt gaat worden.
Verwijderd @Verwijderd9 september 2015 21:12
Ik ken Zimperium door Zanti2 en weet dat hun alles doen op het gebied van sectools. Ik heb bewondering voor hun expertise op het Android vlak. Ben benieuwd hoe deze exploit aangepakt gaat worden.
En je vind het niet misslijk dat ze door het vrijgeven het enorm gemakkelijk maken voor criminelen om iets kwaads te doen? De enige reden waarom ze dit vrijgeven is om bekender te worden(over de ruggen van miljoenen gebruikers die er gewoon niets aan kunnen doen)) want verder is er simpelweg geen goede reden.

Deze exploit zal voor een deel van de gebruikers gewoon niet 'aangepakt' worden. Half Afrika, Midden Oosten en Azie zit met telefoons waarvan we allemaal weten dat die niet gepatched zullen worden. Die zijn dus gewoon de lul.

Laat me raden, jouw telefoon is al gepatched?
Verwijderd @Verwijderd9 september 2015 21:24
Hoe kan je in hemelsnaam roepen dat ik het goedkeur dar hun zomaar iets vrijgaven dat door hackers 123 opgepikt kan worden??

Ik weet dat ze hun exploits eerst doorgaans aan de software fabrikant melden voor openbaring.

En openbaar maken is een voordeel zodat jij en ik b.v praten over deze exploit en ze deze nu wel moeten dichten.

En je opmerking in de zin van laat me raden jou telefoon is al gepatched?? Laat me niet lachen! Ik maak analyses voor mijn werk dus ik hoop juist dat ik getroffen word!!!
Vexxon @Verwijderd9 september 2015 23:52
En je vind het niet misslijk dat ze door het vrijgeven het enorm gemakkelijk maken voor criminelen om iets kwaads te doen?
En vind jij het niet misselijk dat Google en de fabrikanten hun klanten al jaren in de kou laten staan als het aankomt op updates en de veiligheid van hun klanten terwijl ze een duur toestel gekocht hebben en ondertussen bakken met geld verdienen aan hun gegevens?
En Google ondertussen zichzelf op de borst kloppen wanneer ze zelf de beveilingsissues openbaar maken in andermans software en wanneer er in hun eigen OS een gat zit ze te weinig ondernemen om hun miljoenen klanten te helpen?
Deze exploit zal voor een deel van de gebruikers gewoon niet 'aangepakt' worden. Half Afrika, Midden Oosten en Azie zit met telefoons waarvan we allemaal weten dat die niet gepatched zullen worden. Die zijn dus gewoon de lul.
Uiteindelijk is de reden dat Google beveilingsissues in andere softwarepakketten openbaar maakt nog wel goed te noemen. Het zorgt ervoor dat consumenten op de hoogte zijn hoe de bedrijven met die issues omgaan. Bedrijven hebben 3 maanden om het op te lossen en dat is toch best veel. Nu weten consumenten tenminste dat het gebruik van Android wat risico met zich meebrengt, het duurt simpelweg veel te lang voordat gat gedicht kan worden ook al is het lek eigenlijk al gefixed. Het helpt de consumenten bij het maken van een keuze in de toekomst. Koop een toestel van een platform wat wel verzekerd is van updates.
Verwijderd 9 september 2015 20:03
De media heeft grotendeels gericht op de MMS aanval methode, maar zelfs MP4 video's ingebed in webpagina's of apps kan je telefoon in gevaar brengen en Android staat niet alleen. Kijk maar eens naar ios waarvan bepaald problemen nog steeds niet zijn afgeschermd. Ik heb het niet over iphones die gejailbreaked zijn.


Het is wel jammer dat een Miljard toestellen moeten wachten op een update van de fabrikant en dat te bedenken dat de meeste gebruikers geen update zullen ontvangen in de toekomst, want dat kost geld voor de fabrikant.

BlackBerry had binnen 3 dagen een update voor Android runtime en online gezet voor stagefright .

De mensen die daar geen gebruik van hebben gemaakt krijgen met de laatste update 10.3.2 voor Android Apps bescherming. Het kan wel en daarnaast heeft BlackBerry 10 al 3 jaar geen malware.

Sterkte nu voor Android gebruikers nu de code is vrij gegeven.

https://www.youtube.com/watch?v=g8RT9EawJGo

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:15]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq