Beveiligingsbedrijf maakt bestaan twee bugs in Android bekend

Zimperium heeft het bestaan van twee nieuwe bugs in Android bekendgemaakt. De lekken zitten in het systeem wat mp3-audio- en mp4-video-files verwerkt. De eerste kwetsbaarheid in libutils komt voor in vrijwel 'elk Android-apparaat dat is uitgebracht sinds Android 1.0 in 2008'

De tweede kwetsbaarheid kan de eerste veroorzaken bij apparaten die Android 5.0 of hoger draaien via libstagefright. Dat schrijft Zimperium op zijn blog. Zimperium doopt de bug Stagefright 2.0 aangezien een van de bugs in het Stagefright-videoframework zit, net als de vorige reeks.

Kwaadwillenden kunnen de bugs misbruiken door een Android-gebruiker te verleiden een website te bezoeken met kwaadaardige mp3- of mp4-files. Na het verwerken van de files kan kwaadaardige code uitgevoerd worden. De code is ook te injecteren door op hetzelfde wifi-netwerk te zitten en de code te injecteren door niet-versleuteld netwerkverkeer te onderscheppen. Dan hoeft de hacker het slachtoffer niet te verleiden bepaalde files te openen.

De kwetsbaarheid werkt door de manier waarop metadata uit de file verwerkt wordt, waardoor slechts het previewen van een video of liedje al voldoende is om de code uit te voeren. Alle apps die gebruik maken van de kwetsbare bibliotheken kunnen ervoor zorgen dat kwaadaardige code uitgevoerd wordt.

Het beveiligingsteam van Google is hierover op 15 augustus door Zimperium ingelicht, waarna CVE-2015-6602 werd toegekend aan het libutils-probleem. De libstagefrightbug heeft tot op heden nog geen cve-nummer gekregen door Google. Voor het eerste probleem komt volgende week een fix uit in het Nexus Security Bulletin.

Als de patch beschikbaar is, zal Zimperium zijn Stagefright-detectie-app updaten, zodat Android gebruikers kunnen testen of hun telefoon of tablet nog gevoelig is voor de kwetsbaarheid. De exacte details over de bug zullen de beveiligingsonderzoekers pas vrijgeven als er patches beschikbaar zijn. Eerder schreef Tweakers al een uitgebreid achtergrondartikel bij de eerste Stagefright-bugs.

Reacties (96)

arnova 1 oktober 2015 19:37

Aangezien het vorige lek door de meeste fabrikanten nog niet eens is opgelost, al helemaal niet bij (alle) nog verkrijgbare modellen, heb ik er weinig vertrouwen in dat dat nu wel gaat gebeuren. Ik heb een boel beloftes gehoord van Google, LG en Samsung maar ondertussen zie ik voor bv. mijn telefoon (LG G2 Mini, nog steeds te koop) niks gebeuren. Ik heb zelfs al enige tijd geleden contact gehad met LG hierover en het enige wat men toen kon meedelen is dat er aan een oplossing gewerkt wordt maar wanneer die er komt dat wist men nog niet. Als dit de trend is voor de release cycle van security fixes, dan zie ik het somber in voor de toekomst van Android. 1 van deze lekken hoeft maar 1x grootschalig misbruikt te worden en Google wordt aan de hoogste boom opgeknoopt, lijkt mij. Het is alsof we weer terug zijn in het tijdperk van voor XP toen er nog geen Windowsupdate was, dus dat is maar ca. 15 jaar terug in de tijd...

Voor mijzelf zie ik de kans dat mijn volgende telefoon nog een Android telefoon wordt steeds kleiner worden door dit alles.

xFeverr @arnova • 1 oktober 2015 22:51

Nou voor de G3 is er wel al een update geweest. de stagefright detector zegt dat ik nu safe ben. Nog even geduld...

Maar ik ben het serieus wel met je eens. Dit kan en gaat een keer goed mis, en maanden verder heb je pas de oplossing. Kan niet.

En ik kan me herinneren dat Windows ME ook al automatische Windows update had... Kan dat kloppen?

ITsEZ @xFeverr • 2 oktober 2015 08:38

Natuurlijk zie je ook hier weer het verschil, top model van vorig jaar krijgt een update maar voor veel van de goedkopere modellen zal zo'n update erg lang duren of zelfs helemaal nooit komen. De beveiliging van goedkopere smartphones is schijnbaar mindere prioriteit? Overigens bij ieder merk zo, niet alleen LG natuurlijk.

jqv @xFeverr • 2 oktober 2015 05:00

Niet automotisch aan, maar was wel aan te zetten.
Pas vanaf XP stond deze standaard aan.

ByteBusters @jqv • 2 oktober 2015 11:11

...en werden veel mensen alsnog getroffen door het blaster virus.

xFeverr @jqv • 2 oktober 2015 12:38

Je moest die ook automatisch aanzetten. In de OOBE kreeg je namelijk de vraag of je dit wou

himlims_ 1 oktober 2015 19:00

is dit nu een android ding? of moet de linux desktop gebruiker zich ook zorgen maken?

Q-collective

@himlims_ • 1 oktober 2015 19:07

Dat is inderdaad een terechte vraag. Libutils is een basispakket dat te vinden is in elke distributie. Maar, zou dit het geval zijn, verwacht ik redelijk snel een update. In tegenstelling tot Android zijn updates op de Linux desktop geen enkel probleem.

Hou dus je updates in de gaten

HADES2001 @Q-collective • 1 oktober 2015 20:50

Updates van android zijn ook het probleem niet echt, echter de grote bedrijven die ze moeten uitrollen, Samsung, LG, HTC veel telefoons krijgen eens per jaar is een update

ronaldmathies @HADES2001 • 1 oktober 2015 21:19

Deze zin:

Updates van android zijn ook het probleem niet echt, echter de grote bedrijven die ze moeten uitrollen

Als je het maar vaak genoeg herhaald dan geloof je vanzelf dat het geen probleem is van Android of Google.

Maar het is wel een probleem van Android en Google.. Waarom krijg ik updates van alle operating systemen binnen behalve bij Android? Microsoft kan het toch ook? Linux toch ook? Ook daar wordt er van alles meegeleverd door Dell, HP e.d. Of door de verschillende linux distributies.

Waarom kan Google de spelregels bij Android niet zo maken dat men niet zo ver mag ingrijpen op het operating system dat dit probleem er niet is? Ze hebben alle mogelijkheden om het af te dwingen, doe je het wel dan mag je de Google Apps en Playstore in meeleveren. Ze hebben de mogelijkheden maar ze doen het niet.

Waarom kan Google Android niet zo maken dat ze gewoon updates kunnen uitrollen?

Waarom worden de telefoon makers niet afgedwongen dat ze gewoon updates uitbrengen? bij alle operating systemen is dat normaal, alleen bij Android niet.

djind @ronaldmathies • 1 oktober 2015 21:59

Android is een open source OS. Enkel de apps van Google zelf zijn closed source (Play Store, Gmail etc. etc.)
Fabrikanten hebben de mogelijkheid om te doen wat ze willen en kunnen met de resources.
Touchwiz is een heel mooi voorbeeld van hoe fabrikanten het kunnen overdrijven. Dit is tot (bijna) aan de kern veranderd. Ze hebben veel functionaliteit ingebouwd die een Nexus toestel niet kan draaien. Dit is niet enkel een simpele shell of apk, die ff geïnstalleerd kan worden.
Hoe Android werkt is juist dat ieder fabrikant haar eigen draai kan geven aan de OS, om zichzelf te kunnen onderscheiden. Zo een voordeel en zo een nadeel.

Verwijderd @djind • 1 oktober 2015 22:21

Hoe Android werkt is juist dat ieder fabrikant haar eigen draai kan geven aan de OS, om zichzelf te kunnen onderscheiden. Zo een voordeel en zo een nadeel.

Ik vind het niet zo vanzelf sprekend om dit soort "nadelen" als normaal te accepteren. Ten eerste: Google heeft willens en wetens Android "aan de wolven overgeleverd" , ze hebben namelijk geen enkele voorwaarden gesteld wat betreft security-updates aan de licensie. Ten tweede, ik vind dat fabrikanten verplicht zouden moeten worden security-updates uit te brengen, en niet alleen maar voor de aller nieuwste toestellen.

De consument wordt momenteel gedwongen constant zijn/haar toestel te vernieuwen om updates te krijgen om daarmee enigsinds veilig te blijven. Echter niet iedereen is financieel in staat elke 1-2 jaar een paar honderd Euro uit te geven aan het aller nieuwste toestel. En veel consumenten hebben daar geen zin in ookal hebben ze sowieso wel het geld. Dit staat de ontwikkeling van deze markt in de weg aangezien veel consumenten afhaken. Ik denk dat de EU moet gaan ingrijpen.

N8w8 @Verwijderd • 1 oktober 2015 23:42

Als Google het helemaal voor het zeggen had, hadden ze die voorwaarden wel gesteld.
Maar het lijkt mij dat als ze die voorwaarden hadden gesteld, dan hadden fabrikanten wellicht een ander OS gezocht of geforked, was Android niet zo populair geweest, had Google uiteindelijk nog minder te vertellen.
Maar bij de Nexus lijn speelt dat minder en heeft Google wel meer te vertellen. Maar ook daar stoppen de updates al na 3 jaar, terwijl mijn telefoons tot nu toe meer dan 2x zo lang leven.

Geronimous

@Verwijderd • 2 oktober 2015 12:37

Ik vind dat de verantwoordelijkheid nog veel meer ligt bij de telefoonfabrikant: zij kiezen ervoor om Android te verbouwen tot een eigen product, dan horen zij ook de veiligheid en lekken te patchen. Google kan het in de stock Android patchen, de zet is dan v rvolgens aan bijvoorbeeld Samsung. Ze hebben er zelf ook wat aan gelegen: als blijkt dat Samsung telefoons met hun TouchWiz niet beschermd blijken, terwijl een kwetsbaarheid wel in stock Android is gepatched, dan is dat een flinke smet voor Samsung, en lopen ze zo reputatieschade op bij de consument.
Maar ik begrijp je redenering wel: Samsung draait immers op 'android', voor zover de consument weet. Dus Google krijgt dan ook iets van de klappen mee.

Voor mij was de ervaring met Touchwiz en de tergend langzame en al heen snel bepertke uitrol van updates en upgrades naar nieuwere versies van Android de reden om over te stappen naar een stock Android apparaat (na eerst custom roms te hebben gebruikt).

batjes @djind • 2 oktober 2015 08:18

Linux is ook opensource, daar kunnen fabrikanten best hun eigen draai aangeven (zie Canonical), wordt gewoon fatsoenlijk geüpdatet, en zo niet, backport debian, of switch distro.

Dat is alles behalve een excuus, dit soort problemen was jaren geleden al aan te zien komen.

harry89 @ronaldmathies • 2 oktober 2015 16:10

Bovenstaande kun je eventueel hard maken voor nieuwe toestellen /android releases.
Helaas gaat dat niks opleveren voor de toestellen geleverd tussen 2008 en 2014....

Google is zo groot geworden doordat fabrikanten hun eigen schil mochten blijven ontwikkelen..... Hiermee heeft Google wel het update verhaal uit handen gegeven..

Verwijderd @Q-collective • 3 oktober 2015 08:31

Dat is inderdaad een terechte vraag. Libutils is een basispakket dat te vinden is in elke distributie. Maar, zou dit het geval zijn, verwacht ik redelijk snel een update. In tegenstelling tot Android zijn updates op de Linux desktop geen enkel probleem.

Hou dus je updates in de gaten

Deze hebben niet met elkaar te maken.

De genoemde libutils is een Android "only" libutils.
De Android versie van libutils heet bij hun android-libutils .

Volgens mij n wordt de doot jouw genoemde Libutils niet meer gebruikt. Deze kun je niet meer via de link op de Libutis website downloaden. Kortom is waarschijnlijk dood.
Kan ik niet op mijn openSUSE computers vinden.

Kortom niet Android gebruikers hoeven zich niet ongerust te maken tenzij ze Android-libutils geïnstalleerd hebben. Wat zo ver ik snel kan zien alleen voor Ubuntu bestaat.
In dat geval is het nog maar de vraag of het een probleem is. Als er geen mp3/mp4 file mee afgehandeld worden zal het nog geen probleem zijn.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 15:21]

bbob

Netwerk en systeembeheer
Google

@Q-collective • 1 oktober 2015 20:48

Zoals je aangeeft is dat het grote verschil met linux en goed update beleid, dit in tegenstelling tot het versnipperde android systeem waar de fabrikanten er maar voor moeten zorgen.

Dit: De code is ook te injecteren door op hetzelfde wifi-netwerk te zitten en de code te injecteren door niet-versleuteld netwerkverkeer te onderscheppen.

Moet ik dat lezen als op ieder openbaar wifi netwerk kan je android telefoon dus geïnfecteerd worden door iemand die ook op dat netwerk zit en de juiste tools heeft dat te doen ?

Dreamvoid @himlims_ • 1 oktober 2015 19:52

Het is toch een beetje jammer...op Windows is dertien jaar geleden (!) een vergelijkbare kwetsbaarheid geweest die met corrupted mpeg-headers te exploiten was, en OS X had het vijf jaar geleden met de Quicktime library. Dan zou je toch verwachten dat je als Google (en de rest van de Linux community) extra kritisch gaat kijken naar je eigen, functioneel vergelijkbare, media libraries maar dat lijkt er toch niet op.

Q-collective

@Dreamvoid • 1 oktober 2015 20:14

1. Alle software heeft kwetsbaarheden. Als je gaat zoeken naar de perfecte, bugloze, software, kun je ophouden, want dat bestaat gewoon niet. De vraag is wel hoe je omgaat met dit gegeven en hoe snel dergelijke kwetsbaarheden worden opgelost. De resolution time op de Linux desktop wordt gemeten in dagen, waar dit bij Windows en OS X in weken, maanden of zelfs jaren wordt gesproken. Android heeft hierin een structureel probleem dat inderdaad dient te worden opgelost.

2. Maar er wordt inderdaad geleerd van fouten uit het verleden. Zo is na de heartbleed bug vorig jaar het Core Infrastructure Initiative opgezet waar, precies zoals je zegt, kritisch wordt gekeken naar de software fundamenten waar menig project op rust wel in orde zijn. Voorheen was het in bepaalde gevallen bizar gesteld met het onderhoud van sommige software pakketten, die dan afhankelijk waren van het onderhoud door één vrijwilliger in een spreekwoordelijke bezemkast. Gelukkig is daar verbetering in gekomen.

WhatsappHack

Netwerk en systeembeheer
Google
Beveiliging en antivirus

1 oktober 2015 18:53

Ze zouden eigenlijk dat hele Stagefright eens vanaf scratch opnieuw moeten schrijven.
Eerst was het MMS en MP4, nu MP3. Volgende week AVI of via een png'tje?

Niet dat het 't merendeel van de Android gebruikers kan boeien, dat is wel jammer.
De vraag is echter wel intussen: hoe vaak is het nu in het wild misbruikt? Ik heb nog totaal niet van infecties gehoord, terwijl er dus ruim een miljard devices kwetsbaar zijn, via MMS en via een filmpje op een website in MP4 formaat; en nu ook al in MP3.
What's up with that?

Berlinetta @WhatsappHack • 1 oktober 2015 18:56

Ze zouden eigenlijk dat hele Stagefright eens vanaf scratch opnieuw moeten schrijven.
Eerst was het MMS en MP4, nu MP3. Volgende week AVI of via een png'tje?

Erger nog het zit veel dieper dan het MMS gebeuren.

Ik ken even de bron niet vindne die uitlegt, excuses.

[Reactie gewijzigd door Berlinetta op 28 juli 2024 15:21]

Armin

Netwerk en systeembeheer

@Berlinetta • 1 oktober 2015 22:17

Erger nog het zit veel dieper dan het MMS gebeuren.

Android fans beginnen vaak wel te brullen, maar je ziet hier een fundamenteel probleem van het platform: er is geen compartimentering.

Een bug in een media component kan altijd, maar waarom wordt deze bibliotheek 'altijd' geladen in een context die meteen iemand in staat stelt om allerlei malware te installeren. In de meeste gevallen hoeft de betreffende code enkel in zeer lage context betreft rechten te draaien.

Decoderen, laat staan meta data lezen, hoeft niet in systeem context. (In samenwerking met hardware acceleratie wordt het ietsje ingewikkelder, maar dan nog draait het dramework niet in systeem context.)

Dit is iets waar Google wellsiwaar aan werkt, maar heel veel last heeft van het feit dat Android nooit ontworpen was met security in het achterhoofd. Achteraf security toevoegen is veel lastiger dan het er meteen inbouwen zoals Windows Phone en iOS wel hebben. Die laatste twee OS'en hebben van kernel tot aan app niveau inherent ondersteuning van rechten en afscheiding. Van kernel level via middleware tot aan de app-containers/sandboxen. Als het dan fout gaat - want dat gaat het natuurlijk nog steeds af en toe - zijn de gevolgen niet meteen zo dramatisch.

Verwijderd @Armin • 1 oktober 2015 22:53

Ja ik ben toch al jaren Android fan, maar begin nu toch langzaam te denken om over te stappen op Windows Phone.

Het mag dan zo zijn dat daar minder apps voor zijn, maar in ieder geval kan Microsoft zelf de updates en patches beheren. Dat is volgens mij wat ze ook zullen gaan doen, zeker voor de Lumia toestellen.

Mijn Samsung i9305 (S3 LTE) doet het nog prima, maar naar updates kun je fluiten. Één van de redenen waarom ik er sterk over dacht om een Nexus telefoon te kopen. Maar goed, Google blijft koppig telefoons releasen zonder Micro SD slot, zonder verwijderbare batterij (planned obsoleteness), en ze zijn ook nog zo stom geweest om geen OIS te gebruiken. Tot nu toe heeft nog iedere telefoon waarvan men zegt dat de sensor geweldig is en geen OIS nodig heeft, minder goede prestaties geleverd. Voor de prijs van de Nexus 6p hier in Europa hadden ze met deze geweldige sensor EN OIS een killer camera voor de telefoon kunnen leveren.

Apple is geen optie, ik ben absoluut geen IOS fan.

Nu maar hopen dat de introductie van de Lumia 950 XL volgende week geen grote tegenvaller gaat worden zoals het de laatste jaren met alle Android toestellen lijkt te gaan.

Roel911 @Armin • 2 oktober 2015 00:49

Het van dale woordenboek kent dit woord niet: compartimentering. Gelukkig begrijp ik door de alinea's eronder wel wat je bedoeld. Zou dit het woord van 2015 worden

Armin

Netwerk en systeembeheer

@Roel911 • 2 oktober 2015 02:09

Volledig offtopic, maar zeer waarschijnlijk inderdaad een Anglisisme dat ik onbewust gebruikte.

Het schijnt echter toch al enige tijd te "bestaan" (als Anglisisme dan

):

http://anw.inl.nl/article/compartimentering?lang=nl

Roel911 @Armin • 2 oktober 2015 08:35

Een mens leert ook elke dag wat bij he!

Fijne dag allemaal!

Verwijderd @batjes • 2 oktober 2015 11:51

Windows XP komt niet van ME.

Daarnaast is het gehele OS niet 3x omgebouwd om beveiliging in te bouwen.

Armin

Netwerk en systeembeheer

@Verwijderd • 2 oktober 2015 17:53

Inderdaad, het huidige Windows komt van NT welke van het UNIX VAX komt. Basis security zat daar dus al vanaf het begin in.

Aanvullend is er veel aandacht geweest voor afscheiding van processen. Ten tijde van Vista en Windws 8 is daar twee keer nog een extra laag bovenop gekomen.

Maar ook op gebied van 'exploit migitation' is Microsoft samen met FreeBSD de absolute koploper.

Loller1 @Berlinetta • 1 oktober 2015 19:12

Geen bron voor nodig, Stagefright wordt door enorm veel apps en componenten aangesproken, en iedere aanspreking met kwetsbare formaten is dus een gevaar.

martijnm71 @Loller1 • 1 oktober 2015 20:56

Het is nu 4 (?) weken geleden dat de code voor de eerste stagefright is vrijgegeven en er is mij nog geen enkel geval bekend van dat het die code ergens is misbruikt.

Neemt niet weg dat het fijn zou zijn als er een fix voor zou komen maar denk ook dat juist wij als "nerds" (in de meest positieve manier) als kippen zonder kop moeten gaan rondlopen. En dat zie ik nu links en rechts toch gebeuren.

Storm in een glas water vind ik wat overdreven maar zolang het niet actief misbruikt word is er ook geen reden tot paniek.

WhatsappHack

Netwerk en systeembeheer
Google
Beveiliging en antivirus

@Berlinetta • 1 oktober 2015 18:58

Dat klopt, MMS was gewoon de makkelijkste point of entry omdat dit vanaf afstand kon; zonder interactie met de gebruiker van het toestel.

Floor 1 oktober 2015 19:05

Eigenlijk zouden consumenten zich moeten gaan verenigen en Samsung, Sony, HTC en alle andere major Android gebruikers onder druk moeten zetten dat consumenten ervoor kunnen kiezen om stock-android te kunnen gaan draaien zodat er in ieder geval updates binnen komen. Het is gewoon bizar dat voor Android de updates niet worden doorgezet naar de oudere toestellen.

Hoe zit dat met oude Nexus modellen, worden deze wel nog geupdate?

Q-collective

@Floor • 1 oktober 2015 19:16

De Nexus 4, Nexus 7 (2012) en Nexus 10 krijgen geen upgrade naar Marshmellow. Daarit zou je kunnen concluderen dat Google een grens trekt bij 3 jaar, wat op zich beter is dan de meeste andere fabrikanten.

Fabrikanten hebben geen structureel belang bij het blijven bijwerken van oudere apparatuur. Die hebben belang dat jij elke twee jaar, max, een nieuw toestel koopt. De oplossing ligt hem dan ook niet in het "onder druk" zetten van de fabrikanten, maar in het op de schop nemen van het huidige model van software-ontwikkeling op Android waarbij je drie lagen hebt (Google -> Fabrikant -> Provider) voordat de updates ook echt op je toestel uitkomen. Dit is welbeschouwd een volledig onacceptabel model waar je, ook al wordt je toestel nog ondersteunt, véél te lang moet wachten op de updates.

[Reactie gewijzigd door Q-collective op 28 juli 2024 15:21]

Yamotek @Q-collective • 1 oktober 2015 20:11

Toch nog een schril contrast in vergelijking met MS wat met XP gewoon 10 jaar ondersteuning bood.

3 jaar is zelfs voor de moderne smartphone (waarvan de batterij verwisseld kan worden) gewoon veel te kort. De hardware is nu in een volwassen stadium waarmee een smartphone ook wel 5 jaar mee kan gaan (of langer zelfs).

Maar je hebt volkomen gelijk, ik verwacht dan ook dat Apple nu alleen nog maar meer marktaandeel zal gaan krijgen omdat die hun zaken wel voor elkaar hebben (of iig beter) en dat Microsoft nu echt met een reclame campagne zal moeten komen om Google nog even in de rug te steken, van wij kunnen het wel.

Met dit nieuws er ook weer bij ben ik echt benieuwd met hoe de BB telefoon met Android zal zijn. Zal het op stock android lijken en ze Google updates laten uitbrengen of zal het een ander systeem zijn waarbij er 'Android' bovenop QNX draait waar er dan weer Google services op draaien? In ieder geval, ik ben benieuwd.

REDSD

@Yamotek • 1 oktober 2015 23:29

Het verschil zit hem in dat MS hier alleen de software levert die overal kan draaien.
Opzich doet cyanogenmod en andere android ROM aanbieders ook iets dergelijks, alleen is de support een stuk kleiner.

Mij zou het geweldig lijken, ik koop de hardware en bepaal daarna zelf of ik Android, ubuntu of MS draai op mijn telefoon.

Je telefoon niet meer gebonden aan de fabrikant, betekend dat je net zoals bij je PC/laptop jij zelf kan bepalen wat er op draait.

Verwijderd @Q-collective • 1 oktober 2015 20:11

Het meest bizarre is nog wel dat Samsung investeert in Zimpirium.

Maar geen updates heeft uitgebracht voor zijn toestellen.

kiang

@Q-collective • 2 oktober 2015 00:13

Ze krijgen geen uodate naar Android 6, maar er worden wel verdere maandelijkse security patches uitgebracht, heeft Google gezegd, volgens Ars Technica:

hose gadgets should continue to receive security patches under Google's monthly patch program

Het kan altijd beter, maar een telefoon van 3 jaar oud die niet het nieuwste OS draait, dat is nog zo slecht niet imo.

[Reactie gewijzigd door kiang op 28 juli 2024 15:21]

Roel911 @Q-collective • 2 oktober 2015 00:34

Bij Apple blijkbaar meer dan 4 jaar, 4S is nog steeds ondersteund. Ik heb hem pas een jaar (nieuw). Android op HTC Desire en Sony XPeria gedraaid, maar gaat hem niet worden bij mn volgende toestel. Ben zelf erg benieuwd naar Windows Phone.

[Reactie gewijzigd door Roel911 op 28 juli 2024 15:21]

gekko90 1 oktober 2015 18:55

Deze exploits die nu bekend worden geven wel goed weer hoe belangrijk het wordt om een centraal update systeem te gaan gebruiken voor compleet android
Wanneer je nu een luie Fabrikant kwa support hebt dan loop je gewoon hardstikke veel risico.

met andere woorden: wordt dit langzaam de doodsteek voor android?
het uitblijven van update/support voor non nexus toestellen.

Apple en Microsoft doen dit gelukkig beter.
Tis niet leuk als je toestel langzamer wordt door een nieuwe firmware maar een toestel die zo lek als een mandje is das nog minder cool

oef! @gekko90 • 1 oktober 2015 19:35

Google voert vanaf Marshmallow een melding in die weergeeft dat de betreffende telefoon tot een bepaalde datum veilig is, dit is de datum van de laatste update die het toestel heeft gehad. Het idee is dat het gros van de gebruikers geen benul hebben van de Android versie die ze hebben maar wel begrijpen dat hun toestel (mogelijk) onveilig is vanaf een bepaalde datum. Hiermee hoopt men dat carriers en leveranciers meer werk zullen steken in het updaten van de toestellen.

Een centraal update systeem natuurlijk hartstikke wenselijk maar iedereen met een snars verstand van OS'en zal snappen dat het patchen van al die custom roms van de leveranciers en carriers zoals ze nu bestaan een groot drama wordt. Dat neemt niet weg dat men vast wel vanaf een toekomstige versie een systeem à la Apple/MS kan invoeren. Hierbij zal dan waarschijnlijk het probleem ontstaan dat de carriers/leveranciers pissig worden omdat ze hun eigen rotzooi niet meer op het systeem kunnen installeren. Het is waarschijnlijk naast een technische uitdaging ook nog een grote bedrijfskundige uitdaging.

batjes @oef! • 2 oktober 2015 08:34

Waarom zou de rest van het OS niet gepatched kunnen worden? Zo moeilijk moet het niet zijn om een grafische schil als een soort mod dmv vastgestelde APIs te bouwen.
Ja google kan niet de apps van fabrikanten veilig houden (MS net zo min op windows) maar wel het onderliggend OS.

Het is alles behalve een technische uitdaging, alhoewel ik vermoed dat inderdaad carriers en OEMs hier minder blij mee zullen zijn. Maar keus hebben die toch niet meer.

Verwijderd @oef! • 2 oktober 2015 10:43

Omdat fabrikanten hun werk niet doen kan je de verantwoordelijkheid van ze afnemen door het probleem bij Google te leggen maar op zich is dat net zo'n probleem als Google ook 'lamlendig' is/wordt.

Het probleem is dat er geen consequenties zijn bij nalatigheid. Kortom, fabrikanten moeten financiëel getroffen worden als bekende gevaarlijke problemen niet worden opgelost.

Het wordt tijd dat fabrikanten aansprakelijk voor schade kunnen worden gesteld als zij hun werk niet doen.

CAPSLOCK2000

Beveiliging en antivirus
Netwerk en systeembeheer
Google

1 oktober 2015 19:00

Dit begint echt wel een groot probleem te worden. Zijn we eindelijk af van Windows XP gatenkaas krijgen we dit weer. Ik vrees dat mobiele telefoons een nog veel groter probleem gaan worden dan antieke Windows-versies. Telefoons krijgen namelijk nog minder patches en onderhoud dan computers. Dan was er nog één Windows XP en niet 10.000 varianten op Android. Mensen gaan ook anders om met een telefoon van €150 dan een computer van €1000. We zullen dus nog vele jaren die antieke rommel mee blijven slepen en overlast ondervinden.
Wat dat betreft kan ik haast niet wachten op IPv6-only netwerken omdat de oudste systemen dan niet meer online kunnen. In praktijk zal dat echter nog wel 10 jaar duren en zo lang kunnen we eigenlijk niet wachten.

zvbhvb @CAPSLOCK2000 • 1 oktober 2015 19:27

Dat niet alleen.Smartphones hebben meestal ook geen antivirus/firewall geinstalleerd terwijl het technisch gezien complete computers zijn.

Verwijderd @zvbhvb • 1 oktober 2015 19:37

Daarbij moet wel gezegd worden dat bij zowel Windows Phone als iOS alle apps gecontroleerd worden (althans, zeggen ze, zie het probleem afgelopen week met XCode) en apps draaien in een sandbox (in Windows Phone nog niet gekraakt, andere weet ik niet). Wanneer een gebruiker en programma vrij is als op een computer (Android, Ubuntu Touch, etc) is deze wel nuttig, echter zijn deze vaak alleen bekend met de bekende dingen, vind iets nieuws uit en ze zijn waardeloos.

Dan is er nog een probleem, de firewalls kunnen het geheel slomer maken. Er worden een hele hoop instapmodellen verkocht die niet de snelste zijn, ze worden dan misschien zelfs onbruikbaar.

jeroen7s @Verwijderd • 1 oktober 2015 20:07

euhm kleine opmerking, net zoals op windows phone en iOS worden alle apps die in de play-store staan gecontroleerd door google en draaien android apps ook gewoon in een sandbox, dat er een bug zit in systeemAPI's ofdergelijke heeft hiermee eigenlijk weinig tot niets te maken, en kan net zo goed voorkomen op Windows Phone, iOS als Android

[Reactie gewijzigd door jeroen7s op 28 juli 2024 15:21]

Verwijderd @jeroen7s • 1 oktober 2015 20:46

Alle apps worden bij zowel iOS en Windows Phone eerst binnenste buiten gekeert voordat ze de store inkomen. Bij Google Play komt het soms voor dat een app verwijderd word omdat deze toch schadelijk bleken te zijn omdat Google ze toch niet al te grondig controleert. Het voorkomen van system api leks heeft er wel degelijk mee te maken. Ze hebben namelijk met de beveiliging van het systeem, net als de firewall waar zvbhvb het over had.

Feit is gewoon dat Google (soms) te laks is met het testen van apps in hun eigen store. Leuk dat ze ze verwijderen, maar het had er nooit in mogen komen (net als bij Apple dus met de XCode probleem apps).
Verder heb ik wel eens gelezen dat StageFried als root gebruiker alles mag binnen Android, wat raar is, want het hoeft alleen maar wat mediazaken te regelen, het heeft dus helemaal niks in het OS te zoeken behalve een api-hook in ART en toegang tot grafische chip.

Heeft dit alles ergens mee te maken? Ja, beveiliging, waar het hele artikel ook om draait.

Xieoxer @Verwijderd • 1 oktober 2015 21:18

Het was geen fout van Apple, maar van de app ontwikkelaars. Hun code werd geïnjecteerd met andere code voordat het naar Apple werd verstuurd. De code die erbij is gevoegd bevat geen kwaadaardige code, maar maakte juist gebruik van de basis functionaliteit dat app ontwikkelaars kunnen gebruiken in hun app. Hierdoor kon Apple niet zien of het nou malware was, omdat gewoon basis functies zijn dat ieder app kunt aanspreken. In de toekomst zal Apple waarschijnlijk Xcode controleren voordat een app naar Apple gestuurd kan worden, hierdoor weet je of de gebruiker de juiste versie gebruikt van Xcode gebruikt.

[Reactie gewijzigd door Xieoxer op 28 juli 2024 15:21]

PatrickH89 @Verwijderd • 1 oktober 2015 22:13

Apps voor iOS worden zeker weten niet binnenstebuiten gekeerd voordat ze in de store komen. Er is een acceptatieproces (wat overigens erg lang kan duren), maar het zal me verbazen als het niet een heel kort proces is van een medewerker die er doorheen klikt en een enkele geautomatiseerde test. Zodra je app 'in review' komt kost het heel weinig tijd voordat je een daadwerkelijke beoordeling hebt.

Ik heb bijvoorbeeld ervaring met een app die verkeerd ingeschoten werd bij Apple: volgens de instellingen zou de app iOS7 supporten terwijl deze meteen crashte bij het opstarten. Je raadt het al, de app werd gewoon geaccepteerd.

[Reactie gewijzigd door PatrickH89 op 28 juli 2024 15:21]

jeroen7s @Verwijderd • 1 oktober 2015 21:27

you're not getting the point. ik doelde op het feit dat controle over de app store totaal iets anders is dan een API-tool-lib die door het ganse OS gebruikt word om mediafiles te openen.
en je moet ook niet denken dat apple en microsoft hun apps zo goed doorgronden, zoals de scam-apps van swiftkey in de windows phone store die er maanden in stonden, Windows phone heeft niet eens de mogenlijkheid om je keyboard te vervangen, dan is het toch overduidelijk dat apps genaamd "swiftkey" scam apps zijn, 0.0 screening is daar gebeurt, en ook de chinese malware-Xcode apps zijn er ook door gekomen bij apple, het is niet zo dat apple en microsoft zo veel beter zijn in het screenen van apps, want ook daar komen apps door die niet legit zijn, en die moeten ook verwijdert worden, enkel zijn die niet zo open in public van welke app waarom verwijdert word. persoonlijk ken ik niemand die ooit malware op zijn android heeft gehad door een app van de play-store te downloaden, echter ken ik wel mensen die apps gebruiken die geinfecteerd waren door de XcodeGhost-malware (namelijk 'WeChat' en 'Heroes of Order and Chaos')

Verwijderd @jeroen7s • 1 oktober 2015 21:39

Deze Swift Key apps doen "zich voor" als zijnde een app die ze niet zijn. Ze leveren echter niet in op de privacy en veiligheid van mijn telefoon. Laatst (ergens deze maand, kon het zo gauw niet vinden) is er nog een app hier op tweakers gemeld die je pincode van je telefoon kan veranderen. Dit is nooit en te nimmer gebeurt op iOS of Windows Phone. (als het een losse apk blijkt te zijn, nog steeds kan zo iets niet! Zoiets zou nooit buiten de gebruiker om mogen!)

De problemen bij iOS zijn dat code buiten de developer om is geïnjecteerd die verder gewoon mag volgens iOS, maar de developer weet het niet. Er is voor Apple dus ook niet direct rede tot actie, de code en acties mogen namelijk gewoon, zie reactie boven je. Er is dus wel degelijk screening in alle apps, alleen die van Google is te weinig! (één van de vele beveiligingsproblemen in Android, stagefried is een ander. Ik ben tot het hele screenen gekomen na het opperen van een firewall. Heeft niet direct met het artikel te maken (wel indirect, beveiliging), maar wel als reactie, lees anders het hele draadje eens).

[Reactie gewijzigd door Verwijderd op 28 juli 2024 15:21]

batjes @CAPSLOCK2000 • 2 oktober 2015 08:28

Ik zal je moeten teleurstellen, als het internet overgaat op ipv6 zal amper oude meuk offline halen, het lokale netwerk kan gewoon ipv4 blijven

Kiswum

Google Android

1 oktober 2015 19:04

Het zou mooi zijn geweest als ze de test voor de huidige exploits nu al in de app hadden gezet (desnoods met een benaming die nog niet van Google is gekregen).
Ik merkte de vorige keer dat mijn Xiaomi Mi2 niet vatbaar was. Wellicht is dit toestel momenteel ook niet vatbaar, doordat zij het Android OS grotendeels aanpassen, waardoor de vorige Stagefright exploits niet aanwezig waren in de Miui rom uit juni j.l.

evilBunny @Kiswum • 2 oktober 2015 00:58

Je weet hopelijk wel dat de detectie methode de daadwerkelijke exploit inhoud(zei het met niet destructieve payload). Dus dat als ze het nu al in bouwen en je maar een mineure kennis hebt in het traceren de exploit zo goed als opstraat ligt. Hoe over/underruns gehaald worden is de hele crux. Zou de test ook moeten doen in het geval van binairies. Wat je kan stellen is dat alles wat standard distro android draait(wat die libs betreft) en niet geupdate is vatbaar is.
Een van de problemen van het groot(volwassen) worden is dat je ook veel ongewenste aandacht krijgt op schoonheids foutjes.. (imho is buffer overflow of under een teken dat programeurs te veel high lvl denken en vergeten dat het ook ergens heen moet ookal zeg je daarna nee. Begint met een read() waar geen kloppende ... wat is het 3e param aanmee gegeven wordt en dan maar blijven appenden zonder te kijken of de buffer groot genoeg is tot read 0 returned.)

zvbhvb 1 oktober 2015 19:35

http://kalilinuxtutorials...ght-all-you-need-to-know/

Er is een set van 7 kwetsbaarheden in de stagefright library:

CVE-2015-1538 – Integer Overflow, Remote Code Execution, MP4 Atom
CVE-2015-1539 – Integer Overflow, Remote Code Execution, MP4 Atom
CVE-2015-3824 – Integer Overflow, Remote Code Execution, MP4 Atom
CVE-2015-3826 – Buffer Overread, 3GPP Metadata
CVE-2015-3827 – Integer Overflow, Remote Code Execution, MP4 Atom
CVE-2015-3828 – Integer Underflow, Remote Code Execution, 3GPP
CVE-2015-3829 – Integer Overflow, Remote Code Execution, MP4 Atom

Verwijderd @zvbhvb • 1 oktober 2015 19:47

Nee dat zijn de kwetsbaarheden die all eerder bekent zijn gemaakt en gepatcht zijn door Google.

Download de Stagefright detector app maar van Zimpirium die test nu all op deze 7 lekken of jou telefoon niet kwetsbaar is.
kijk maar

En aangezien ze die app gaan updaten en mijn telefoon tegen deze 7 lekken beschermt is.

Kan je er van uitgaan dat het hier over nieuwe lekken gaan.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 15:21]

P-e-t-j-e 2 oktober 2015 10:28

De code is ook te injecteren door op hetzelfde wifi-netwerk te zitten en de code te injecteren door niet-versleuteld netwerkverkeer te onderscheppen. Dan hoeft de hacker het slachtoffer niet te verleiden bepaalde files te openen.

Dit houdt dus in dat je theoretisch op alle openbare netwerken kwetsbaar bent als een app of jijzelf een verbinding zonder ssl opzet? Er zijn nog wat plekken waar men bij een open netwerk direct verbinding maakt zonder te weten wie het netwerk op heeft gezet. Als ik met mijn laptop in een cafe, luchthaven of willekeurige andere openbare 'wachtruimte' een open wifi netwerk uitzendt heb ik binnen de kortste keren tientallen verbonden clients lijkt me...

[Reactie gewijzigd door P-e-t-j-e op 28 juli 2024 15:21]

zvbhvb @P-e-t-j-e • 2 oktober 2015 12:56

Dus een vpn verbinding gebruiken.Er zijn genoeg vpn aanbieders,ook voor android,ios...

Verwijderd 1 oktober 2015 19:32

Ze zijn goed bezig bij Zimpirium nu nog hopen dat ze hun programma zIPS eens uitbrengen voor particulieren.

Voor de rest betekent dit weer dat ik volgende week mijn nexus weer moet updaten.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 15:21]

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf maakt bestaan twee bugs in Android bekend

Lees meer

Gehackt met één berichtje

Reacties (96)

Lees meer

Gehackt met één berichtje

Reacties (96)

Sorteer op:

Weergave: