Google brengt patches voor 'Stagefright 2.0-lekken' uit

Google heeft in een beveiligingsupdate patches gezet voor 'Stagefright 2.0', twee lekken in Android die aanvallers de mogelijkheid geven in te breken op smartphones. De beveiligingsupdates moeten snel uitkomen voor veel verschillende toestellen.

Google heeft nog geen gevallen gezien waarbij aanvallers misbruik maakten van de lekken, blijkt uit de melding. Beveiligingsbedrijf Zimperium maakte het bestaan van de twee bugs begin oktober bekend. Zimperium doopte de bug Stagefright 2.0 aangezien een van de bugs in het Stagefright-videoframework zit, net als de vorige reeks.

Kwaadwillenden kunnen de bugs misbruiken door een Android-gebruiker te verleiden een website te bezoeken met kwaadaardige mp3- of mp4-files. Na het verwerken van de files kan kwaadaardige code uitgevoerd worden. De code is ook te injecteren door op hetzelfde wifi-netwerk te zitten en de code te injecteren door niet-versleuteld netwerkverkeer te onderscheppen. Dan hoeft de hacker het slachtoffer niet te verleiden bepaalde files te openen.

De patches zitten in de maandelijkse beveiligingsupdate die Google uitbrengt voor Android. De bedoeling is dat fabrikanten de patches snel in eigen beveiligingsupdates stoppen. Onder meer Samsung, LG en HTC hebben beloofd dergelijke updates uit te brengen, al noemde HTC het streven van maandelijkse updates deze week 'onrealistisch'.

Reacties (54)

Vexxon 6 oktober 2015 12:01

Google heeft nog geen gevallen gezien waarbij aanvallers misbruik maakten van de lekken, blijkt uit de melding

Volgens mij klopt dat niet helemaal:

after admitting that they had talked to other security companies and believed that StageFright is now being exploited in the wild.

bron

Henk Poley @Vexxon • 6 oktober 2015 12:25

Dat ging denk ik over de oude gevonden zwaktes. Quote uit nieuwe Security Bulletin:

We have had no reports of active customer exploitation of these newly reported issues

Sharkoon 6 oktober 2015 11:55

Mijn MotoG2014 heeft in het afgelopen jaar nog maar 1 update gehad, van 4.x naar 5.01.. dus ik vermoed dat die patch wel nooit meer zal komen voor 5x.

Ze gaan vast wachten op android 6.

Aurora @Sharkoon • 6 oktober 2015 12:00

You sure, bro?
https://www.droidapp.nl/t...efright-update-uitgerold/
Het gaan dan natuurlijk wel om een patch van de eerste kwetsbaarheden.

Nnoitra

@Aurora • 6 oktober 2015 12:13

Dat was idd de vorige patch.
Ondertussen is Moto wat betreft het uitbrengen van updates alleen maar slecht in het nieuws gekomen:
- Moto E 2015 update naar 5.1 al maanden uit in USA, geen enkele bericht over Europa
- Geen update naar Android 6 voor de Moto E 2015
- Moto G (1st) heeft nog niet overal de 5.1 update gekregen.
- Moto E 2014 heeft nog steeds 4.4.4

En volgens mij heeft de Moto E 2015 de eerste stagefright patch ook nog niet gekregen, terwijl op 8 augustus gemeld is dat ie zou komen
.

Het lijkt haast alsof ze met een dartpijltje bepalen welk toestel een update gaat krijgen, en wanneer.

[Reactie gewijzigd door Nnoitra op 24 juli 2024 23:43]

Ruw ER @Nnoitra • 6 oktober 2015 12:46

Sneu eh. Had begin dit jaar voor mijn vriendin een moto e 2015 gekocht, onder het motto van, ze heeft maar weinig telefoon nodig deze is cheap, krijgt updates, lange accuduur. Ding zelf is echt heel goed voor 128 euro, maar zit nog steeds op 5.0.1 (of 5.0.2). Nooit een update gehad, terwijl motorola versies in de usa al naar 5.1 heeft. Ook nog steeds kwetsbaar voor stagefright 1.0. Zeer slechte zaak, zeker omdat ze riepen hoe belangrijk ze updates vonden. En moto G's hebben dezelfde cpu en gpu! Zou toch niet lastig moeten zijn om de moto e dan ook naar 6.0 te gooien...

GMavak @Nnoitra • 6 oktober 2015 14:07

Moto G 2014 gebruiker hier ook nog steeds geen stagefright patch gehad.

SvMp @Nnoitra • 6 oktober 2015 17:13

Mijn Moto E uit 2014 draait al tijden Cyanogenmod. Goedkope en goed ondersteunde toestellen. Op Motorola hoef ik niet te wachten. Bovendien kun je met een custom rom minimale Google software installeren.

TomAtTweakers @Nnoitra • 6 oktober 2015 18:44

Motorola heeft inderdaad nooit een Stagefright fix uitgegeven voor de Moto E 2015. Ze hebben bij de release acht maanden geleden updates beloofd en vervolgens alleen in een paar landen Android 5.1 uitgebracht om te kunnen zeggen dat ze zich aan hun belofte hebben gehouden. Ondertussen, in de rest van de wereld waar Motorola Android 5.1 niet voor de Moto E 2015 heeft uitgebracht, zitten gebruikers vast aan Android 5.0 en is het toestel wat betreft Stagefright zo lek als een mandje. Dus mocht je zo'n ding in huis hebben, reken er maar niet op dat de updates waar in dit artikel over gesproken wordt ooit op je telefoon verschijnen want Motorola heeft de telefoon na acht maanden gewoon gedumpt.

CH4OS @Sharkoon • 6 oktober 2015 11:58

Als Motorola nog support geeft op die telefoon. Dat Google de patch in de repo zet is natuurlijk mooi, maar betekend niet dat het meegenomen wordt door de fabrikanten in hun firmware (middels een fork).

bbob

Huawei

@CH4OS • 6 oktober 2015 12:01

Tja dat is het android probleem, google doet op papier wel iets, schuift het door naar de fabrikant, die er niets mee doet.
Als android gebruiker zit je dan dus nog te kijken met een lek systeem.

Centrale update is een sleutelwoord maar ja dat is er nog niet en of het er ooit gaat komen. Is het er niet dan heb je dus potentieel een veiligheidsprobleem..

Dreamvoid @bbob • 6 oktober 2015 12:31

Daar kies je in principe voor als je Android kiest. Voordeel is dat je je Moto G kan rooten en (in samenwerking met de community) je eigen patch kan maken en die delen met andere Moto G gebruikers zodat die hem ook kunnen compilen en toepassen, dat is de open source filosofie. Je bent niet afhankelijk van de fabrikant hierin.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 23:43]

XiniX88 @Dreamvoid • 6 oktober 2015 12:40

Niet eens.

Daar kies je voor als je een Android toestel kiest buiten de Nexus reeks. De nexus reeks kregen/krijgen binnen redelijke termijn dergelijke update. Kanttekening is dat de Nexus 7 uit 2012 deze update niet (direct) kreeg.

Verder zijn er fabrikanten die het beter doen en uiteraard ook die steken laten liggen, waaronder, maar niet alleen, Motorola. Daarbij moet ik wel zeggen dat de Moto G vergelijken met bijvoorbeeld een Apple, niet de vergelijken zou moeten zijn. Laatstgenoemde zou je gezien de prijs updates wel verwachten, de Moto G is daarentegen meer budget.

Vergelijk je het dan weer met Windows "mobile" 10, zie je dat het uiteraard ook beter kan, maar ben niet van mening dat Android staat voor slechte security patches.

[Reactie gewijzigd door XiniX88 op 24 juli 2024 23:43]

Dreamvoid @XiniX88 • 6 oktober 2015 12:50

Je hoeft er ook op de Nexus niet 100% van Google laten afhangen - als die stoppen met updates, kan je als community ook gewoon verder. Er staat niets in de weg om een Android 6 voor de Nexus 4, One, S, 10, etc te maken als je voldoende goede developers en testers kan vinden, of je eigen security patches schrijven en die op jouw Nexus device deployen (en delen met de community). Goed, in de praktijk zijn de meeste van die toestellen al oud en al lang afgeschreven, en zijn er niet genoeg gebruikers meer om het de moeite waard te laten zijn, maar het kan wel - dat is de open source gedachte, niet van een ander afhankelijk zijn voor je updates, maar zelf coden met je donder.

arjan1995 @Dreamvoid • 6 oktober 2015 13:06

Als het zo was dat 30% van de bevolking kon coden en 80% wist dat je de firmware kan flashen, dan zou het goed werken. Helaas is dit zo complex dat maar een zeer beperkt aantal mensen dit kan en wil, waardoor het geen goede manier is om updates te verspreiden. Een gewone gebruiker zal echt niet zomaar andere software op zijn telefoon gaan zetten!

GMavak @arjan1995 • 6 oktober 2015 14:06

Daarbij is het ook niet aan de gebruiker om zijn telefoon veilig te maken. Echte patches voor lekken zouden gewoon op iedere device gelijk geïnstalleerd moeten kunnen worden. Hier zal Google toch echt eens iets aan moeten doen.

Dreamvoid @GMavak • 6 oktober 2015 16:48

Niet noodzakelijkerwijs Google - die hebben netjes een patch in de Android repo gecommit. Het is aan de fabrikanten om die geschikt te maken voor hun eigen distro en naar hun clients te pushen - net zoals dat gaat bij andere Linux distributies als RedHat, Ubuntu, etc. Enkel een library patchen betekent niet dat die fix direct overal draait.

Mensen klagen dat Google het allemaal zou moeten doen, maar zo zitten Android (en Linux) niet in elkaar, en dat is al vele jaren zo.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 23:43]

Henk Poley @Sharkoon • 6 oktober 2015 12:32

In principe staat er sinds 10 augustus een gepatchte build klaar. Alleen hebben ze besloten dat pas naar 'retail' telefoons uit te rollen als alle providers in het land hun OK hebben gegeven.

Gallant @Sharkoon • 6 oktober 2015 18:29

Dan hoeven ze niet meer te wachten want Google heeft marshmallow al released. Aangezien Motorola Android nauwelijks pimpt zal Android 6.0 wel snel beschikbaar komen voor jouw toestel.

Mizgala28

LG Nexus
Motorola Nexus
Motorola Nexus 6
LG Nexus 5
Motorola
LG

@Sharkoon • 6 oktober 2015 22:13

IK heb dan de Moto E 2015, heb geen 5.1 (is al maanden uit in de VS) en ook geen Stagefright 1.0 update ondanks de belofte.

Dus 2.0 patch kan ik ook naar fluiten.

ArmEagle

6 oktober 2015 12:31

Sony schiet al niet op met de oude Stagefright bugs te fiksen. Na de eerste patch zijn er nog verschillende van de lekken (volgens de Stagefight Detector app) open. Dus vertrouw ik er niet op dat deze nieuwe lekken snel gedicht gaan worden.

En van de klanten up-to-date houden heeft Sony al helemaal niet gehoord.

[Reactie gewijzigd door ArmEagle op 24 juli 2024 23:43]

tigerfoxy @ArmEagle • 6 oktober 2015 12:45

Welke versie heb je dan? Ik heb de melding "Not vulnerable" namelijk op de experia z3

ArmEagle

@tigerfoxy • 6 oktober 2015 12:52

Mijn Z3 Compact met 5.1.1 is nog vulnerable voor CVE-2015-[3864, 3824, 3829, 3827]. Alleen ok voor 3828, 1538.

Edit: Ik heb in ieder geval één update gehad sinds de Stagefright lekken en nam aan dat daar in ieder geval iets mee was gefixt.

[Reactie gewijzigd door ArmEagle op 24 juli 2024 23:43]

Moi_in_actie

@ArmEagle • 6 oktober 2015 13:58

Dan heb je waarschijnlijk de ..1.200 buiild. Op 1 oktober jongstleden heeft Sony de 1.232 build uitgebracht voor de Xperia Z2 en Z3 devices, zie hier en dit fixt alle Stagefright v1 issues (zie mijn screenshot hier).
Hoe het met de andere toestellen zit weet ik niet, daar heb ik mij niet in verdiept.

ArmEagle

@Moi_in_actie • 6 oktober 2015 14:11

Ik heb inderdaad nog .546. 1 oktober is nog niet zo lang geleden. Dus dat ik 1.232 nog niet heb is acceptabel.

tigerfoxy @ArmEagle • 6 oktober 2015 14:14

Vroige keer zat er bij mij bijna een 2 maanden verschil in

tigerfoxy @Moi_in_actie • 6 oktober 2015 14:06

Ik heb de 1.232 versie! Flash hem altijd zelf aangezien het te lang duurt voor ie een keer via OTA wordt aangeboden. En bij customized NL zit ie zelfs nog op 0.546 en bij kpn ook

Moi_in_actie

@ArmEagle • 6 oktober 2015 12:54

Welk toestel heb je? En heb je soms ook een provider branded toestel? Sony heeft namelijk recentelijk patches uitgerold die toestellen compleet invunerable maakt voor de Stagefright v1 bugs. Mijn unbranded Xperia Z2 is volgens de app van Zimperium nu in orde.

ArmEagle

@Moi_in_actie • 6 oktober 2015 13:19

Dank, zie de andere tak hierboven. Ik heb deze los gekocht en vervolgens met mijn SimOnly gebruikt.

Kiswum

Huawei
Smartphones
Motorola

@ArmEagle • 6 oktober 2015 23:22

Op de Z1c is alles gepatched, de Z3c heeft bij mij echter nog niet alle patches.

Kun je specifieker zijn m.b.t. de toestellen waar je over praat?

ArmEagle

@Kiswum • 7 oktober 2015 12:35

Ook een z3c (zie andere aftakking hierboven).

jick 6 oktober 2015 11:55

Weet iemand of deze fixes al in de laatste (Nexus) images zitten van google? Ik heb gisteren Android 6.0.0 clean geflashed op mijn Nexus 9, zou fijn zijn als het daar al in zit.

EDIT, ja dus, quote uit de in het artikel genoemde bron:

Builds LMY48T or later (such as LMY48W) and Android M with Security Patch Level of October 1, 2015 or later address these issues

[Reactie gewijzigd door jick op 24 juli 2024 23:43]

Aurora @jick • 6 oktober 2015 12:01

Ik zou zeggen, draai de check van de Zimperium app. Dan weet je gelijk of je safe zit.

Henk Poley @Aurora • 6 oktober 2015 12:26

Nee, want die scanner bevat nu nog niet exploit codes voor de nieuw gevonden zwaktes. Dit om 'the baddies' niet op ideeën te brengen.

Daarnaast zijn ook veel van de nieuwe CVEs niet gemeld door Zimperium. Dus, mogelijk dat ze op andermans zaken überhaupt niet gaan checken.

[Reactie gewijzigd door Henk Poley op 24 juli 2024 23:43]

Kiswum

Huawei
Smartphones
Motorola

@Henk Poley • 6 oktober 2015 23:20

Klopt, ik heb mijn toestel zojuist gecontroleerd en ik zie geen nieuwe bemanningen. Tevens is ee geen update van de app.
Mijn toestel is nog steeds "veilig".

-EvoLution- @jick • 6 oktober 2015 11:58

Ja, zo blijkt uit het bericht welke Google heeft gepost.

quote: Google
Builds LMY48T or later (such as LMY48W) and Android M with Security Patch Level of October 1, 2015 or later address these issues.

Bron

CH4OS @jick • 6 oktober 2015 11:59

De patches zijn op 1 oktober gepubliceerd...

Voorwaarde is wel, dat je de laatste Android M build dan installeerd, die je dus na 1 oktober hebt gedownload.

[Reactie gewijzigd door CH4OS op 24 juli 2024 23:43]

Verwijderd 6 oktober 2015 12:25

Updates zijn toch wel de achilleshiel van Android. Als Google en de fabrikanten dit niet gaan verbeteren dan wordt dit nog eens de dood voor Android.

Trommelrem @Verwijderd • 6 oktober 2015 12:30

De fabrikanten worden de dood van Android:

al noemde HTC het streven van maandelijkse updates deze week 'onrealistisch'.

Hoe durven ze zo'n bewering te doen? Microsoft brengt al jarenlang patches uit op de bekende dag. Apple doet hetzelfde. Deze uitspraak klinkt een beetje als "Het is onrealistisch om remblokjes te kunnen leveren aan de klanten die onze auto's kopen. Ze kopen iedere 60.000 km maar een nieuwe auto."

_Arjen_ @Trommelrem • 6 oktober 2015 12:47

Ze doelen hierbij vooral op de medewerking van de providers, zelf kunnen ze het technisch wel.

Trommelrem @_Arjen_ • 6 oktober 2015 12:50

Wat hebben de providers er mee te maken? Lopen de updates over een VLAN? Ik denk dat een certificaat wel voldoende beveiliging is voor het ondertekenen van updates.

curumir @Trommelrem • 6 oktober 2015 13:34

Onder andere in de VS kunnen de providers ook nog een schil op je mobiel zetten. Zowel Google als de fabrikant als de provider moet dan checken of alle software en aanpassingen goed samenwerken met de bugfix. Dat geeft een boel problemen in dit geval. Tel hierbij op dat er heel erg veel verschillende modellen zijn van mobieltjes en dat de marge op heel veel Android toestellen superlaag is en het moge duidelijk zijn dat de drang om hier veel tijd en dus geld in te stoppen laag is.

Het resultaat is helaas dat een heleboel mensen (binnenkort) een erg onveilig mobiel hebben. Waar de eerste stagefright versie nog redelijk beperkt was doordat je mms uit kon zetten etc, lijkt me deze toch echt lastiger te containen zonder patch. Hopelijk voor die miljoenen mensen dat Google een andere manier verzint om ook zonder patch redelijk veilig te zijn.
Een andere rom is een mogelijkheid, maar die lijkt me voor veel mensen niet echt haalbaar.

[Reactie gewijzigd door curumir op 24 juli 2024 23:43]

Trommelrem @curumir • 6 oktober 2015 13:58

Duidelijk. Ik weet nog van het Nokia 3210-tijdperk dat er soms een firmware van de provider op kon zitten. Ik had geen idee dat de providers dat tegenwoordig nog aan durfden, vanwege het extra werk (patches). Blijkbaar durven ze het aan, maar dan moeten ze ook hun verantwoordelijkheid nemen en patches uitbrengen.

_Arjen_ @Trommelrem • 6 oktober 2015 18:35

Het gaat hier voornamelijk over het testen door de providers voor de toestellen, plus dat de providers zelf uitrollen voor de branded toestellen.

Dreamvoid @Trommelrem • 6 oktober 2015 12:52

Zo gaat het in de praktijk ook min of meer, het zijn dan voornamelijk derden dan remblokjes leveren. Bij Android idem dito - root je toestel en patch het zelf.

418O2 6 oktober 2015 12:43

Door dit hele fiasco ben ik blij dat ik CyanogenMod draai. Morgen heb ik de fix in een nightly en hoef ik me er niet meer druk over te maken

arjan1995 @418O2 • 6 oktober 2015 14:15

Dat is zeker mooi, maar 99% van alle gebruikers gaat echt niet dagelijks zijn of haar besturingssysteem updaten!

418O2 @arjan1995 • 6 oktober 2015 14:19

Nee, maar ik denk dat 99% zich er ook niet echt druk over maakt.

Jeweettoch13 6 oktober 2015 12:21

Zijn die patches ook met de hand te installen op rooted devices?

Ik zelf heb de Note 3 rooted, maar wil niet naar 5.xx omdat ik deze dan niet meer kan rooten zonder mn Knox te trippen.

Er zijn hopelijk toch wel meer mogelijkheden om stagefright waterdicht te maken zonder gelijk naar het laatste besturingssysteem te upgraden? Kunnen er bijvoorbeeld niet onderdelen worden uitgeschakeld om dit misbruik tegen te gaan? Hier ben ik wel benieuwd naar...

TweakerTom @Jeweettoch13 • 6 oktober 2015 14:28

Zal vast mogelijk zijn, maar makkelijker is om de libs idd uit te schakelen.
Bekijk op de thread van XDA over het blokken van de lib op de laatste pagina's (vanaf 10).
Zover ik weet de snelste weg zonder os update.
Ik ga ervan uit dat dit ook voor de nieuwe bug werkt, maar moet nog bevestigd worden.

[Reactie gewijzigd door TweakerTom op 24 juli 2024 23:43]

Jeweettoch13 @TweakerTom • 6 oktober 2015 15:36

Super. Ik duik er vanavond even in. Tnx.

SampleUser 6 oktober 2015 12:49

ROM de hier, zijn die patches ook op KitKat of Lollipop te werken? Zijn deze geopensourced bij cyanogenmod?

jeanj 6 oktober 2015 16:16

Ik heb een S3 en nog steeds geen update van het vorige lek. Als ik zoek lijkt deze in de USA wel te zijnn verstrekt aan sprint gebruikers maar echt duidelijk is het niet. Iemand een idee of deze nog komt in de NL op de s3?

hEgelia 6 oktober 2015 17:39

Google neemt netjes hun verantwoordelijkheid om gemelde (en bekende) lekken en kwetsbaarheden te dichten, maar zoals al jaren bekend is Android's achillespees diens fragmentatie onder gebruikte toestellen. De meeste populaire modellen en vlaggenschepen krijgen de updates, inclusief Marshmallow, maar meer dan een miljard midden- en vooral budgetklasse toestellen waarschijnlijk nooit...

Ars Technica heeft overigens een nuttig lijstje gemaakt van bevestigde (en veronderstelde) toestellen die Marshmallow mogen verwachten.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (54)

Sorteer op:

Weergave: