Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Het IsraŽlische securitybedrijf NorthBit heeft de broncode van zijn Stagefright Metaphor-exploit vrijgegeven. Deze is standaard alleen van toepassing op de Google Nexus 5 maar kan ook aangepast worden om zich ook op andere toestellen te richten.

NorthBit-ceo Gil Dabah maakt de publicatie bekend via Twitter. Het bedrijf heeft de bestanden gehost op GitHub. Hoewel de exploit dus direct ingezet kan worden tegen Nexus 5-toestellen die bijvoorbeeld Android 5.1 draaien, stelt NorthBit in zijn paper dat het aanpassen van de exploit om andere toestellen te treffen slechts een kwestie is van lookup tables opstellen per Android-rom. "Het aanpassen van de exploit is een 'oefening voor de lezer'. Ik heb er zelf nog niet mee gespeeld, maar het porten ziet er simpel uit," stelt NorthBit-cto Zuk Avraham. In het onderzoeksrapport over Metaphor bestempelde het bedrijf de exploit al als "praktisch en uitvoerbaar". Het is dus nu mogelijk dat een kwaadwillende een website opzet die Metaphor gebruikt en toepasbaar is op een groot aantal verschillende toestellen.

Android-versies 2.2 tot en met 4.0 en 5.0 & 5.1 zijn kwetsbaar voor de Stagefright Metaphor-exploit. Wereldwijd zou dat neerkomen op 275 miljoen Android-toestellen. Volgens cijfers van cyberbeveiligingsbedrijf Zimperium zou meer dan de helft van de Android-toestellen in Nederland nog kwetsbaar zijn voor de exploit, die de bestempeling CVE-2015-3864 krijgt van Google. Opvallend is dat Metaphor zelfs de address space layout randomzation, of aslr, op Android 5.0 & 5.1 weet te verslaan. Die is er juist voor bedoeld om een dergelijke buffer overflow te voorkomen. Toestellen met een security patch level van 1 oktober 2015 of later vallen buiten schot, aldus Google in een reactie tegenover Ars Technica.

Gebruikers moeten bij Metaphor overtuigd worden om een website te bezoeken die met geïnfecteerde mp4-bestanden gewapend is. Deze bestanden hoeven niet eens door de gebruiker geopend te worden; parsing door de browser is genoeg. Als de gebruiker lang genoeg op de website blijft, kan de aanvaller via remote code execution en privilege escalation volledige controle over het toestel krijgen.

De Stagefright-kwetsbaarheid in Android werd in juli 2015 wereldkundig gemaakt door Zimperium. Hoewel deze kwetsbaarheid op verschillende manieren uitgebuit kan worden door een hacker, waren deze manieren veelal moeilijk, onpraktisch en dus onbetrouwbaar. NorthBit claimt met Metaphor een betrouwbare nieuwe manier te hebben ontwikkeld om Stagefright uit te buiten.

Het dichten van dergelijke beveiligingsgaten heeft veel voeten in de aarde. Hoewel Google de nodige fixes kan ontwikkelen voor lekken als deze, is het uiteindelijk aan de fabrikanten van de talloze verschillende Android-smartphones zelf om deze te integreren in en distribueren voor hun eigen toestellen. In veel gevallen duurt het lang voordat de updates uiteindelijk toestellen bereiken, of krijgen de toestellen de updates helemaal niet omdat het niet rendabel genoeg is om oudere toestellen te blijven updaten.

De proof of concept van NorthBit op een Nexus 5 met Android 5.0.1

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (64)

Gelukkig zijn de Samsung Galaxy Tab S2 en de Sony Xperia Z3 niet kwetsbaar voor deze nieuwe dreiging. Beide apparaten draaien op een gepatchte versie van Lollipop.

Heb ik het nou goed begrepen dat Google van plan is om zonder tussenkomst van fabrikanten dit soort gaten te willen dichten vanaf Android N? Wat Google eigenlijk nu ook al doet met de Google Play Services non-optionele updates, maar dan uitgebreider?
Heb ik het nou goed begrepen dat Google van plan is om zonder tussenkomst van fabrikanten dit soort gaten te willen dichten vanaf Android N? Wat Google eigenlijk nu ook al doet met de Google Play Services non-optionele updates, maar dan uitgebreider?
Google doet het al vanaf Marshmellow als ik me goed herinner, via Google Play Services.
Ze zijn bezig om weer iets meer controle over hun OS terug te krijgen, maar dat laat ierdereen met oudere versies in de koude staan. En als ik zie dat nieuwe toestellen uitkomen met 5.0.1 is dat niet iets om blij van te worden.
Zolang het een gepatchte versie is, is het niet zo'n ramp. Probleem is dat het voor de eindgebruikers lastig te verifiŽren is, ik zie hier al veel Tweakers zich blindstaren op versienummers van roms en kernels terwijl dat niet zegt of het wel of niet gepatcht is. Hier mag m.i. een duidelijker oplossing voor komen.
Samsung heeft gewoon een weergave van de geÔnstalleerde Security patch. Bij mij staat er November 2015. Gaat om een Galaxy s5
Vreemd dat jouw S5 de November patch heeft. Mijn S5 heeft de Maart 2016 patch. Al geprobeerd de update te forceren?
Heeft eerder met "custom roms" te maken dan officiŽle roms. Dan zoek je het zelf op natuurlijk.

1. Fabrikanten
2. Google
3. Providers
Zijn verantwoordelijk voor de patches. Als de fabrikant het niet doorvoert binnen enkele dagen week na de aankondiging van een gevaarlijke bug. Moet Google het binnen een week doorvoeren. Gebeurt dat niet dan backup provider binnen enkele dagen. Zonder gedoe van Europese wetgeving dat het jaren duurt.

Helaas gebeurt dit niet. En gaan mensen over op custom roms.
Heb ik het nou goed begrepen dat Google van plan is om zonder tussenkomst van fabrikanten dit soort gaten te willen dichten vanaf Android N?
Dat mag ik hopen, aangezien fabrikanten het regelmatig af laten weten. En anders de providers wel vreselijk traag zijn met het verspreiden van updates...
Wel om (soms) begrijpelijke redenen, maar tegelijkertijd heb ik een stuk minder begrip als mensen onnodig risico's lopen: als er patches en/of updates zijn om vulnerabilities te dichten moeten die ook beschikbaar gesteld worden!
begrijpelijke reden? Genoeg toestellen krijgen niet eens gedurende je contractperiode updates wrgens lijkt er een groot gat in Europese garantie regels maar niemand doet er wat mee
Daarom zei ik ook: (soms) begrijpelijke redenen... Daarmee zeg ik niet dat het altijd begrijpelijk is, de ondersteuning door Samsung vind ik bijvoorbeeld dramatisch :(
Als ťťn van de grootste Android fabrikanten zou je inderdaad meer van Samsung verwachten, zij beloven dan ook al een hele tijd verbetering maar echt veel is er niet van te merken.

Er zijn daar in tegen wel steeds meer bedrijven die zich er steeds meer bewust worden van het valende (update) eco-systeem van Android die een BYOD policy voeren en Android steeds vaker weren van het bedrijfsnetwerk tenzij aangetoond wordt dat het apparaat tenminste stagefright vrij is. Mijn opdrachtgever is er daar ťťn van.

Overigens ben ik ookal ťťn bedrijf tegen gekomen die Android bij default weigerd, omdat zij geen zin hebben tijd te steken in de controlles op Stagefright.

@ManchurianC inderdaad. :)

[Reactie gewijzigd door _Dune_ op 28 maart 2016 18:37]

Mijn s4 heeft de security patches van december 2015 nog (officiŽle ROM) en de S5 ontvangt binnenkort de update naar Marshmallow. Samsung doet het wat betreft de S-lijn nog niet eens zo slecht.

[Reactie gewijzigd door oef! op 28 maart 2016 19:14]

Daar ben ik het niet echt mee eens. Het geval Stagefright was al in mei 2015 bekend bij Google en fabrikanten zoals Samsung, maar pas laat in 2015 werden toestellen van Samsung als de S5 en S6 gepatched, terwijl de patch door Google allang was uitgegeven naar oem-fabrikanten. Dat duurt veel en veel te lang. Met als resultaat dat bedrijven Android toestellen steeds meer gaan weren.

Men heeft het altijd over het "goede" eco-systeem van Google/Android als het op apps aankomt, maar het eco-systeem wat betreft updates is verweg het slechts van de drie (Google, Apple en Microsoft).

[Reactie gewijzigd door _Dune_ op 28 maart 2016 20:43]

De eerste patch van Google loste de kwetsbaarheid niet (geheel) op. De oplossing kwam pas in september 2015. Heeft daarna toch nog wel tot februari 2016 geduurd voor mijn telefoon (Moto G 4G op 5.1) de update kreeg.
Mijn S4 mini doet het al jaren zonder updates. Er zo een update naar 5 komen, maar die komt niet door de QA, dus laten ze het bij 4.4. Begrijpelijk natuurlijk, maar bugfixes kan je gewoon backporten en dat doen ze niet.
Je bedoelt BYOD?
Contractperiode en device life cycle lijken me los te staan van elkaar.
Dit was natuurlijk een kwestie van tijd, elk platform heeft vroeger of later een kritieke vulnarability. Waar Google specifiek last van heeft is natuurlijk het gefragmenteerde ecosysteem en geen directe controle over de hardware en Apple bijvoorbeeld wel. Niet dat ik een Apple-fanboy ben (heb een Samsung S6), maar ik snap de filosofie van controle over het product wel. Google heeft het anders aangepakt om de OEM's tevreden te stellen, maar daardoor lopen nu wel duizenden devices tegen een probleem aan als die geen update krijgen. Hopelijk besluiten OEM's oude devices nog van kritieke patches te voorzien (verplicht dmv push) voordat we tijden krijgen zoals Windows XP voor SP2/3.
//edit: met hardware bedoelde ik de daadwerkelijke telefoon, dus gehele platform van zowel hardware als software. Ook met alleen controle over software ben je er niet (zo kun je bijvoorbeeld geen ondersteuning voor encryptie afdwingen als de hardware het niet ondersteunt.).

[Reactie gewijzigd door Feni op 28 maart 2016 19:03]

Microsoft heeft ook geen directe controle over alle hardware maar is in tegenstelling tot Google wel in staat om zulke bugs centraal op te lossen.

Het goed beheren van een OS hoeft helemaal niets te maken te hebben met het al dan niet beheren van alle hardware. Dat doe je door je OS zo modulair mogelijk op te bouwen en zoveel mogelijk van die modules centraal te laten beheren. Zo zou de bibliotheek waarin dit gat zit perfect centraal gepatched kunnen worden op alle apparaten waarop een standaard versie staat geÔnstalleerd, maar heeft Google er voor gekozen om dit niet te doen en de verantwoordelijkheid te verplaatsen naar de OEMs.
Daarbij komt wel dat Microsoft zo'n minimale invloed heeft in de smartphonewereld dat het weinig interessant is om er flink voor te gaan zitten. Onderzoekers / hackers hebben veel meer baat bij een bug die zoveel impact heeft als bij Android of iOS mogelijk is.

@ hieronder
Tuurlijk, dat ontken ik ook niet. :)

[Reactie gewijzigd door SidewalkSuper op 28 maart 2016 16:02]

Je hebt natuurlijk gelijk dat Windows Phone (of hoe het deze week heet) minder aantrekkingskracht heeft op malware schrijvers. Maar daar ging het punt niet over.

Het punt is dat als malwareschrijvers een zwakte vinden in het MS OS voor smartphones, Microsoft dat makkelijker kan fixen dan Google. Ondanks dat MS het OS aan verscheidene OEMs levert, net als Android.

[Reactie gewijzigd door Maurits van Baerle op 28 maart 2016 16:01]

Volgens mij is het sowieso de bedoeling dat Google vanaf Android N hetgeen Blokker_1999 zegt doet. Oftewel ze geven een soort base version, die zij zelf kunnen updaten met de 'security patches' die nu al uitgebracht worden voor verschillende toestellen, en daar kunnen OEMs hun eigen laag op aanbrengen, dus bijvoorbeeld dat touchwiz (of hoe het nu heet) van Samsung.
Dat zou gelijk het probleem zoals jij dat hier beschrijft oplossen. Tenzij er natuurlijk een zwakte gevonden wordt in de laag die door de fabrikanten wordt meegeleverd, dan is het nog steeds de taak van de fabrikant en kan Google daar vrij weinig mee vrees ik.
Microsoft doet dit praktisch alleen maar voor de lumia telefoons, zelfs de HTC one m8 heeft geen update naar windows 10
Je haalt updates (o.a. security patches) en upgrades (naar W10) door elkaar.
het is lastig om security patches te sturen naar niet ondersteunde apparaten
dat is niet zo lastig als je denkt, het zijn namelijk veelal fixes op kernel en os niveau, en dat is vrij goed geregeld bij MS. Android is op de goede weg trouwens, ook google kan al bepaalde fixes pushen naar gebruikers (mits je niet op een al te oude android versie bezig bent). Maar daar is nog een pak werk voor de boeg.

edit 1:spelfoutje

[Reactie gewijzigd door white modder op 28 maart 2016 17:30]

Je vergeet dat wp8.1 een end of life status vanaf juli 2017 heeft. De htc m8 krijgt nog steeds netjes security updates. Dat is juist de kracht van Microsoft en daar zijn ze op desktop/server gebied groot mee geworden. Je weet als gebruiker exact hoelang je support hebt.
Dat komt ook weer doordat PC hardware meer gestandaardiseerd is dan smartphone hardware. De smartphone leveranciers moeten altijd specifieke zaken doen om een nieuwe OS versie van Google werkend te krijgen op hun devices, terwijl Windows zonder noemenswaardige issues gewoon op iedere PC geÔnstalleerd kan worden (hoogstens als je erg exotische hardware hebt, heb je support van de HW leverancier nodig).
De claim dat Google een "gefragmenteerd ecosystem" heeft, hiermee implicerend dat alles wat betreft Android buiten de macht van Google ligt ligt, heeft slaat de plak wel erg mis.

Google heeft de volledige controle over Android.

Daarbij komt kijken dat de Nexus hardware is het paradepaardje van Google zelf is.
Hoeveel devices heeft Microsoft om centraal te beheren? Ze hebben een aantal modellen uitgebracht met hun OS en meer niet. Dat is natuurlijk veel makkelijker dat heeft niks met het OS te maken. Je hebt toch ook bij desktops verschillende hardware dat wordt echt niet centraal beheerd door Microsoft maar door de fabrikant. Dus wat je nu zegt klopt niet.

Microsoft doet als Apple en dat is een beperkt aantal smartphones uitbrengen weten wat erin zit en daarop verder bouwen. Dat is natuurlijk een veel simpeler iets. Google moet met alles rekening houden. Wanneer je gapps los download zit er ook verschil in welke type je download.
Ik was hetzelfde als jij. Had een android toestel wat aan vernieuwing toe was en ik had geen zin om een 700 euro neer te leggen voor een apparaat wat niet fatsoenlijk updates krijgt en had ook geen trek in een nexus. Nu noodgedwongen overgestapt naar apple en tot nu toe geen spijt. Lekker op tijd de laatste updates en veel meerprijs is er niet meer tov galaxy of vergelijkbaar.

Hopelijk pakt de wetgever deze activiteit snel aan aangezien dit niet door de beugel kan. Tech bedrijven hebben laten zien dat ze zelf geen schoon schip kunnen maken dus laat ze nu maar lekker hard aangepakt worden.
Door root toegang op mijn Nexus 4 krijg ik al een tijd niet meer de juiste security updates binnen. Wel de notificatie maar kon hem dan niet meer als OTA update installeren. Dus nu toch maar de stap gezet om gelijkt naar Android 6 in de vorm van CM13 gegaan zodat ik toch weer veilig ben.
Liever nog gecontroleerd wat meer werk aan mijn toestel dan dat je per ongeluk een vage redirect voorgeschoteld krijgt waar een exploit draait.
ja, dat heb je met root toegang eh, buiten dan ook nog het feit dat je bij wijze van spreke de voordeur er helemaal uitsmijt bij Android qua veiligheid.
Root toegang is niet hetzelfde als toegang uit onbekende bronnen, daarnaast moet elke nieuwe applicatie eerst geautoriseerd worden om root toegang te mogen gebruiken. En daarbij kun je ook nog instellen dat de toegangsvraag weer automatisch na X tijd opnieuw gesteld moet worden.
Root geeft je meer mogelijkheden om in te stellen en iemand die stagefright kan exploiden kan ook wel een root toegang exploit gebruiken dus ik vind je argument nou niet echt kloppen.

Denk zelf ook dat de gebruikers welke root instellen juist beter omgaan met security van de telefoon dan de gebruikers die niet weten wat dit inhoud.
ik heb het ook niet over installs uit onbekende bronnen. Maar er zijn al een paar exploits voorhanden die alleen werken als de gebruiker zichzelf root-toegang heeft verschaft. Dan weet je ook direct waarom binnenkort zo goed als elke zichzelf respecterende bank dat soort toestellen verbied bij installs van hun apps.

en dat is trouwens buiten de exploits die hunzelf via dezelfde gaten en bugs roottoegang verschaffen (wat dat ook de reden is dat dat soort toestellen geblokkeerd zou moeten worden bij financiŽle instellingen enz).
Volgens cijfers van cyberbeveiligingsbedrijf Zimperium zou meer dan de helft van de Android-toestellen in Nederland nog kwetsbaar zijn voor de exploit, die de bestempeling CVE-2015-3864 krijgt van Google.
Deze cijfers zijn al erg maar het is waarschijnlijk nog erger gesteld. Immers, de cijfers van Zimperium zijn gebaseerd op hun eigen app StageFright detector. Alleen personen die van deze app wisten en de moeite namen deze te installeren tellen dus mee in de statistieken. Een selecte steekproef van Android gebruikers die enigszins kundig zijn en nog is meer dan de helft vulnerable, dat geeft te denken. :/
Jezelf beveiligingsbedrijf noemen en toch moedwillig sourcecode voor een gevaarlijke exploit openbaar maken. Ik snap dat nooit zo goed.

Ze maken het zo wel erg makkelijk voor kwaadwillenden.
Zou eigenlijk gewoon strafbaar moeten zijn om zoiets te doen wat mij betreft.
Je snapt er inderdaad weinig van. Misschien moet je je post dan maar gewoon achterwege laten?

Het punt van een exploit publiceren is druk zetten achter fabrikanten, dan wel gebruikers. Ze hebben ruim de tijd gegeven aan de hele Android wereld om met een oplossing te komen, vooraf een tijd bekend gemaakt waarop ze verwachten te publiceren en als dan nu nog mensen met buggy software rondlopen is dat jammer voor ze.

Daarnaast is het niet zo dat er totaal geen andere exploits zijn, of dat het onbekend is hoe de exploit werkt. In dit geval kunnen ontwikkelaars in elk geval met broncode aan de slag om desnoods zelf met fixes of detecties te komen. Door dat het door een beveiligingsbedrijf gepubliceerd is kan je er enige mate van authenticiteit aan verbinden en er van uit gaan dat de code doet wat het zegt dat het doet en niet meer dingen of iets totaal anders.
Zullen we het ff gezellig houden keates?

Dat weet ik allemaal ook wel, maar dat wil nog niet zeggen dat het een goede oplossing is.
Denk je echt dat een Samsung nu ineens alsnog updates gaat verschaffen aan mensen met kwetsbare toestellen? Ik dacht het niet.
Sterker nog die mensen worden min of meer gedwongen om een nieuw toestel te kopen hier om. Of nieuw kopen of prooi zijn van allerlei criminelen. En laat dat Samsung en co nou net in de kaart spelen, want meer omzet door verkoop ipv kosten voor updates... I rest my case.
Dus jij suggereert dat we een model van security through obscurity moeten toepassen?
Ik ben van mening dat de support cyclus van telefoons langer moet en dat dit soort kritieke bugs moeten worden verholpen in de systemen.
Dat is totaal niet wat ik suggereer, waar lees je dat?
Ik ben het helemaal met je eens dat er langer verplicht support moet zijn van fabrikanten om kritieke zaken te fixen. Beter nog er zou een mechanisme moeten komen waarmee bij voorkeur Google zelf kritieke patches aan Android kan uitrollen ongeacht merk en versie. Dat is helaas momenteel nog praktisch niet mogelijk. Maar Google werkt wel aan een dergelijk idee dmv maandelijkse security updates. Hopelijk gaan we die mogelijkheid snel zien.

[Reactie gewijzigd door Clubbtraxx op 28 maart 2016 15:08]

Wat sugereer jij dan wel? Er kan een mechanisme komen waarin Google die updates zelf zou pushen, maar dat kan niet meer gebeuren op bestaande apparaten, enkel bij nieuwe versies van het OS. Dat het praktisch niet haalbaar is vandaag is evenwel volledig de schuld van Google die nagelaten heeft zo een mechanisme te voorzien in het OS terwijl dit bij zovele Linux distributies alsook bij Windows een gangbare zaak is.

EN moet men van de oude versies waar dit niet gebeurd dan maar zwijgen als men gaten vind in de hoop dat kwaadwillenden er nooit achter gaan zoeken? Het vrijgeven van de broncode, na een lange tijd van wachten, is de enige manier om nog druk te zetten op alle betrokken partijen. Google doet dat zelf trouwens ook wanneer zij kwetsbaarheden ontdekken in producten van derden: 90 dagen na het geven van een waarschuwing zetten zij ook alle details online.
FYI Ik suggereer nergens wat, ik reageer alleen op perseus93 z'n uitspraak.

Ik zeg ook nergens dat we maar moeten zwijgen over oude versies en de problemen die daar nog open liggen. Wat ik wel zeg is dat ik het totaal geen goede oplossing vind om crimineel gedrag in de hand te werken door het maar voor iedereen openbaar te maken hoe een lek misbruikt kan worden.

Ik ben er ook niet voor om zoiets door welke partij dan ook als chantagemiddel te gebruiken. Er is maar 1 partij die het kan en moet oplossen in toekomstige versie's en dat is Google. En ja daarmee blijven oude roms lek maar dat sterft op een gegeven moment uit, de lifecycle van de meeste telefoons is niet zo heel erg lang.
Ala je als consument dan ook maar een beetje slim bent koop je dus geen Samsung meer.
Dat is het rare, het moeilijk tot niet te patchen zijn van Android gebaseerde telefoons speelt nauwelijks een rol in de koopbeslissing van consumenten. Ook in professionele reviews zoals hier op Tweakers.net haalt een Samsung telefoon fluitend een 9 zonder dat dit nare aspect van Android ook maar benoemd wordt. Als je Android koopt zou ik altijd een Nexus nemen.
Niet nodig hoor. Ook mijn Note 2 draait de laatste Android build.
Dat is het rare, het moeilijk tot niet te patchen zijn van Android gebaseerde telefoons speelt nauwelijks een rol in de koopbeslissing van consumenten. Ook in professionele reviews zoals hier op Tweakers.net haalt een Samsung telefoon fluitend een 9 zonder dat dit nare aspect van Android ook maar benoemd wordt. Als je Android koopt zou ik altijd een Nexus nemen.
Nexus biedt ook geen garantie. De nexus 4 en 7 worden sinds 2015 niet meer ondersteund en blijven op lollipop hangen. Dat zijn toestellen uit 2012. De support levensduur is dus 3 jaar. Dat vindt ik niet bijzonder en dus ook zeker geen argument om "altijd een Nexus" te nemen.

Zelf gebruik ik momenteel een Oneplus One. Ik ben benieuwd hoe lang ze die van updates blijven voorzien. De tijd zal het leren.
Chinese telefoon met cyanogenmod. Opgelost.
Vergeet niet dat google hier ook een rol in speelt!!

Het is een exploit dat alleen geld voor Android 5.x en daaronder en dat deze naar alle waarschijnlijkheid niet werkt in Android 6.0 en hoger. Daaruit trek ik de voorzichtige conclusie dat die daar gedicht is, maar belangrijker, dat google hier dus van op de hoogte was en dat er mogelijk al gebruik van werd gemaakt.


Natuurlijk een hele bak met aannames,
maar het update-beleid van Google is WAAARDELOOS. Gewoon met grote en dikke letters.

Het is geen grote opgaaf voor security-bedrijven, cq white hackers, maar aan de andere kant dus ook black hackers, om vulnerabilities te gaan zoeken als er een grote release komt.
If it ain't broke, don't fix it. Als met een bepaald bestand bij een release teveel is gerommeld kun je op je klompen aanvoelen dat er iets niet helemaal goed was geprogrammeerd.


En van de zijlijn wijzen, waar ik me dus ook schuldig aan maak, is het makkelijkste wat er is. Maar bij de schuldvraag wie nou de grootste schuldige is, komt dit bedrijf toch echt ergens onderaan. Google heeft een verkeerd beleid, opzet van het OS moet anders,
fabrikanten laken de verantwoordelijkheid voor een fatsoenlijk update-beleid. 3 Jaar lijkt me het absolute minimum.
En dat een externe partij wijst op gevaren die te exploiteren zijn, waarvan mogelijk al gebruik van wordt gemaakt. Don't shoot the messenger.
https://en.wikipedia.org/wiki/Shooting_the_messenger
Google beseft dat ook en is langzaam bezig met die controles voor fixes (let op het woord fixes bitte) terug te krijgen en te centraliseren. Het was waardeloos, en dat hebben ze ook ingezien na een pak problemen, en ze zijn er nu aan het werken. Maar het zal niet op 1 - 2 - 3 zijn vrees ik, en al helemaal niet voor oude versies aangezien die centrale controle over de fixes meer dan waarschijnlijk voor up-to-date toestellen zijn.
Negatieve reclame gaat 10x harder dan positieve reclame.
Een bedrijf gaat veel eerder patchen als ze het in de portemonnee gaat voelen, en daar kom je door een broncode uit te brengen zodra de verantwoordelijke al een half jaar heeft verzaakt dit gat te dichten.

Ik snap je punt wel, want er kan nu flink misbruik gemaakt worden met de exploit. Kwestie van had google maar moeten reageren als zon lek bekend wordt gemaakt.
Het punt van een exploit publiceren is druk zetten achter fabrikanten, dan wel gebruikers. Ze hebben ruim de tijd gegeven aan de hele Android wereld om met een oplossing te komen, vooraf een tijd bekend gemaakt waarop ze verwachten te publiceren en als dan nu nog mensen met buggy software rondlopen is dat jammer voor ze.
Want als eindgebruiker schrijf je zelf even een patch? Ik denk het niet.

Publiceren van exploits als drukmiddel is niet echt effectief, je benadeeld vooral de onschuldige eindgebruikers die er niets aan kunnen doen. Google heeft hier ook een handje van. Zo hebben ze ook wel eens Microsoft geconfronteerd door maar meteen een kwetsbaarheid online te zetten compleet met uitleg. Voor elke cyber crimineel is dat een cadeautje. Tussen publicatie en patch kan je flink wat slachtoffers maken en je hoeft niet eens moeite te doen om de exploit te ontdekken.

Het publiceren van de exploit is vooral jezelf als ontdekker lekker op de borst slaan. Het draagt niets bij aan de oplossing. Een lek dichten neemt misschien meer tijd en je moet ook testen of er niets omvalt door de patch.

Het probleem met Android is sowieso het slechte patchen van alle versies die in omloop zijn. Google kan iets wel oplossen, maar firma's als Samsung, HTC en anderen vinden het dan niet de moeite waard om een patch te maken hun voor toestellen. Apple en Microsoft hebben met hun mobiele OS'sen die wat beter geregeld. Ze behouden de controle over de patches en updates.
Denk je echt dat mensen met slechte bedoelingen zelf deze lekken niet kunnen vinden eenmaal men weet in welke richting men moet gaan zoeken? Van zodra een kwetsbaarheid bekend word (en dus publiek gemaakt word met een CVE nummer) gaat men er achter zoeken om het zonder de details te kennen alsnog te kunnen misbruiken.

Moeten we dan ineens alles geheim gaan houden? Enkel nog een publicatie van er is een nieuwe kwetsbaarheid gevonden met nummer X, wat het is weten we niet en een patch word de eerste 17 jaar niet verwacht. Deal with it.

Het publiceren van een exploit is dan ook het laatste drukkingsmiddel die men heeft om diegene die verantwoordelijk zijn voor het updatebeleid onder druk te zetten om het probleem dat effectief bestaat en mogelijks al misbruikt word ook op te laten lossen.

Wanneer je een lek niet kan oplossen in enkele maanden dan heb je trouwens echt wel bagger code geschreven en moet je maar eens nadenken over heel je software en niet enkel die ene kwetsbaarheid.
Er zijn inmiddels al oplossingen voor, voor de Nexus 5 bv is het gewoon updaten naar 6 (wat al zo'n half jaar uit is voor de Nexus 5) of de laatste security patch laden van 5.1 (wat je natuurlijk altijd moet doen).
Het moet natuurlijk wel gewichtig en moelijk lijken want anders zakt het huidige veel versie ecosysteem in elkaar.
Maarja, leuk en aardig, maar de Nexus 5 zit inmiddels wel officieel op Android 6....
Dat zal waarschijnlijk ook de reden zijn dat deze exploit voor de Nexus 5 is uitgebracht: toestel is potentieel slachtoffer, maar in de praktijk niet omdat deze al OTA is ge-update naar een hogere versie.
Ook is de Nexus 5 (correct me if I'm wrong) niet als bundel verkocht door de Telecomproviders, waarmee het toch al enigszins een niche toestel is, vooral gekocht door bewuste consumenten.
Tja mijn Device word al 3 jaar niet geupdate. Er zijn al customcrims voor uit terwijl de fabrikant nog geen zak heeft gedaan. RIP mensen met toestellen zoals: Wiko, Alcetal, Kazam noem maar op
Dit soort lekken roepen altijd enkele vragen en discussie punten op;
Ten eerste: Waarom zit het er?
Waarbij je als antwoord kan geven: ja Rome was ook niet in 1 dag gebouwd dus fouten sluipen er nu eenmaal in
Ten tweede: hoe zorg ik ervoor dat ik veilig blijf?
Dit antwoord is lastiger want Android versies lager dan 5.x zijn eigenlijk "oud" niet alle Android versies worden nog 100% ondersteund door of Google, de Applicatie makers of de fabrikanten. Je hebt de keuze uit of een ander toestel (alweer?) of een custom ROM (voor de Tweakers) Android versies die hoger zijn dan 5.0. Bijvoorbeeld 5.1.1 of 6.x hebben al een standaard Beveiliging patch (als het goed is) hoe recenter de datum hoe verser de patches
De milliondollar Question is: Hoe gaan fabrikanten zorgen dat iedereen altijd up to date blijft?
Ik denk dat je de nobelprijs wint als je deze weet op te lossen.
Idealiter zou zijn: Op elke toestel standaard AOSP Android zoals Google deze heeft bedoelt met twee update mogelijkheden: 1 vanuit Google zelf en 1 vanuit de fabrikant van het toestel, die laatste kan dan via OTA upgrades het uiterlijk, de functies en de drivers aanleveren terwijl Google zich met het main OS bezig houdt.... Hoewel we hier alleen nog maar van kunnen dromen :')
Zoek maar effe in de playstore naar Zimperium stagefright checker.
Dank. Ik weet hoe maar de Klaas die zojuist hoorde dat zijn nieuwe telefoon met android 5.1 opeens wel kwetsbaar is weet dit niet.

Vooral nu tweakers steeds meer "mainstream" probeerd te doen met hun reclamespotjes.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True