Google dicht zes kritieke lekken in Android voor Nexus-apparaten

Google heeft zes kritieke bugs in Android Open Source Project gedicht. De geüpdatete versies worden naar alle Nexus-apparaten vanaf Nexus 5 gestuurd via een over-the-air-update. De gevaarlijkste bug zit wederom in de mediaserver en kan via een besmet bestand uitgevoerd worden.

android logoHet is mogelijk voor een aanvaller om met deze mediaserver-bug op afstand code uit te voeren via e-mail, de webbrowser of mms bij het verwerken van mediabestanden. Google schrijft op zijn Android Security Bulletin dat er vooralsnog geen berichten zijn van misbruik van de gevonden bugs. Details over deze kritieke bugs met cve-nummers CVE-2016-2428 en -2429 zijn nog niet bekendgemaakt.

Om de bug te misbruiken moet een geïnfecteerd mediabestand, zoals een video, aangeboden worden via één van de bovenstaande methodes. De methode doet denken aan de Stagefright-bugs die de Android-wereld afgelopen jaar teisterden. Via het geïnfecteerde bestand wordt vervolgens het geheugen gecorrumpeerd, waarna code op afstand uitgevoerd kan worden als een proces van de mediaserver.

De andere vijf als kritiek aangemerkte bugs, gaan onder andere over de mogelijkheid om code uit te voeren binnen de Android-debugger, de mogelijkheid om extra toegangsrechten te krijgen via de Nvidia-videodriver, via een Qualcomm-wifi-driver, binnen de Qualcomm TrustZone-kernel en een kwetsbaarheid in de kernel waarmee ook verruimde toegangsrechten te verkrijgen zijn. In alle gevallen is het mogelijk om een apparaat permanent over te nemen, waarna een apparaat opnieuw geflasht moet worden.

De hele lijst van veertig gepatchte bugs is te vinden op het Security Bulletin. De patches werken voor aosp versie 4.4.4 of hoger, waar bijna 74 procent van alle Android-apparaten op draait. Fabrikanten van toestellen moeten de patches wel verwerken in hun versies van Android. Google zal zelf Nexus-toestellen vanaf versie 5 en hoger updaten.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 03-05-2016 10:05
49 • submitter: _David_

03-05-2016 • 10:05

49 Linkedin

Submitter: _David_

Lees meer

'Nalatigheid Foxconn leidt tot aanwezigheid backdoor in twee Android-toestellen' Nieuws van 14 oktober 2016
Google patcht laatste Quadrooter-lekken in Android Nieuws van 7 september 2016
Android-toestellen met Qualcomm-chips bevatten ernstige kwetsbaarheid Nieuws van 8 augustus 2016
Google voorziet Android-kernel van aanvullende bescherming Nieuws van 28 juli 2016
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren Nieuws van 20 juli 2016
Gerucht: Google werkt aan eigen smartphone buiten Nexus-lijn om Nieuws van 27 juni 2016
Google gaat meer geld uitdelen voor het melden van bugs in Android Nieuws van 18 juni 2016
Google voert test uit met zwarte links in zoekresultaten Nieuws van 9 mei 2016
Kwetsbaarheid in ImageMagick gevaar voor groot aantal websites Nieuws van 4 mei 2016
Google: potentieel schadelijke apps op Android-apparaten gehalveerd in 2015 Nieuws van 19 april 2016
Google publiceert tussentijdse kernel-patch voor kritiek lek in Android Nieuws van 19 maart 2016
Google en Red Hat patchen kritiek Linux-lek in glibc-bibliotheek Nieuws van 17 februari 2016
Kritiek lek in Linux-kernel geeft root-toegang Nieuws van 19 januari 2016
Meer producten en artikelen
Mobiele besturingssystemen Google Nexus Android

Reacties (49)

-Moderatie-faq
49
49
28
2
0
16
Wijzig sortering
mark-k
3 mei 2016 10:15
Jammer dat Google deze kritieke lekken pas vanaf de Nexus 5 update, terwijl ze wel werken vanaf 4.4.4. De Nexus 4 heeft een nieuwere Android versie, maar valt nu dus toch buiten de boot. Slechte zaak, zeker omdat de Nexus lijn voor mij vaker betekende dat ik ongewild bugtester werd, heb bijvoorbeeld een hele tijd gehad dat mn accu leeggetrokken werd door een bug, en dat de radio faalde waardoor je soms niet bereikbaar was. Nu dus weer eentje erbij in een lange lijst met teleurstellingen.
GekkePrutser
@mark-k3 mei 2016 10:21
Maar de Nexus 4 is uit 2012. Op zich heeft hij een voor Android enorm lange support periode gehad.

Je zou nog over kunnen stappen op Cyanogenmod trouwens.
Cyb
@GekkePrutser3 mei 2016 10:49
De Nexus 4 werd in juni 2014 ook nog verkocht volgens pricewatch: LG Nexus 4 16GB Zwart
Als daar 2 jaar garantie op zit, zijn ze wat mij betreft verplicht om security updates door te voeren.
Ook zou het belachelijk zijn als ze na 4 jaar stoppen met dit soort updates. Je kan toch niet verwachten dat de gemiddelde consument om de 4 jaar zijn toestel moet vervangen puur omdat de fabrikant het nalaat om security updates uit te brengen? Dergelijke informatie zouden ze met grote letters op de verpakking moeten plaatsen: "Na 4 jaar niet geschikt meer voor gebruik", zoals een houdbaarheidsdatum op voedingsproducten. Het is haast gelijk aan een op datum geprogrammeerde verborgen kill-switch.

[Reactie gewijzigd door Cyb op 3 mei 2016 10:51]

Pindasmeer
@Cyb3 mei 2016 11:12
Wacht even.. Je zegt in feite dat een smartphone waarop niet alle (bekende) lekken en bugs zijn gefixt niet geschikt zijn voor gebruik. De meerderheid van Android toestellen wordt niet eens gelanceerd met de nieuwste Android versie. Wanneer je jouw lijn doortrekt betekent dit dat er bijna geen Android toestellen geschikt zijn voor gebruik.

Ik ben het met je eens dat Google en fabrikanten meer inzet moeten tonen om de veiligheid te garanderen. Maar Android zal door zijn open karakter altijd een kwetsbaar OS blijven, en het is een keuze om een apparaat met dit OS te kopen.
debroervanhenk
@Pindasmeer3 mei 2016 11:33
Dat klopt eigenlijk ook. Het is maar dat er nog nooit massaal misbruik is gemaakt van zo'n lek, maar eigenlijk is het gewoon nalatigheid.

En ook van Google. Leuk dat Nexus-apparaten wat langer ondersteund worden dan die van andere fabrikanten, maar als ze beveiliging echt belangrijk zouden vinden, zouden ze beter hun best doen om veiligheidsupdates naar zo veel mogelijk apparaten te sturen. Je gaat me niet wijsmaken dat een miljardenbedrijf als Google niet in staat is om de paar variaties van de Nexus 4 van zo'n patch te voorzien.

Het is eigenlijk wachten op het moment dat het echt gigantisch mis gaat en Google - net als Microsoft zo'n tien jaar geleden - gedwongen wordt om echt werk te maken van beveiliging.
oef!
@debroervanhenk3 mei 2016 12:05
Je gaat me niet wijsmaken dat een miljardenbedrijf als Google niet in staat is om de paar variaties van de Nexus 4 van zo'n patch te voorzien..

Er zijn, analoog aan Windows-land, honderden verschillende Android toestellen die allemaal net iets anders werken. Het patchen van een bestandje is daarbij niet zonder meer mogelijk, aan de achterkant kan er van alles omvallen. Hierdoor loop je de kans dat een gebruiker achterblijft met een telefoon die helemaal niets meer doet in plaats van een beveiligingslek.

Er zijn heel wat dingen mis met het globale updatebeleid van Android maar zonder ondersteuning van de fabrikanten en de telecomproviders lijkt het me niet dat Google er heel veel aan kan veranderen.
debroervanhenk
@oef!3 mei 2016 13:19
Maar ik had het hier over de Nexus 4: een toestel dat in opdracht van Google is gemaakt, waar Google altijd de software voor heeft verzorgd en waar telecombedrijven niks mee te maken hebben. Daar kan Google dus alles aan veranderen.
MenN
@oef!3 mei 2016 14:07
Maarja, kan wel zijn dat er honderden verschillende telefoons zijn, maar dat is geen reden om dan maar niet te updaten.

Je ziet dat Microsoft het met windows nog prima voor elkaar krijgt. Daar kun je zonder problemen een 10 jaar oude pc nog met windows 10 voorzien, welke zichzelf daarna up to date houdt.
Jerie
@Pindasmeer3 mei 2016 13:42
De meerderheid van Android toestellen wordt niet eens gelanceerd met de nieuwste Android versie.
Hoeft ook niet. Je moet security en reliability fixes krijgen. Verder is de fabrikant tot niets verplicht. Een apparaat moet ook na 2 jaar garantie deugdelijk blijven werken. Security en reliability fixes vallen onder deugdelijk :) de enige reden waarom dat niet standaard is, is omdat fabrikanten er mee weg komen.
bbc
@Cyb3 mei 2016 13:41
De Nexus 4 werd in juni 2014 ook nog verkocht volgens pricewatch: LG Nexus 4 16GB Zwart
Als daar 2 jaar garantie op zit, zijn ze wat mij betreft verplicht om security updates door te voeren.
Ook zou het belachelijk zijn als ze na 4 jaar stoppen met dit soort updates. Je kan toch niet verwachten dat de gemiddelde consument om de 4 jaar zijn toestel moet vervangen puur omdat de fabrikant het nalaat om security updates uit te brengen? Dergelijke informatie zouden ze met grote letters op de verpakking moeten plaatsen: "Na 4 jaar niet geschikt meer voor gebruik", zoals een houdbaarheidsdatum op voedingsproducten. Het is haast gelijk aan een op datum geprogrammeerde verborgen kill-switch.
Hier staat hun policy onder Nexus devices:
https://support.google.com/nexus/answer/4457705?hl=en

3 jaar security updates na release datum of 18 maanden nadat het laatste toesten in de store verkocht werd. Android upgrades krijg je gedurende 2 jaar, wat eigelijk neerkomt op 2 upgrades.

Als je dan in rekening brengt dat toestellen hier vaak een lange tijd later beschikbaar zijn, heb je niet zoveel plezier van je Nexus toestel zonder naar een custom rom te gaan.

Zelf heb ik een Nexus 6P en was ik me bewust van deze update policy, maar ik ben er niet zo tevreden mee. Anderzijds, als je ziet dat er om de maand patches uitkomen voor de Nexus, wil ik eigenlijk geen ander toestel meer. Bij de andere Android fabrikanten is het niet beter gesteld.

In theorie heeft deze update policy ook effect op de waarde van je toestel op de tweedehands markt, alhoewel ik betwijfel dat de grote hoop zich zorgen maakt over security updates.

Wat Apple betreft maak ik me ook zorgen in die zin dat ik een aantal jaren geleden een Macbook had. Er was een openssh lek dat pas maanden later opgenomen werd in een patch ronde van Apple. Ik weet niet hoe Microsoft boert, maar het zou me niet verbazen op mobieltjes gebied, maar het zou me niet verbazen indien ze het beter doen als de andere twee.

Voorlopig dus nog een Nexus gebruiker, maar eentje die ontevreden is over de termijn waarin die apparaten ondersteund worden.
noway
@Cyb3 mei 2016 15:35
wees enig zins blij met als je meer dan 2 jaar support krijgt!!! bij de meeste fabrikanten zoals LG...HTC...en nog meer grote merken houd dat na 2 jaar op.
ze willen ook dat jij na 1.5/2 jaar nieuw toestel koopt.
Fabbie
@GekkePrutser3 mei 2016 10:48
Dat is ook zo, maar Google loopt juist te lobbyen om een soort van framework te maken waarop ze altijd kritieke Android bugs kunnen uitrollen ook op niet Nexus apparaten zodat ook apparaten van andere fabrikanten voorzien kunnen worden van kritieke patches zonder dat de fabrikant een hele nieuwe rom hoeft te bouwen.

En nu updaten ze niet eens hun eigen Nexus lijn volledig. Dus het blijft gewoon een slechte zaak. Ook al is een telefoon "maar" 4 jaar oud. Hij draait wel al Android 5.1.
RoelRoel
@GekkePrutser3 mei 2016 13:02
Dat kan wel zijn, maar het is nog steeds een prima telefoon.
MenN
@GekkePrutser3 mei 2016 14:02
Een lange support periode? Dat vind ik nog wel heel erg meevallen. In mei 2015 is de laatste update geweest voor de Nexus 4. Met een release in november 2012 hebben ze dus feitelijk 2,5 jaar support gegeven. Dat is nu niet iets om trots op te zijn, dit is minimaal.

Kijk naar Apple, die geven hun 4S uit 2011 nog altijd de laatste updates (al dan niet met een aantal functies minder). Dat is dus in oktober 5 jaar lang support, petje af daarvoor.

[Reactie gewijzigd door MenN op 3 mei 2016 14:08]

gamezfreak
3 mei 2016 10:28
Fabrikanten van toestellen moeten de patches wel verwerken in hun versies van Android. Google zelf update Nexus-toestellen vanaf versie 5 en hoger.

Dit is dus precies waarom ik overgestapt ben naar Motorola. Bij Samsung, Huawei, HTC etc. gaat die update er niet komen omdat het te veel testwerk is.
Ik vind dat er afspraken moeten komen m.b.t. updaten van Android OS. Helaas kunnen de telefoon makers hun versie van Android niet in een korte tijd updaten. Het is vaak zo dat als je een telefoon koopt dat je niet eens naar de nieuwe versie gaat maar bijv. op 4.4.4 blijft. Het liefst zie ik dat de makers (Samsung, HTC e.d.) gelijk de update doorvoeren zodat iedereen er beveiligd op is.
watercoolertje
@gamezfreak3 mei 2016 10:48
Dit is dus precies waarom ik overgestapt ben naar Motorola. Bij Samsung, Huawei, HTC etc. gaat die update er niet komen omdat het te veel testwerk is.
Ik krijg elke maand een update met de fixes van die maand, mijn toestel heeft op dit moment dus alle fixes t/m 2 april, die van mei zijn door Google nog maar net vrij gegeven, maar over ongeveer 2 weken zal daar ook gewoon een update voor zijn...

Sinds Google die fixes op deze manier (elke maand) uitbrengt is het ook veel makkelijker om die te implementeren voor al die fabrikanten, het zijn hele kleine wijzigingen over het algemeen.

Ik heb wel high end toestel dus ik weet niet hoe de goedkopere het doen, maar kan mij voorstellen dat die minder support krijgen, daar is de prijs imho dan ook naar. De voorloper van mijn toestel (dus die van vorig jaar), zit even ver met het 'android security patch level'.

[Reactie gewijzigd door watercoolertje op 3 mei 2016 10:50]

noway
@watercoolertje3 mei 2016 15:38
Ik heb wel high end toestel dus ik weet niet hoe de goedkopere het doen, maar kan mij voorstellen dat die minder support krijgen

dat slaat dus nergens op he.
dan moeten ze ook geen budget of andere versie's op de markt brengen.
watercoolertje
@noway3 mei 2016 18:26
dat slaat dus nergens op he.
Het slaat op mijn mening :Y) Dat je het er niet mee eens bent is een ander verhaal...
dan moeten ze ook geen budget of andere versie's op de markt brengen.
Waarom niet dan? Vrijwel alle productgroepen hebben goedkope producten die in veel gevallen korter mee gaan dan de dure, een pan van de action van 5 euro is niet te vergelijken met een hoogwaardige pan van 100 euro :)

Goedkoop is duurkoop, en dat is bij telefoons (uiteraard met uitzonderingen hier en daar) niet anders.

[Reactie gewijzigd door watercoolertje op 3 mei 2016 18:28]

daredevil__2000
@gamezfreak3 mei 2016 10:52
Hier zijn wel oplossingen voor maar niet vanuit de fabrikant. Zo is er onder andere Cyanogenmod (http://www.cyanogenmod.org/) als alternatieve android versie welke wel doorontwikkeld wordt.

Maar het zou natuurlijk wenselijk zijn dat de fabrikant gewoon niet het OS zo vol stop met bloatware waardoor al die updates doorvoeren zoveel moeite voor ze kost.
loki504
@gamezfreak3 mei 2016 10:55
En Motorola heeft de update al wel verwerkt? de nieuwste versie bij je telefoon krijgen is wat anders als kritieke bugs fixen.
Miki
@gamezfreak3 mei 2016 14:21
Um... vorig jaar riepen alle Android vendors in koor na de stagefright leaks dat ze maandelijks updates gaan uitbrengen. Check: nieuws: Na Samsung en Google zal ook LG Androids maandelijks van updates voorzien

Je raadt het al, van dat "maandelijkse" is nog weinig van terecht gekomen :X
tomvdlee
3 mei 2016 10:45
Ik heb een Xiaomi Redmi Note 2 en daarvoor kan ik wekelijks een update downloaden. Stagefright was hier ook al heel snel gedicht. Ik neem dus aan dat ze deze lekken ook zo snel mogeljik meenemen in hun updates.
dutchgio
@tomvdlee3 mei 2016 10:49
Waarschijnlijk vrijdag al in de nieuwe wekelijkse Dev builds, aangezien de beveiligingspatch van 01-05 daar dan in zit verwerkt.
Dat is wel een groot voordeel van MIUI inderdaad.

[Reactie gewijzigd door dutchgio op 3 mei 2016 10:49]

Kiswum
@tomvdlee3 mei 2016 10:55
Klopt, wellicht werkt het bij alle telefoons vanaf de Mi2 uit 2012. Ik zal het dit weekend wel even testen.
SSDtje
3 mei 2016 11:58
Ik ben in het bezit van een LG Nexus 5X, maar heb nog geen update mogen ontvangen.
Gaat deze update later pas komen, of had ik deze al wel horen te ontvangen :/
646678
@SSDtje3 mei 2016 12:04
Nexus 6P is deze ook nog niet binnen.
Tralapo
@SSDtje3 mei 2016 13:08
Dit duurt altijd even, de update komt meestal halverwege de maand OTA. Je kunt 'm wel handmatig downloaden en flashen als je echt haast hebt.
SSDtje
@Tralapo3 mei 2016 14:17
Thx voor de reacties, ik ben dus niet de enige blijkbaar. Mijn dank :D
capsoft
3 mei 2016 10:28
Maar met Nexus dus wel minder bloatware ;) dat dan weer wel. Zelf heb ik een Windows telefoon en dus zit de support wel goed, maar daar in tegen draai ik wel insider builds omdat ik het leuk vindt op bugtester te zijn, maar eigenlijk ook ongewild bugtester moet zijn omdat w10 gewoon nog niet helemaal af lijkt in mijn ogen. wp8.1 is veel stabieler, maar je wil op een bepaald punt gewoon bepaalde features hebben. Dat heeft mij persoonlijk tegen gestaan in de tijd dat ik android telefoons had, dat je best afhankelijk bent van de fabrikant en anders custom roms. Dat heeft ook zijn charmes, maar het is en blijft allemaal een persoonlijke keuze. Zelf hoop ik dat Google het update beleid meer gaat doen als apple en microsoft en dat de toevoegingen van de fabrikanten out-of-band updaten met het onderliggende OS. Zodat kritieke lekken sneller voor alle "smaken" van het OS gepatcht worden. Dit is en blijft lastig omdat het op zoveel verschillende devices draait.
edit: volgens mij heb ik iets fout gedaan, het was bedoelt als reactie op mark-k.

[Reactie gewijzigd door capsoft op 3 mei 2016 10:28]

Anoniem: 470811
@capsoft3 mei 2016 10:45
Google zou dat wel willen, maar dan gebeurt er dit: nieuws: Europese Commissie dient klacht in tegen Google over machtsmisbruik Android
capsoft
@Anoniem: 4708113 mei 2016 11:17
Dat staat er toch los van? Je link gaat over bepaalde apps pushen en bepaalde settings default zetten. Dat kan toch instelbaar worden gemaakt in het OS. Dan kunnen ze prima de patches uit (blijven) brengen.
Anoniem: 470811
@capsoft3 mei 2016 16:15
Die patches brengen ze wel uit. Maar als je wilt dat Google ze ook installeert, moet de heterogene omgeving van Android een stuk homogener gaan worden (denk aan zelfde standaard laucher, apps, et cetera). En dit betekent dat dit weer meer afgedwongen moet worden wat weer op verzet zal gaan stuiten.

Volgens mij (niet zeker, en kan het niet zo snel terugvinden) --> Met Android N wordt een stap in de goede richting gezet, maar dit geldt alleen voor core-features die door Google bijgewerkt kunnen worden. Security fixes in lagen daarboven moet alsnog gebeuren door de fabrikant.

[Reactie gewijzigd door Anoniem: 470811 op 3 mei 2016 16:17]

Bananenplant
3 mei 2016 11:48
Wat ik me afvraag is of je als bijvoorbeeld een bank niet de minimale Androidversie voor je app dusdanig wilt opkrikken dat de laatste security fixes er gewoon in zitten. Misschien worden mensen er dan eens kritischer op...

...in plaats daarvan mag je van de Rabo geen custom roms installeren. Dat is tenminste mijn interpretatie van de gebruiksvoorwaarden van hun app :P .
lammert
@Bananenplant3 mei 2016 12:36
Ik heb de voorwaarden niet gelezen :O, maar de Rabo app werkt uitstekend op Cyanogenmod op mn Nexus 4 (laatste security update 29 april 2016 trouwens). Omdat je voor betalingen ook nog een random reader/scanner en pincode nodig hebt lijkt het me ook op een geinfecteerde foon moeilijk hier misbruik van te maken.
Bananenplant
@lammert3 mei 2016 12:41
Zou ik wel doen, die voorwaarden lezen. Je zult maar net fraudeslachtoffer worden en niet door de bank schadeloos gesteld worden omdat ze vinden dat het volgens hen aan jezelf te wijten was door je custom rom...

[Reactie gewijzigd door Bananenplant op 3 mei 2016 12:41]

LocK_Out
@Bananenplant3 mei 2016 12:28
Eigenlijk wel ironisch, omdat custom roms meestal nog sneller gepatched worden dan de originele.
Confusius-nl
3 mei 2016 12:09
Zojuist voor mijn N5X MTC19T geflashed ( system, boot, vendor), rooten, en weer EX Kernel er overheen.

Draait als een zonnetje.
swhnld
3 mei 2016 12:29
Android werkt anders dan iOS en Windows. iOS en Windows worden door Apple en Microsoft als kant en klare ROM's aangeleverd om op apparaten te zetten, zij houden de controle en verantwoordelijkheid.
Android werkt anders, Google maakt dat als een bouwpakket met Lego steentjes. De lego steentjes stelt Google beschikbaar en fabrikanten als Sony, Samsung, Huawei, etc. etc. kan daarmee zelf zijn ROM maken, en daar ook eigen lego steentjes voor gebruiken die niet bij Google vandaan komen (denk bijvoorbeeld aan eigen hardware aansturing, of vervanging van standaard apps met eigen apps).

Het voordeel van et systeem van Google is dat iedereen ermee kan doen wat hij/zij wil, ook custom ROM's maken zoals CyanogenMod, en dat veel fabrikanten dit dan ook gebruiken, soms zelfs met alles van Google er uit gesloopt (bijvoorbeeld Amazon Kindle FireOS, en allerlei Chinese varianten). Dit systeem heeft tot brede acceptatie geleid, maar heeft al keerzijde dat allerlei updates ook door die fabrikanten overgenomen moet worden en getest, etc., etc..
De uitzondering is daarop de Nexus lijn die Google zelf voorziet van updates omdat het ontwikkel toestellen zijn. Ontwikkelaars hebben een recent toestel nodig om tegen te ontwikkelingen volgens Google, dus ze updaten die een beperkt aantal jaren, daarna moet de ontwikkelaar updaten naar een nieuwer toestel, hier mogen ook bugs in zitten.

Google doet wel iets om die beveiliging te verhogen, door onderdelen uit het OS te laten zodat updates via Apps in de Play Store kunnen lopen, en dor het mogelijk te maken dat alle Apps in de Play store gecontroleerd worden als ze uitgevoerd worden, ook die via Sideloading zijn geinstalleerd.
Echter, de basis blijft dat het OS gemaakt wordt door de fabrikant van de telefoon in geval Android apparaten.

De enige methode om dat gedrag van niet of amper updaten van ROM's door Android fabrikanten te veranderen is via rechtszaken en wetgeving afdwingen dat fabrikanten hun ROM's updaten, of door te stemmen met de voeten en massaal over te stappen op iOS of Windows apparaten want dat kost de fabrikanten inkomsten en leidt tot gedragsverandering.
Aardwolf
@swhnld3 mei 2016 15:51
Anderzijds bestaan er ook tig gemodificeerde Windows OS'en die vroeger vaak te verkrijgen waren via torrents of usenet. Bij deze OS'en kon je echter nog prima de security patches downloaden en installeren. Daardoor draaide je dus zonder originele (laat staan legale) Windows op je machine toch een volledig beveiligde versie... net zolang de patches voor de originele versies werden uitgebracht.

Zogezegd vind ik het wel wat vreemd dat dit bij Android onmogelijk is. Hoe kan het dat een OS en een aantal security patches zo afhankelijk zijn van hardware en softwarematige features van fabrikanten? Kan dit geen losse laag zijn, dus bijv.:
1) hardware met losse drivers+patches (third party- en telefoonfabrikant afhankelijk)
2) OS+security patches (direct via Google)
3) schil en andere telefoonspecifieke software (telefoonfabrikant)

Is dit het eigenlijke probleem waarom zoveel toestellen niet meer worden geupdate? (naast wellicht amper wetgeving die hierin voorziet)
swhnld
@Aardwolf3 mei 2016 16:57
Het afhankelijk zijn van de fabrikanten komt door de mix van Lego steentjes en hoe telefoons werken met OS updates. Er moet wel een nieuwe ROM gemaakt worden.

Het Windows besturingssysteem op een PC werkt heel anders dan een Linux besturingssysteem op een PC. Android is afgekeken van Linux(volgens sommigen is het zelfs hetzelfde).
In Linux op de PC werkt het als volgt, je hebt de basis, ook wel Kernel genaamd, en sommige stukken van het besturingssysteem zoals bepaalde hardware aansturing is onderdeel van die Kernel. Daar bovenop draai je een aantal lagen met aansturing van overige hardware, frameworks, applicaties, interface, etc. Een Kernel bouwen moet je bijzondere rechten vor hebben die op een telefoon standaard dichtgezet zijn ter verhoging van de beveiliging.
Doet een fabrikant een update dan moeten ze zeker weten dat die werkt op hun hardware en daar voor testen. Microsoft vertelde eens bij de release van Windows XP dat ze 160.000 verschillende hardware onderdelen ondersteunde en voor testten, en daar wordt voor betaald door een licentie van Windows te verkopen bij elke PC.
Bij Android doet Google alleen de eigen hardware testen, en de rest pakt een gratis kopie van de software en voegt hun eigen hardware toe en moeten die zelf testen (Samsung brengt bijvoorbeeld geen open source drivers uit voor hun Exynos processoren, Huawei hetzelfde voor hun Kirin processoren).
Dus, Windows betaal je voor en dan regelt MS het, Android is echter gratis aan te komen, dus moet je het zelf doen.
Aardwolf
@swhnld4 mei 2016 01:01
Bedankt voor je uitleg! Ik wist niet dat er nog zo'n verschil bestond in de manier waarop het OS is opgebouwd danwel werkt. Je verhaal verklaard wel een hoop.
willemd
3 mei 2016 10:21
Hoe kun je checken of je Android-apparaat besmet is?
l99030607l
@willemd3 mei 2016 10:29
Met de stagefright detector in de Google Play store
Mr_Q
@l99030607l3 mei 2016 10:37
Dat is niet correct. Stagefright detector geeft alleen aan of je kwetsbaar bent.

Kwetsbaar en besmetting zijn 2 totaal verschillende dingen. Besmetting is soms overduidelijk, soms helemaal niet. Theoretisch kan een antivirus/malware scanner je vertellen of je besmet bent.

EDIT: fix typo

[Reactie gewijzigd door Mr_Q op 3 mei 2016 11:54]

l99030607l
@Mr_Q3 mei 2016 11:27
Ah mijn fout
mailis
3 mei 2016 11:56
Kan iemand mij uitleggen waarom deze updates altijd via een patch moeten komen? Nu zorgt dit ervoor dat je als gebruiker afhankelijk bent van de fabrikant en/of provider en de vele toestellen zorgt voor een onhandige situatie.

Waarom niet gewoon via de Google Play Services of zelfs een aparte Google Security app?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee