Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties
Submitter: himlims_

Een beveiligingsbedrijf heeft vier ernstige kwetsbaarheden in de drivers van Qualcomm voor Android aangetroffen, die het mogelijk maken met een kwaadaardige app een toestel over te nemen. Voor een van de vier kwetsbaarheden is er nog geen patch.

Quad RooterBeveiligingsbedrijf Check Point heeft de bundel kwetsbaarheden gedoopt tot QuadRooter en details erover zondag gepresenteerd bij de Def Con-conferentie. Het bedrijf heeft een Android-app uitgebracht waarmee gebruikers kunnen controleren of hun toestel kwetsbaar is.

Volgens het bedrijf lopen 'honderden miljoenen' toestellen risico, waaronder recente smartphones. De kwetsbaarheden zitten in de driver voor Qualcomm-chipsets en kunnen misbruikt worden door een kwaadaardige app te ontwikkelen die een aanvaller met verhoogde rechten toegang tot apparaten geeft en zo die systemen volledig over kan nemen. Een dergelijke app heeft geen speciale toestemming nodig om de kwetsbaarheden uit te kunnen buiten.

De onderdelen die kwetsbaar zijn betreffen de ipc_router, die de onderlinge communicatie tussen Qualcomm-onderdelen afhandelt, en ashmem, Androids subsysteem voor de allocatie van geheugen. Daarnaast zitten er uit te buiten weeffouten in de gpu-kerneldrivers kgsl en kgls_sync.

Check Point heeft Qualcomm in april gewaarschuwd, waarna de fabrikant patches heeft ontwikkeld en vrijgegeven voor fabrikanten van toestellen. Drie van de vier problemen zijn opgelost met de meest recente security-update van Google, waarmee in ieder geval Nexus-apparaten hiervoor geen risico meer lopen. Veel fabrikanten baseren hun beveiligingsupdates op die van Google, zodat ook voor veel andere toestellen inmiddels updates beschikbaar zijn.

Voor de vierde kwetsbaarheid is nog geen patch beschikbaar. Google publiceert deze in september. Aangezien Qualcomm zelf de code heeft vrijgegeven aan fabrikanten, is het mogelijk dat deze zelf patches ontwikkelen maar dit is niet zeker. Check Point heeft kritiek op het onduidelijke beveiligingsupdatebeleid met betrekking tot Android. Hierop is al langer kritiek, onder andere vanwege de ernstige Stagefright-kwetsbaarheid. Stagefright was voor Google aanleiding om te beginnen met de maandelijkse patchronde. Onder andere Samsung, LG en Sony proberen die updates zo snel mogelijk naar gebruikers te brengen.

Moderatie-faq Wijzig weergave

Reacties (113)

Drie van de vier problemen zijn opgelost met de meest recente security-update van Google, waarmee in ieder geval Nexus-apparaten geen risico meer lopen.
Klopt dus niet, aangezien er voor één van de vier kwetsbaarheden nog geen patch is. Ook Nexus toestellen met de laatste security patches lopen dus nog risico.
Jullie kunnen dit wel op Android gooien, maar het feitelijke probleem zit in de driver die Qualcomm heeft geleverd voor de aansturing van hun chips. Dit is in april aan Google gemeld en voor 3 van de 4 lekken heeft Google deze maand een patch uitgebracht. Nummer vier is kennelijk wat lastiger, en die komt 1 september.

De andere telefoon-OSen bevatten uiteraard ook fouten. Apple heeft het voordeel dat ze een zeer beperkt aantal hardwareplatformen moeten ondersteunen. Microsoft kan het ook nog overzien met Windows Mobile maar het aanbod Android systemen is eindeloos. Google doet haar best om de bekende problemen op te lossen en als je een Nexus device hebt krijg je deze ook maandelijks.

Het échte probleem huist in de fabrikanten van Android telefoons. Er zijn er zeer weinig die netjes iedere maand een OTA uitgeven om alle toestellen bij te werken. Mijn Motorola X Play had bijvoorbeeld updates tot en met maart. Een latere OTA is nog niet uitgegeven. Om die reden heb ik hem ge-unlocked en ben ik overgestapt op een custom ROM. Gisteren is de laatste versie vrijgegeven, en deze is weer gebaseerd op Android 6.0.1_R61, waar dus de updates van augustus in zitten.

Bij de aanschaf van een nieuw Android device kan je dus het beste een Google Nexus device nemen, of een toestel wat je kan unlocken en wat voorzien is van bijvoorbeeld een Snapdragon waarbij de drivers en data beschikbaar is.
het probleem van android is oa dat heel erg veel toestellen in het android-ecosysteem deze updates nooit zullen krijgen, dat is even goed de schuld van google (die iedereen naar android pushed zonder een strikt veiligheid-beleid te voeren, als die van samsung htc huawei en andere telefoonmakers.

want laten we eerlijk zijn, als google bereid is zijn macht te misbruiken om google maps op telefoons te krijgen, waarom dan niet gebruiken om veiligheids patches te forceren daar waar fabrikanten ze liever waren vergeten.
Ik denk dat het probleem van android updates vooral ligt bij het feit dat de hardware vendor verantwoordelijk is voor de software. Software die ze weer afnemen van google en dan daar weer zelf per device aanpassing aan doen.

Ten eerste zijn meeste hardware vendors ingesteld | het verkopen van nieuwe hardware en niet op het langdurig ondersteunen van software waarbij zij geen direct economies belang meer bij hebben.

Daarbij komt ook nog dat er bij het updaten van android een stuk meer komt kijken dan domweg een update van hun aangepaste android versie flashen. drivers en custom hardware features die niet in de kernel zijn opgenomen blijven daarbij een probleem.

De beste optie voor end users zou zijn als alle drivers standaard in android opgenomen zouden worden en google verantwoordelijk zou wprden voor het onderhouden van de hardware.

Helaas zouden daarmee de hardware fabrikanten eerst moeten zorgen dat de drivers in de linux kernel en aosp zitten. Wat betekend dat deze open source moeten zijn. En niet iedere chip fabrikant is daar nu toe bereid.
Google maps kreeg je zowat bij Android 1 en kan je niet echt geforceerd noemen.
Het échte probleem huist in de fabrikanten van Android telefoons. Er zijn er zeer weinig die netjes iedere maand een OTA uitgeven om alle toestellen bij te werken.
Google heeft ondertussen geen excuus meer. Ze hebben nu al 8 jaar de tijd om een fatsoenlijke manier te vinden om devices met hun OS veilig te maken. Het wordt altijd makkelijk op de fabrikanten gegooid maar Google moet harde eisen gaan stellen aan de providers en developers van toestellen al willen ze de Play store en andere Google services gebruiken. Klinkt misschien een beetje Apple achtig, maar blijkbaar kan het niet anders. Het is gewoon schandalig als je een toestel koopt van 6 a 700 euro en na 2 jaar komt de volgende stagefright uit dat zolang je je telefoon blijft gebruiken hij zo lek als een mandje is.
Ik denk dat je een beetje te hard van stapel loopt.
Je moet je bedenken dat alles wat door een persoon gemaakt is gekraakt kan worden, dat zie je wel met het gesloten ecosysteem van Apple, men vindt namelijk steeds meer exploits en bugs voor jailbreaks. Omdat Android relatief open source is (relatief omdat AOSP en Android eigenlijk niet hetzelfde zijn, maar Android wel is gebaseerd op AOSP), is het nou eenmaal makkelijker om exploits te vinden, vandaar dat Google nu zo veel mogelijk security patches per maand probeert te leveren en een bug bounty program heeft.

Verder is het misbruik van desbetreffende exploits erg laag, ook met de eerste stagefright zijn er vrij weinig gevallen geweest waarbij deze exploit ook echt gebruikt werd, nu nog steeds.

Al vind ik wel dat Google ietwat strengere eisen moet stellen aan de fabrikanten of een soort Rolling Release update systeem moet ontwikkelen, vind ik dat de fabrikanten ook eens beter hun best mogen doen. Een voorbeeld zou dan HTC moeten zijn, zij hebben veel van hun apps (frameworks, apps, launcher, enz.) in de play store staan, zo hoeven zij veel minder te doen dan bijvoorbeeld samsung die grote delen van android bewerkt heeft.
Verder is het misbruik van desbetreffende exploits erg laag, ook met de eerste stagefright zijn er vrij weinig gevallen geweest waarbij deze exploit ook echt gebruikt werd, nu nog steeds.
Ik hoop niet dat dit de mentaliteit is bij fabrikanten of Google/Apple/MS. Als het niet bloed, laat maar zitten. Goed genoeg. Mensen die secure willen zijn kopen toch wel een nieuw toestel met de laatste updates. Dat kan echt niet.
Problemen bij het patchen van de os zelf ligt in dit geval niet aan Google, zoals het artikel al zegt doen ze er wel iets aan. Het uitgeven van tientallen telefoons per generatie (à la Samsung) en die dan niet updaten is het probleem.

Maar zoals ik al zei in mijn reactie is rolling release dan ideaal en dan nog beter is om de drivers in de linux kernel te plaatsen. Dan is alleen een backport en nog wat polijst werk nodig.

[Reactie gewijzigd door jja2000 op 8 augustus 2016 15:38]

Het is helemaal niet verstandig dit in welke vorm dan ook aan fabrikanten te laten. Updates moeten worden voorzien en worden uitgerold door degene, die de software heeft gemaakt. Dus Google voor het OS, qualcomm voor de drivers en fabrikanten dan alleen nog voor de schillen. Kwa hardware is android tamelijk versplinterd, maar dat zie je ook bij pc's. En toch zijn die gewoon veilig, omdat het OS en de drivers worden geupdate, onafhankelijk van de hardware fabrikant. En dat is ook heel belangrijk, want die partijen hebben verschillende belangen die vervolgens leiden tot een situatie waar de software ontwikkelaar wel geeft om de beveiliging van zijn eigen software, maar de hardware fabrikant niet.
Cyanogenos houdt de beveiligingsupdates ook nog aardig bij, binnen een week de patch van augustus gehad
Ik heb nu een custom cyanogen ROM, alleen heb werkelijk geen idee hoe ik updates uitvoer, wanneer ik druk op "nu installeren" kom ik bij m'n "team win" custom bootloader uit. En na een reboot lijkt alles hetzelfde.
In de recovery moet je de update installeren. Google het maar eens
Worden de nieuwe toestellen niet met de augustus security patch gereleasedt?
Dat wil zeggen dat ze je nog een maand moet wachten op de security patch, maar gezien de meeste mensen hun toestel pas in handen zullen hebben in september of erna is het geen groot probleem. Vooral als je weet dat dit waarschijnlijk niet de enige kwetsbaarheden zijn.

Het is pas een probleem als je lang nadat een kwetsbaarheid bekend is deze nog hebt in jouw toestel, dan hebben "hackers" genoeg tijd gehad om er iets met te doen en ze doen dit ook aangezien ze weten dat de meeste toestellen geen security patch updates meer krijgen.

[Reactie gewijzigd door GoldenBE op 8 augustus 2016 12:19]

Een telefoon wordt gereleased met een bepaalde ROM versie. Bij mijn weten worden later uitgeleverde toestellen niet met een nieuwere ROM uitgeleverd, ook al is die beschikbaar.

Als je dus nu een nieuw toestel koopt, kan het zijn dat de ROM van december is. Of zelfs nog Lollipop. Dan is het aan de fabrikant om updates uit te brengen en als die dat niet doet dan heb je dus geen updates.

Het belangrijkste is dat je een SoC hebt waarbij een custom rom mogelijk is. Dan kan je namelijk altijd naar een bijgepatchte rom toe.
Het eerste wat je normaal zou moeten doen is je toestel updaten, en terug factory resetten.

En een een unlockbare bootloader is ook belangrijk ;)
Ik denk dat Windows drivers veel gevarieerder zijn dan Android c.q. Linux drivers. Veel mobieltjes gebruiken toch maar een beperkt aantal SoC's.

Het is toch schrijnend dat fabrikanten beveiliging van hun software zulke lage prioriteit geven.
Het is niet Qualcomm of Google, het is verantwoordelijkheid van de hele open source community.
Als ik kijk in de laatste securiy bulletin dan valt mij op dat veel zelfs Critical kwetsbaarheden al in mei zijn gemeld. Ik kan mij herinneren dat Google kwetsbaarheden van Apple en MS naar buiten heeft gebracht omdat ze niet binnen 30 dagen gepatched waren. Wat een hypocrieten. De lijst voor augustus is ook niet al te kort trouwens. En dan schrijven ze dit:
Security has always been a major focus for Android and Google Play: Android was built from day one with security in mind.
Ze hebben er wel aan gedacht op dag 1.
Je verdraait de boel. Google maakte publiekelijk dat zij bepaalde bugs had gemeld bij Apple en MS, omdat ze binnen 30 dagen geen enkele reactie had vernomen van Apple noch Microsoft. Dat is iets anders dan niet binnen 30 dagen gepatcht hebben en dan de hele exploit publiceren.
90 dagen is een redelijke termijn. Dat Google zich daar zelf niet aan houdt, is natuurlijk betreurenswaardig.

Maar laten we voorop stellen dat het nog veel bonter kan, zoals een SSL lek 18 maanden onberoerd laten:
http://www.theverge.com/2...apples-epic-security-flaw
Ik ga dat zeker niet goed praten, maar of dit bonter is, dan alle security flaws die ik in de Android Bulletins zie weet ik niet. Want heel veel van deze exploits waren er al lang voordat ze bij Google bekend waren. Google blust misschien redelijk snel brandjes, maar ze hebben zelf door onzorgvuldige programmeren en architectuur gigantisch veel van deze beveiligingsproblemen veroorzaakt.
Wat ik niet snap, misschien heel onwetend, maar als de kwetsbaarheden bekend zijn kan Google in de appstore toch gericht zoeken naar malafide apps die hier misbruik van maken en deze verwijderen? De gemiddelde gebruiker zal apps alleen uit de store halen en lopen op die manier geen risico meer. Tenzij de app al geïnstalleerd is, maar die zouden ze kunnen vervangen met een update voor een lege versie bijv.

Iedereen die zelf apps installeert weet waar hij/zij mee bezig is en dat er altijd een risico aan zit.

Daarnaast zouden virusscanners hier ook op inspringen, gebeurd zoiets in het algemeen wel?

[Reactie gewijzigd door sanscorp op 8 augustus 2016 08:55]

Dat doet Google dan ook. Zelfs met apps die je reeds geïnstalleerd hebt:
Verify at app installation
With app verification turned on, when you try to install an app outside of Google Play, your device will do one of these things:
  • Recommend that you don't install the app
  • Block the installation of the app completely (if there's a security threat to your device)
When you try to install an app, your device may send information to Google identifying the app, including log information, URLs related to the app, device ID, your OS version, and IP address.

Scan for harmful apps on your device
When app verification is turned on, the installed apps on your device are periodically scanned. If a potentially harmful app is detected, "Verify apps" may take the following actions:
  • Recommend that you immediately uninstall the app
  • Remove an app that is known to be unsafe from your device
Uitgebreide uitleg van Google/Play Store/Android beveiligingsmaatregelen: https://arc.applause.com/2016/04/22/android-security-faq/

[Reactie gewijzigd door P1nGu1n op 8 augustus 2016 09:07]

Dat wist ik niet, maar is eigenlijk ook niet meer dan logisch.

@B64:
En v.w.b. virusscanners op je android toestel ben ik van mening dat je vaak genoeg gewaarschuwd word. Het risico van virussen is niet nieuw meer en virusscanners zijn gratis te downloaden.

Op de pc heb ik Panda en op android (juist door het gebrek aan popups/reclame zonder de app open te hebben) Avira.

Je loopt dan inderdaad achter de feiten aan, maar men zou actief een bericht kunnen sturen naar de getroffen eindgebruiker met een korte uitleg en advies om een scanner te installeren.

Vermoed dat het verwijderproces ook automatisch verloopt en dan kan dat er ook wel bij.
Waarschijnlijk doen ze zoiets wel, maar dan loop je altijd achter de feiten aan natuurlijk. En dan is het kwaad al geschied... En het aantal mensen met een virusscanner op hun Android-toestel is waarschijnlijk erg laag.
Precies, je pakt het probleem op deze manier niet bij de kern aan.
Er zijn genoeg Android gebruikers die niet al hun apps vanuit de Play Store installeren (zie Pokemon Go), uiteindelijk wordt het vingertje naar Google of de maker van de smartphone gericht en verwacht men dat 1 van hun dit probleem aanpakt.
Die apps worden ook gescand voor installatie.
https://support.google.com/accounts/answer/2812853?hl=nl
"De installatie van potentieel schadelijke apps wordt voorkomen of u wordt hiervoor gewaarschuwd."

Klopt, maar het gros van de gebruikers zullen een waarschuwing krijgen en deze negeren omdat ze de app toch willen gebruiken.
Wacht tot het rode licht gedoofd is, er kan nog een trein komen...
Dan is het geen hardware of android probleem meer maar een pebkac...
Je kan dit natuurlijk ook via de browser exploiten, Javascript code op een website wordt door niemand gechecked.
Waar kan ik zien of deze driver updates geïnstalleerd zijn?
Settings/about phone
Als je phone patch rondes ontvangt moet die ertussen staan.
Ik zie dat mijn LG G4 2016-01-01 aangeeft bij "Android security patch level". Het lijkt mij dat deze dan dus geen updates ontvangt. Toch vreemd als er hier in het artikel staat dat LG zijn toestellen bijwerkt.
Kan zijn dat LG wel patches uitbrengt maar dat de carrier (provider) alles eerst moet "keuren" voordat deze uitgegeven wordt. Is vaak het geval wanneer de telefoon gekocht is via een provider.
Alleen simlockvrij gekochte devices hebben roms die rechtstreeks door de fabrikant worden geupdate.
Toestel is gewoon simlock vrij en is wel met abonnement gekocht, maar niet carrier branded.
Hij is ooit met abonnement gekocht bij een provider dus wss wordt de rom va het toestel ook onderhouden door de provider. Telefoon hoeft niet carrier branded te zijn daarvoor.
En hoe kun je daar achter komen dat dit het geval is? Kun je dat nog ergens zien in je toestel? Ik vraag me namelijk af of Tele2 daar echt iets mee doet namelijk.
Nee volgens mij kan je dat niet zien. Provider bepaalt wanneer de updates doorkomen en is de laatste schakel in je update keten.
Je kan nog checken of lg officiele roms heeft uitgegeven die nieuwer zijn dan de jouwe. In dat geval kan je proberen deze te flashen op je phone. Als je bovenstaande besluit te doen zorg wel dat je een back up maakt voor het geval je je data verliest.

[Reactie gewijzigd door parryfiend op 8 augustus 2016 11:49]

Bij in ieder geval T-Mobile maakt dat niet uit. Ik heb een jaar of 5 terug bij hun een sim only abo gehad voor een los gekochte telefoon en toen kreeg ik opeens een T-Mobile branded system update op mijn Nokia. Ik vond het vrij onbeschoft dat ze ongevraagd allerlei standaard menu's en afbeeldingen voor T-Mobile meuk hadden vervangen en ik ben er toen ook weggegaan. Bij andere providers heb ik dit nog niet meegemaakt
T-Mobile en Vodafone pushen hun eigen aanpassingen naar je toestel. Dan wordt een unbranded simlockvrije telefoon dus opeens een carrier branded telefoon op basis van de simkaart die je erin stopt. Check maar eens met een KPN sim in een unbranded simlockvrije HTC of LG Android of er software updates zijn. Als die er niet zijn, doe deze controle dan nog eens een keer met een Vodafone of T-Mobile sim. Opeens is er dan wel een software update. Als je die wil installeren zie je opeens staan "Vodafone update" of iets dergelijks. Na het installeren heb je een branded toestel (zonder simlock). Doorgaans kan je deze extra providersoftware wel verwijderen. Daarna zal je toestel je blijven herinneren dat er een update is. Maar raar is het wel om dit ongevraagd te pushen. Volgens mij hebben de providers in ieder geval al laten weten dat ongevraagd instalkeren hiervan wordt gestopt. Ze blijven het echter voor enkele merken toestellen wel aanbieden.
Je zou het ook eventueel kunnen updaten met LG PC suite, deze installeert alleen de officiele roms. Handig wanneer OTA's niet komen
Geïnstalleerd, en moet uiteindelijk over naar LG Bridge omdat de LG PC Suite de LG G4 met Android 6 niet ondersteund. Die tool geeft aan dat de software up to date is.
Oh vreemd, mijn LG G3 gaf geen nieuwe update aan via OTA, maar PC Suite wel. Maar gelukkig dat je een werkende tool hebt gevonden.
Wel een werkende tool, maar nog steeds geen security fixes na 1-1-2016 helaas
Vreemd maar het schijnt een Europees kwaaltje te zijn, andere landen buiten de EU krijgen hem wel
LG update denk ik niet alle telefoons, de meeste fabrikanten updaten alleen high end modellen en een paar mid range toestellen. Zoals verder ook gezegd: het kan ook door je provider komen. Je kan natuurlijk wel zelf proberen om de update te vinden en die te installeren
De LG G4 lijkt me toch bij de high end toestellen horen tbh, deze staat ook nog in de planning om de volgende Android versie te krijgen.
Mijn LG G4 geeft precies hetzelfde aan. Laatste update 2016-01-01.
Het duurde ook eeuwig voordat LG de stagefright kwetsbaarheid getackeld had.
Ik vind de G4 een gave telefoon maar denk toch dat dit mijn laatste LG phone is.
Drie van de vier problemen zijn opgelost met de meest recente security-update van Google, waarmee in ieder geval Nexus-apparaten geen risico meer lopen.
En die vierde? Of is die niet te misbruiken?

Edit: De Nexus apparaten lopen dus nog gewoon risico...

[Reactie gewijzigd door ADQ op 8 augustus 2016 10:13]

Zoals in het artikel beschreven, daar is nog geen patch voor.
Ben ik blij dat ik een Exynos gebruik!
Ga jij maar met een Exynos meer dan 2 jaar support krijgen voor software-updates van je telefoon. Alles is closed-source en de community kan niks met deze chips. Bij Qualcomm is alles(behalve de radio, omdat dit voor de wet niet mag) open source onder de CAF forum.

Uiteindelijk is je Exynos makkelijker te misbruiken dan een Qualcomm omdat je gewoon geen updates meer krijgt en je volledig afhankelijk bent van Samsung. 8)7

[Reactie gewijzigd door BJ_Berg op 8 augustus 2016 08:50]

De S3 heeft nog een Stagefright fix gehad, bijna 4 jaar na release. De duurdere modellen (maar ook bijvoorbeeld middenklasse zoals de J5) krijgen maandelijks een security update. De Exynos S5 hier op het bureau heeft recent de juli update gehad, ruim 2 jaar na release.

[Reactie gewijzigd door Jortio op 8 augustus 2016 15:12]

Mijn (nu verkochte) S6 had in juni de laatste update binnen(zelfs volgens sammobile), en die had een security patch van januari 2016, hoe bedoel je maandelijks. 8)7

De enige die wel optijd patches krijgt is de franse en britse firmware. Maar Samsung Nederland laat altijd wel heel erg lang op zich wachten.

[Reactie gewijzigd door BJ_Berg op 8 augustus 2016 09:59]

Dat ligt vooral aan je provider. De S6 van Vodafone kreeg 20 juni de juni patch, 28 juni waren de T-mobile S6 branded versies aan de beurt, 1 juli de unbranded. Intussen is voor de meeste van deze toestellen overigens ook de juli patch beschikbaar en begin juni had de unbranded versie allang de mei patch. Dus waarom jij nog op de januari patch zat in juni, is mij een raadsel....

[Reactie gewijzigd door Jortio op 8 augustus 2016 15:12]

Maar daar is Vodafone verantwoordelijk voor de updates via Samsung. Je zou juist denken dat unlocked devices van Samsung zelf sneller updatest zouden moeten krijgen, maar nee, bij Samsung niet.
Dat is onder andere 1 van de redenen dat ik geen Samsung telefoons meer koop.
-edit-

Merkwaardig... Mijn eerste dubbelpost op tweakers...

[Reactie gewijzigd door Jortio op 8 augustus 2016 10:18]

Die zijn inderdaad exploit-vrij: [ROOT][SECURITY] Root exploit on Exynos
The security hole is in kernel, exactly with the device /dev/exynos-mem.
This device is R/W by all users and give access to all physical memory... what's wrong with Samsung?
Its like /dev/mem but for all.

[Reactie gewijzigd door P1nGu1n op 8 augustus 2016 08:56]

2012 niet de nieuwste...
Maar wel de ernstigste ;)

Het is om aan te tonen dat Exynos ook niet heilig is. Je kan nu wel juichen dat je een Exynos hebt, maar die kan morgen net zo goed aan de beurt zijn.
Klik voor de grap deze lijst eens door:
https://source.android.com/security/bulletin/

De enige verstandige manier om met een smartphone om te gaan is hem als permanent gecompromitteerd te beschouwen ;) (en dat geldt niet alleen voor Android)
Ja want die zijn perfect en iedereen met een Qualcomm processor in zijn telefoon haalt het einde van het jaar niet. |:(
Volgens het bedrijf lopen 'honderden miljoenen' toestellen risico, waaronder recente smartphones
Bestaat er eigenlijk nergens een database waar je:
- een toestel kan opzoeken en de known vulnerabilities terugkrijgt + of ze gepatched zijn door de fabrikant of eventueel een linkje wat je kan doen als ze dat niet zijn. (En laat ons gewoon even uitgaan van de tweakervrije situatie, dus geen rooten, geen custom roms, iets wat Janneke en Mieke realistischerwijze kunnen doen)
- een vergelijking (score) hoe goed fabrikant A het doet tegenover fabrikant B. Ik heb werkelijk geen enkel idee wie nu eigenlijk slecht scoort.

Het zou volgens mij zelfs een mooie feature zijn van de pricewatch: "voor dit toestel zijn er momenteel X known vulnerabilities" en "deze leverancier heeft een Y track record als het op fixen aankomt" (resultaten uit het verleden zijn geen garantie voor de toekomst). Zo zou je bij de grote massa ook wat meer bewustzijn creëren.

Ik geef toe dat het een massa informatie zou zijn om te verwerken en bij te houden, maar ik ben eigenlijk verbaasd dat ik het zo niet direct kan vinden of iemand dit al ergens doet.
Dat is vrijwel onmogelijk. Per regio/land heb je al diverse roms per toestel. Daarnaast zijn er ook nog rom specifiek voor providers.
En dan hebben we het nog niet over de grijze import vanuit China, want hoe wil je daar de informatie voor krijgen over dergelijke toestellen?
Zoals ik zei, ik besef dat het om veel data gaat, maar op zich is het toch ook maar dat: een database met vulnerabilities & fixes en eentje met specs & firmware versies voor elk toestel en de fixes die het bevat. En ja die tweede is een hele grote om te onderhouden, maar per toestel of reeks toestellen valt het allemaal misschien nog wel mee (het is net een klacht dat die er veel te weinig zijn).

Veel nieuws is ook van het type "dit treft alle toestellen met iOS 9.1 of lager" en "dit is gefixed vanaf Android 5.0".

Grijze import hoeft trouwens niet zo'n probleem te zijn, die is ergens in een ander land gewoon "normaal".
Scan gedaan mijn S6 is niet kwetsbaar.
Exynos chip waarschijnlijk
Ouch, des te meer reden voor fabrikanten om Google's maandelijkse patch rondes zsm te implementeren in hun release schedule. Ik zit zelf ook op een qualcomm soc maar krijg gelukkig maandelijks patches. Laatste is van vorige maand 1/07/16

Anders, zsm switchen naar een custom rom.

[Reactie gewijzigd door parryfiend op 8 augustus 2016 09:22]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True