Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties

Google heeft laten weten dat Android-toestellen vanaf versie 4.2 beschermd zijn tegen de recent ontdekte Quadrooter-kwetsbaarheden. Dat betekent dat meer dan negentig procent van alle Android-apparaten niet getroffen is.

In een reactie aan Android Central laat Google weten dat apparaten met Jelly Bean of hoger beschikken over de 'verify apps'-functie. Deze functie laat een waarschuwing zien als een app buiten de Play Store om wordt geïnstalleerd en kan een installatie volledig blokkeren als deze mogelijk een beveiligingsrisico vormt. Om kwetsbaar te zijn voor Quadrooter zouden gebruikers daarom zowel de functie voor het installeren van apps uit onbekende bronnen moeten inschakelen als de verificatiefunctie moeten uitschakelen. Daarnaast zou de SafetyNet-techniek ook bescherming bieden.

Op oudere apparaten kunnen de beveiligingsmaatregelen handmatig ingeschakeld worden. De vier Quadrooter-kwetsbaarheden werden door het beveiligingsbedrijf Check Point ontdekt en gepresenteerd op de Def Con-conferentie. De lekken zijn aanwezig in de driver voor Qualcomm-chipsets en kunnen door een aanvaller ingezet worden met behulp van een kwaadaardige app.

Bij de publicatie schatte het bedrijf in dat 'honderden miljoenen' toestellen kwetsbaar zouden zijn door de beveiligingslekken. Drie van de vier lekken zijn inmiddels door Google opgelost, waardoor deze niet meer aanwezig zijn op toestellen met het meest recente patchniveau. Een vierde kwetsbaarheid, aanwezig in het ashmem-subsysteem van Android, wil Google in september patchen.

Door het vertraagde patchproces op Android blijven veel toestellen kwetsbaar ondanks updates door Google. Zoals nu blijkt bieden de verificatie- en SafetyNet-functie een aanvullende laag bescherming. Check Point heeft een tool beschikbaar gesteld waarmee gebruikers kunnen controleren of zij kwetsbaar zijn voor Quadrooter.

Moderatie-faq Wijzig weergave

Reacties (119)

Helaas ben ik ook met mijn Nexus 5x, Android V6.0.1 getroffen.
3 van de 4 CVE's vulnerable. :( Dat wordt maar even updaten binnenkort.

CVE-2016-2059 is bij mij gefixed in 6.0.1 (MMB29), terwijl de beveiligingsupdate van 1 januari 2016 dateert en schijnbaar in April gefixed moet zijn. Hmmm :p

En besides, vanaf versie 4.2 . Ik zit op Android versie 6 en ik ben getroffen. 8)7

[Reactie gewijzigd door CyberDonky op 10 augustus 2016 10:05]

Lees het bericht: de bescherming komt vanuit de verify-apps-functie. Het systeem is dus wel kwetsbaar, maar je hebt er bescherming tegen: ent zoals een virus Windows kan aanvallen, maar je beschermd bent met een degelijk anti-virus programma die files checkt voor ze iets kunnen doen.

Enkel wanneer je dus apps zomaar installeert zonder ze te checken (dus de verify-apps functie uitschakelt) ben je daadwerkelijk kwetsbaar. Maar daarvoor moet je dus

1) toestaan dat je apps buiten de playstore om kan installeren (een setting aanpassen)
2) een besmette app binnenhalen (een domme actie: CandyCrushCheatMachine.apk, FreePornStream.apk en CrackedMonumenValley.apk zijn niet de slimste dingen om zomaar te downloaden en installeren)
3) de Verify-apps functie uitschakelen (ook een domme actie, zeker als je stap twee al uitvoert).

[Reactie gewijzigd door kiang op 10 augustus 2016 11:25]

Hoe bedoel je getroffen? Heb je het virus gehad? Nee dan ben je dus ook niet getroffen :)

Kwetsbaar zijn is niet hetzelfde als getroffen zijn. We zijn allemaal kwetsbaar voor Aids HIV maar met de juiste voorzieningen hoef je daar niet door getroffen te worden, de scanner van Android is in dit verhaal de condoom :)

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 10:16]

Dat je (nog) niks merkt betekent *niet* dat je geen virus hebt opgelopen..
Goed om te weten, mag ik vragen waarom je dat precies aan mij meld? Zeg ik wat anders dan?

Aan zijn post te lezen is het gewoon imho duidelijk dat hij kwetsbaar en getroffen door elkaar haalt. Ik help hem het verschil in te zien, en misschien zag ik het zet zelf verkeerd en verbeterd hij mij straks.

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 11:34]

Zeg ik wat anders dan?
Eigenlijk wel. Jij haalt getroffen zijn en merken dat je getroffen bent door elkaar. ;)

Kwetsbaar zijn, getroffen zijn en merken dat je getroffen bent zijn gewoon drie verschillende dingen.
Hij geeft toch duidelijk aan die getroffen is, dat sluit de optie dat ie getroffen is en het niet door heeft toch uit. Vandaar dus dat het bijna vanzelfsprekend is dat ie het door de war haalt met vatbaar zijn en ik dat dus ook suggereer :)

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 12:11]

Klopt, maar het gaat om "Heb je het virus gehad? Nee dan ben je dus ook niet getroffen :)"
Dat is gewoon niet waar, tenminste als je met de eerste vraag bedoelt of ie iets heeft gemerkt.
Zoals ik het nu begrijp, kan je toestel wel kwetsbaar zijn voor de lekken, echter worden apps geveriefeerd door google zodra je een app (buiten de playstore om) installeerd. Als je deze beveiliging uit zet, dan loop je een risico, anders niet.
Die app-verificatie is volgens mij ook maar een hoop snake oil, het heeft bij mij nog nooit een malafide app tegengehouden buiten de Play Store om.
En hoeveel malafide apps heb je dan geÔnstalleerd waar je later last van hebt gehad? 8)7 Dit is net zo'n argument als "ik heb geen virusscanner nodig, want hij heeft nog nooit een virus gevonden in een malafide programma dat ik gedownload heb uit twijfelachtige bron."
Ik ben er voor 4 vatbaar en ook alle updates die er zijn op mijn oneplus 3. Vreemd. :)
"Door het vertraagde patchproces op Android blijven veel toestellen kwetsbaar ondanks updates door Google."

En dat is toch echt een rede waarom je sommige fabrikanten gewoon aansprakelijk zou moeten stellen als het mis gaat. "oh, toestel is 6 maanden oud, geen updates meer" of "hey een nieuwe update, we wachten tot hij uitkomt en dan gaan we rustig kijken hoe we onze skin hier overheen kunnen zetten", kan eigenlijk echt niet.
Wat een belachelijke haat-zaaierij die je daar quote :+

Anyhow, om het over updates te hebben: de Galaxy S5, gelanceerd op 11 april 2014, heeft momenteel Android 6.0, de laatste versie, en heeft de security patch van Juli gewoon gekregen, weliswaar een paar weken na de Nexus-lijn. Dat is dus 2 jaar en 4 maanden support and counting. Ik verwacht niet dat hij Andorid 7 krijgt, maar goed: tot zover wordt dat toestel dus niet 'na 6 maanden gedropt', en het is de termijn van 2 jaar, iets dat voldoet voor de meeste consumenten, al ruim voorbij.

Als je nu gaat lullen over 'ja maar da's een dure telefoon, goedkope teostellen...': de tweede Moto G uit september 2014 heeft ook gewoon de laatste versie van Android: 6.0, en met security patches, weliswaar met iets meer vertraging dan Samsung (Motorola bundelt security patches per 2 maanden oid). Bijna 2 jaar support al dus, voor een erg goedkoop toestel (sub 200 euro).(*)

Wat je vertelt is dus totale, absolute onzin: (goedkope) android toestellen met support zijn absoluut wel mogelijk. En die haat-bagger die je van een iPhone-extermisten site gehaald hebt mag je in het vervolg ook achterwege laten. Zeker omdat het hier totaal, totaal off-topic is :)


(*): Over de eerste Moto G kan ik niet vinden wanneer die exact zijn laatste update heeft gehad: die is uitgebracht in februari 2013, en is blijven steken op android 5.1.1, uit juli 2015: minstens 1 jaar en 7 maanden support dus, hoewel het meer kan zijn, maar ik vind nergens wanneer de meest recente security-update is uitgebracht voor dat toestel.
Al is het wel zo dat het toestel Galaxy S5 nog wel volop te koop is. De mensen die hem nu kopen verwachten wel een veilig toestel te kopen. Terwijl dat nu op korte termijn wel flink tegen gaat vallen omdat hij nu wel de updates gaat missen.
Eigenlijk moet een device wat je nieuw via officiŽle retailers koopt nog 2 jaar na aankoop ondersteund kunnen worden. En dus in de regel zou elk toestel 4-5 jaar support moeten krijgen met updates na lancering, of ze moeten sneller uit de handel. Maar een groot deel van het Android success zit hem wel degelijk in de oude flagships, betaalbaar 2 jaar na de lancering en toch een hele mooie telefoon, maar dan wel plots eigenlijk al bijna zonder support.
Daar heb je absoluut gelijk in. Als je als Samsung de S5 nu nog verkoopt, dan ook nog minstens een jaar support (en ja, dan ook een nieuwere Androidversie, niet alleen securitypatches) nadat deze uit de schappen wordt gehaald. En niet zoals (wellicht) nu een toestel in de schappen die al geen updates meer krijgt. Dat is met geen knuppel goed te praten.
Het zou fabrikanten sieren om bij toestellen te vermelden tot welke datum er updates volgen. Hiermee hebben gebruikers een keuze:

Koop ik een S5 zonder updates, een S6 met slechts enkele maanden updates of ga ik voor een S7 met nog enkele jaren updates.
daar ben ik het deels mee eens: ik vind inderdaad dat de support termijn neit enkel gebaseerd moet zijn op de lanceerdatum maar inderdaad ook op de verkoopdatum, en dus zou 3 jaar support een betere termijn zijn.

Langs de andere kant denk ik wel dat je wat overdrijft als je zegt dat Android zijn succes ligt in het verkopen van flagships twee jaar na lancering, wanneer ze pas betaalbaar zijn: dat strookt denk ik niet met de realiteit.

Als we inderdaad naar die S5 kijken, die nu twee jaar oud is, dan is er eigenlijk geen reden om dat toestel te kopen in plaats van bvb een Moto G van de derde generatie: ook waterdicht, betere batterij, in de praktijk ongeveer even snel, en dat toestel zal wss langer support hebben. En, de Moto G is goedkoper (200 vs 380 euro in de pricewatch).

Ik denk dus niet zozeer dat de S5 nu, 2 jaar na lancering, goed verkoopt. De S6 daarentegen wel denk ik.

Daarnaast kopen nog altijd vele mensen hun toestel bij een abonnement, en daardoor verkopen de nieuwste flagships ook nog altijd erg goed.
de nieuwe flagships verkopen zeker ook goed, maar er zijn toch wel heel veel mensen die voor 200 euro een oud flagship kopen. En dat telt net zo zwaar mee in de statistieken van merk en platform. Ik kan het ook niet onderbouwen, maar het is echt wel een significante onderstroom. Wij, de tech kenners en liefhebbers, zitten wel aan die voorkant maar hoeveel mensen die ik heb gevraagd: wat heb jij dan, als antwoord geven, zo een Samsung geval. Die mensen kijken bij het shoppen naar uiterlijk, Samsung logo en paar specs (camera etc). Dus lopen zonder het te weten met een 2 jaar oud toestel de deur van de winkel uit. Die weten echt niet of ze nog support krijgen.
En dat is echt wel een "groot" deel van de kopers.
Moto G (2013) heeft patch level 2016-03-01. Geinstalleerd in mei van dit jaar.
De Android versie is echter 5.1.
Dat vind ik persoonlijk netjes: je krijgt nog steeds veiligheidsupdates, tot zover tot 2 jaar en drie maanden na de release. Dat je geen feature updates krijgt zie ik persoonlijk niet als een enorm minpunt: je toestel doet nog altijd wat het deed bij verkoop, en de veiligheid blijft relatief up-to-date.
Sorry hoor meneer Kiang, maar mijn HTC One M8s uit augustus 2014 draait nog steeds Android 5.0.2. Blijkbaar is dit toestel al uitgerangeerd...
Je hebt een midrange toestel gekocht (ja, midrange: de SD 615 is al sinds lancering een goedkope midrange SoC). Als sinds het begin krijgen dat soort toestellen geen degelijke updates bij de meeste fabrikanten (de Moto G was de eerste uitzondering). Hoe irritant ik dat ook vind, als je je een beetje inleest, dan weet je dat. Als je updates belangrijk vond, had jij je ingelezen, en had je geweten dat dit te verwachten viel.

Mijn punt was nooit dat alle toestellen updates krijgen: dat is (jammer genoeg) helemaal niet zo. Mijn punt is dat er in elke prijsklasse degelijke toestellen zijn die wťl updates krijgen. Als jij updates belangrijk vond, had je die moeten kopen. Door toch een toestel te kopen waarvoor geen updates te verwachten waren gaf jij het signaal naar de fabrikant dat je het best ok vindt geen udpates te krijgen. ik kan het hen dan ook niet echt kwalijk nemen dat ze deze onzin blijven uithalen: mensen zoals jij belonen het, want dat soort rommel blijft toch verkopen.
1 jaar en 7 maanden is onder het wettelijke minimum in de EU van 2 jaar garantie. Het zou wat zijn als jouw auto na zoveel jaar geen fix krijgt voor zijn airbag, want de garantie is afgelopen. Bij mobieltjes moet het echter wel kunnen.
Ik denk dat we beter de fabrikanten kunnen verplichten om updates te geven in plaats van elke x maanden een nieuwere, nauwelijks gewijzigde versie op de markt dumpen.

Voorbeeld: het verschil tussen de Galaxy Tab 3 10.1 en de Tab 4 10.1 is minimaal. Een andere soc, maar meer niet. Toch een nieuwe Android versie. De samenwerking met Intel (Tab 3) bleek niet echt geweldig dus stapte Samsung maar weer af van die socs. Ondertussen blijven steken op Android 4.4. Na 1 jaar nogwat geen updates meer.

Ander voorbeeld: Galaxy A3 2016 geleverd met Android 5.1.1 terwijl 6 al lang en breed uit is en geen update ETA in zicht. Android 7 wordt deze zomer gelaunched. Ik hoop dat de Android 6 update nog komt, maar ga er niet vanuit.
1) zoals ik al zei, 1 jaar en 7 maanden is het maximale wat ik nu zo kan vinden. Ik ben er vrij zeker van dat de Moto G ook nog security patches heeft gekregen, ook al blijft hij op versie 5.1.1 (voor die versie is de laatste security patch van vorige maand), maar ik vind dus nergens wanneer de meest recente was.

2) Natuurlijk bestaan er rommel toestellen zoals de galaxy A3, en ja, het is onzin dat de Tab 3 geen updates krijgt die wel op de hardware kunnen draaien.
Mijn punt is echter dat voor klanten die het willen er genoeg opties zijn om toestellen te kopen, van eender welke prijs, die wťl updates krijgen.
En zodra consumenten dat ook daadwerkelijk gaan doen, dan zullen de fabrikanten wel volgen.
Iedereen beschimpt fabrikanten, maar op het einde van de rit willen die zo veel mogelijk winst, dus als ze ermee wegkomen om geen updates te leveren (dat kost tenslotte geld, ook al is het niet heel veel), dan zullen ze dat doen. Hoe frustrerend ik dat ook vind, ik snap het 100% dat ze quasi-wegwerp toestellen zoals de A3 en die hele Tab en J brol-series maken, als er een groep consumenten bestaat die die rommel blijft kopen.
Maar, er is dus keuze, waardoor de bal in het kamp van de consument ligt. Tijd dus om te stoppen met verantwoordelijkheid af te schuiven, en ook daadwerkelijk te doen wat je zogezegd wilt: als je updates wil, koop dan een van de vele toestellen die wel updates krijgen. Het is al jaren zo dat bij Samsung enkel de S en note series significante geupdated worden. Als je dan nu de J zoveel koopt en klaagt dat je geen udpates krijgt... dan vind ik dat een beetje eigen schuld.
Ik weet niet of jij wel eens nadenkt over wat je schrijft maar de A3 is geen rommel toestel met een startprijs van 299 euro.... Dat hij inmiddels is afgeprijsd doet daar niets aan af.
Kijk even naar de specs:
  • 1.5GB ram: een Moto G heeft meer. De ultra-goedkope, nu 3,5 jaar oude Nexus 4 had meer.
  • Android 5: Android 6 was al uit toen de A3 gelanceerd werd
  • 16GB opslag: dat schreeuwt 'low end', maximaal mid-end
  • geen 802.11 ac
Sorry, maar alles van dit toestel wijst erop dat het totaal geen hoogwaardig toestel is, en imo dan vooral de idiote hoeveelheid RAM.

Daarnaast, zoals ik al eerder zei: het is bekend dat toestellen buiten de S en Note series geen degelijke updates krijgen. Eender wie zich ook maar heel even inleest over updates bij Samsung kan dat zien.

Dus, ja, ik zie de A3 als een stuk rommel.

[Reactie gewijzigd door kiang op 11 augustus 2016 08:34]

Je praat onzin. De hoeveelheid ram zegt helemaal niets over de snelheid van het toestel. En ook niets over de use case. Ik ken meer dan zat mensen die een S6 / S7 alike toestel hebben en het nauwelijks meer gebruiken dan een beetje Whatsappen.

Bovendien brengen LG, Samsung en nog verschillende andere (premium) merken nog steeds 5.1.1. toestellen uit en ik verwacht niet dat Android Nougat daar verandering in gaat brengen. Misschien dat eind van dit jaar wat meer toestellen met 6.0.1 geleverd gaan worden maar don't get you hopes up too high.

Sterker nog, de onderkant van de markt wordt alleen maar breder. De rek is eruit aan de bovenkant en men heeft geen zin om weer veel te gaan betalen. Toestelsubsidies zijn afgeschaft en dus moeten er worden bijbetaald. Bovendien gaan toestellen onder de WFT vallen, waardoor je dus alleen nog een "niet stuk rommel" in jouw woorden krijgt als je het ook daadwerkelijk kan betalen.

https://www.rijksoverheid...foonabonnement-een-lening

Aangezien men in Nederland al veel moeite heeft om de basis zorgverzekering te betalen verwacht ik niet dat er veel toptoestellen verkocht worden, eerder mid to low end.

De Nexus 4 die je aanhaalt als "ultra-goedkoop" is buiten Bol.com voor 349,95 nergens meer te krijgen: https://www.bol.com/nl/p/...b-zwart/9200000014101467/

Overigens worden iPhones nog prima met 16GB geleverd en dat is zeker niet een low-end merk.

802.11AC is nergens voor nodig voor de gemiddelde gebruiker. 802.11N levert al praktijksnelheden die meer dan hoog genoeg zijn, of wil jij complete BD50's gaan binnentrekken?

M.a.w: veel ligt veel genuanceerder dan wat je zegt, en veel klopt er ook niet.

[Reactie gewijzigd door W00fer op 11 augustus 2016 10:39]

Samsung is een beetje HET voorbeeld van hoe de gemiddelde android handsetmaker aankijkt tegen android updates. Alleen de hi end en misschien als je geluk hebt sommige mid end lijnen wordt geupdate. De rest van de mid/ low end zal wss nooit een update zien.

Waarom? Rom onderhoud kost geld en op de al verkochte telefoons kan geen geld meer worden terugverdiend. Er is bij deze fabrikanten gewoonweg geen prikkel om een rom updatebeleid op te zetten en te onderhouden. Flinterdunne hw marges helpen ook niet echt.

In China is de situatie totaal anders. Een upstart als Xiaomi verkoopt hi en mid end toestellen voor een betaalbare prijs EN weet ze ook nog redelijk up to date te houden. De hw kunnen ze zo goedkoop houden omdat ze kosten als marketing en opslagoverhead tot een minimum beperken in hun verdienmodel, vergelijkbaar met 1+. Verder hebben ze in afwezigheid van Google een eigen ecosysteem weten op te zetten waarop ze geld terugverdienen met het verkopen van apps, diensten, smartphones en domotica.

Het is niet zomaar dat Xiaomi hun smartdevices up to date houden, het is in hun eigen belang! Zonder een veilig ecosysteem (hier miui) zouden ze immers clienten verliezen en dus minder inkomsten hebben uit hun store en diensten. Andere androidfabrikanten hebben deze 'incentive' helaas niet en zetten daarom ook alleen een updatebeleid op voor hun hi end lijn. Zolang mensen alleen maar lijnen blijven kopen zonder updatebeleid zal de situatie ook niet snel veranderen. De consument geeft dan immers een belangerijk signaal af, updates zijn niet belangerijk; mijn smartphone is een wegwerp artikel.
Helemaal kloppen doet dat niet, want je ziet hoe snel het kan gaan met Nokia, HTC en Blackberry. Als de consument het niet langer wil, wordt het niet verkocht. Met andere woorden als de consument updates wil, en die notie dringt tot steeds meer mensen door met allerhande hacks tegenwoordig, zal een fabrikant toch meer moeten doen dan alleen dozen schuiven. Eigenlijk is het gek dat Samsung ontzettend veel moet investeren in marketing om hun naam hoog te houden, terwijl de Chinees dat zonder kan en ook zat verkoopt. Mond tot mond reclame is een stuk goedkoper maar waarom kan dat bij de grote namen dan ook niet?

Uiteindelijk zullen meer fabrikanten overgaan tot het outsourcen van productie naar OEM's en ODM's ipv zelf fabriceren, zodat ze geld over hebben voor andere zaken. Ik denk dat de Blackberry DTEK50 een goede stap in die richting is (gefabriceerd door TCL) mits er voldoende updates blijven komen. Dat je geen 2+ jaar aan updates kan verwachten is jammer maar helaas.

Zelfs Fairphone die de wegwerpmaatschappij tegen wil gaan door modulair te zijn update volgens mij niet extreem vaak.

[Reactie gewijzigd door W00fer op 11 augustus 2016 11:50]

Software with the most vulnerabilities in 2015: Mac OS X, iOS, and Flash
http://venturebeat.com/20...5-mac-os-x-ios-and-flash/
En die worden dan ook opgelost, zelfs op een toestel van 5 jaar oud (iPhone 4S - 2011)

Hoe zit dat met toestellen met Android van 2011..?

De text is dan wel zeer overdreven, maar de budget phones met Android krijgen gewoonweg minder support dan de flagships. Ook zit je soms maanden te wachten voor een update vanwege provider, of fabrikant.

[Reactie gewijzigd door [Remmes] op 10 augustus 2016 11:36]

Het gegeven dat zij zo veel kwetsbaarheden kennen geeft je wel te denken over het Security-by-Design principe bij Apple. Ze zijn niet markt-dominant en het eco-systeem is ontzettend gesloten.

Dat het eco-systeem zo gesloten is en dat er zolang patches uitgebracht worden is in essentie ook een beveiligingslaag. Maar in het geval van Apple nog noodzakelijker dan bij Android.

Het patchbeleid is inderdaad top van Apple. Het schrijven (en testen) van software op het gebied van Security heb ik mijn serieuze bedenkingen bij. De schrijver die jij aanhaalt stelt dat Android een rush-job is en een Security nightmare. Of het een rush-job waar is weet ik niet, en v.w.b. privacy valt er ook genoeg te debateren. Maar als je kijkt naar de hoeveelheid kwetsbaarheden bij iOS t.o.v. Android vind ik dat de rush-job en Security-nightmare kanttekeningen zeker ook bij iOS gesteld kunnen worden.
Ik ben het inderdaad niet mee eens dat Android een rush job is, of een security nightmare. Maar als puntje bij paaltje komt is het gewoon een feit dat de meeste gebruikers van Android vaak maanden lang moeten wachten op updates, of die helemaal niet krijgen omdat hun telefoon niet meer ondersteund word.

Het moet anno nu gewoon sneller, en beter kunnen. Fabrikanten en providers horen gewoon buitenspel gezet te worden wanneer het aankomt op beveiligings updates.

Ik weet dat Apple niet heilig is, en ook bugs heeft (zoals jouw link dus duidelijk laat zien) maar er word anders mee omgegaan omdat Apple alles regelt ipv andere partijen hun gangetje laat gaan.

Als je kijkt hoeveel % nog op verouderde versies draait is eigenlijk te gek voor woorden. https://developer.android.com/about/dashboards/index.html
Daar ben ik het helemaal met je eens! Met Android N zou het beter moeten gaan omdat, geloof ik (kan het niet zo snel terugvinden) nu makkelijker is voor Google om deelcomponenten bij te werken. Weet alleen niet hoe, wellicht zoals met ChromeView.

Draaien op Android 5 is op zich niet erg, als de Security Patches maar gerold worden. Helaas is dat alleen vaak niet het geval :(
Dus jij beweert dat een toestel van apple(2010-2011) Iphone 4 & 4s evenveel security updates ontvangen als de huidige Iphone 6s? Ze steken ook nog op oude IOS versies... Met eventueel misschien wel een security update hier en daar maar zeker niet in dezelfde mate als hun huidig 'flagship'.

En bij 'Android' mag je ze niet allemaal over dezelfde kam scheren, tenzij je het hebt over nexus devices. Dan mag u dit wel doen.

Maar de updates hangen volledig af van andere producenten, dus ga dan even op de volgende bedrijven gaan zagen ...
- Samsung
- LG
- Huawei
- ....

Je weet als je een Nexus toestel koopt dat u 3 jaar updates gaat ontvangen.(Wat een deftige leeftijd is voor een gsm als je het mij vraagt). Indien je dit niet genoeg vind google even 'xda developers'.
De 4S draait op 9.3.4 oftwel de laatse iOS versie, dus ja

En ik mag Android prima over 1 kam scheren, het is en blijft namelijk Android. Google zou meer druk moeten leveren bij de andere fbrikanten, (en providers) om updates te leveren. Maar het is nu al jaren hetzelfde liedje.
En die worden dan ook opgelost, zelfs op een toestel van 5 jaar oud (iPhone 4S - 2011)
Het zou ook niet best zijn als ik voor mijn iPhone 4S van 500+ euro geen updates meer zou krijgen.
Want Android telefoons hebben nooit §500+ gekost?

Hoe duur was bijv de Samsung S3 of S4 in het begin?

kul argument weer.
In dit geval is de fabrikant verantwoordelijk voor de updates. Apple is zowel de fabrikant van de telefoon als de ontwikkelaar van de software. Dat heeft een voordeel: ze kunnen beide zaken van A-Z beheren.

Google heeft dat voordeel met Android niet. Daar ligt de verantwoordelijkheid bij de fabrikant. Heb je dan ook een probleem met een Android toestel uit 2011, dan moet je bij de fabrikant zijn en niet bij Google.

Dat neemt niet weg dat je punt van kritiek terecht is. Gelukkig zie je dan ook dat Android steeds minder afhankelijk wordt van fabrikanten en providers voor het uitrollen van updates. Ik denk dat het een goede ontwikkeling is.
Dat ze devices voor een te lage prijs verkopen mag natuurlijk niet het probleem zijn van de consument..
De auto met de laagste prijs moet ook gewoon veilig zijn.

Het moet gewoon zo zijn dat updates direct van Google komen.. zoals Windows dat ook heeft.
Volgens mij heeft Google er geld genoeg voor..

[Reactie gewijzigd door Olaf van der Spek op 10 augustus 2016 11:05]

Het moet gewoon zo zijn dat updates direct van Google komen.. zoals Windows dat ook heeft. Volgens mij heeft Google er geld genoeg voor..
Google doet dat tegenwoordig ook al steeds meer. Wat is je punt?
Steeds meer is niet goed genoeg. ;)
Nee, maar vergeet ook niet dat er natuurlijk veel weerstand is onder fabrikanten en providers. Op het moment dat iedereen een stock Android ROM heeft, daalt het onderscheidende vermogen en gaat het alleen nog om de keiharde specs of de prijs.

Google zal dus niet zomaar haar hand overspelen.
MacDailyNews wat een ontzettend slechte site, alleen die tekst die je nu post is lachwekkend en ik zou ze nooit serieus nemen, ook al zouden ze een punt hebben

Maar ja waarom zou je Android nieuws halen van een Apple/Mac site?

[Reactie gewijzigd door Sinester op 10 augustus 2016 10:51]

Is dit geschreven door iemand van die site, of is het een lezerscommentaar? Dat je enigzins biased bent voor een product kan ik begrijpen, maar dit is gewoon.. ongelofelijk.. en daardoor ook wel ongelofelijk grappig. Maar aan de geloofwaardigheid van die site doet het wel behoorlijk veel afbreuk.
Onzin. De flagship Android toestellen worden aan gelijkaardige prijzen verkocht (maar aangezien de hardware in die gevallen meer high end kan zijn kunnen de marges inderdaad wel wat lager uitvallen ;) ). De software support kan beter (maar dat is meer het gevolg omdat niet alleen Google maar ook de hardware fabrikant en soms ook de provider moet meewillen). Privacy wordt interessant want je weet het gewoon niet wat Google en Apple met je data aanvangt. Sinds Android 6 krijg je gelukkig weer controle over de permissies van je apps. Overigens lijkt Android (en Microsoft) meer aangewezen voor de meer technisch begaafde medemens die wat meer mogelijkheden en minder restricties wil.
Ik ben overigens blij dat Tweakers ook het volgende er bij schrijft:
"Om kwetsbaar te zijn voor Quadrooter zouden gebruikers daarom zowel de functie voor het installeren van apps uit onbekende bronnenmoeten inschakelen als de verificatiefunctie moeten uitschakelen."
iets wat de meeste media gewoon 'vergeten' want je hebt pas een headline als je kan beweren dat er 800 miljoen Android devices kwetsbaar zijn.
Wel grappig dat stock android ondertussen meer functies heeft, en gepolijster is als iOS. Verhoog of verlaag het volume van je iphone eens tijdens een game. Al je content op je inferieure schermpje wordt geblocked door een mega sound icoon. So polished, so good.

Oh en veiligheidslekken? Die heeft ieder systeem. Ook IOS. https://www.cvedetails.co...5556/Apple-Iphone-Os.html
Wil degene die hier gemod heef met spotlight zich melden? Deze reactie slaat natuurlijk helemaal nergens op. Kan er u eindelijk eens een keer gestopt worden met dat oeverloze gezever van Apple dit, Android dat, google zus. De mogelijkheid om te reageren op een bericht is er om iets toe te voegen, of extra info aan de lezers te verstrekken. Als je mensen of gerbuikers van een bepaald type device wil beledigen, ga dan lekker op dumpert zitten of zo. Ik ken veel mensen die door dit soort reacties afhaken en niet meer Tweakers bezoeken. Triest!!!
Wat een lachwekkende website, slecht geschreven, polariserend (we hebben nog niet genoeg ruzie met elkaar op het internet) en extreem biased. Die schrijvers noemen zich natuurlijk ook nog journalist :X

Ondanks dat ik zelf sinds kort een Macbook heb, zijn dit soort sites de reden dat fanboys zo lachwekkend zijn en ik stiekem soms een beetje een hekel aan Apple heb. Hoog en eenzaam op hun ivoren troon, zwaar verheven boven de Androidpaupers en andere stervelingen.. (en dat met een iPhone die gebruikt wordt door 800 miljoen mensen).

[Reactie gewijzigd door marhalm op 10 augustus 2016 13:16]

Je reactie is helemaal waar en verdient absoluut geen -1, maar die quote is wel beschamend echt, weet niet waar je die vandaan heb gehaald maar wat een klinkklare onzin is dat zeg, overduidelijk een of andere gepikeerde Apple gebruiker.
Goede post, beschamende quote.
Een fabrikant moet sowieso eerst wachten tot Google met een patch komt. Als ze zelf gaan patchen zijn ze niet alleen dubbel werk aan het doen, het kan ook zijn dat hun patch niet compatibel is met andere toekomstige aanpassingen in het OS. Ze moeten dus sowieso wachten voordat zij zelf kunnen testen of de patch goed werkt op hun toestellen. Want als men die gewoon overneemt en die blijkt uiteindelijk op hun toestel software te laten crashen dan gaan de klanten ook weer lopen klagen. Dat het bij sommige fabrikanten wat langer duurt weer je trouwens ook vooraf, voldoende gebruikerservaringen te vinden.

Ik zie trouwens ook niet in waarom we een fabrikant aansprakelijk moeten stellen voor een fout die misbruikt wordt door een derde partij. Het is niet alsof die fabrikant zelf hackers gaat aansporen om hun toestellen te kraken en klanten teleur te stellen.
Oems moeten samenwerken met google om bugs op te sporen en patches downstream af te leveren aan end users. Ze zijn mss niet aansprakelijk voor een hack maar wel voor onderhoud en veiligheid van hun rom.
Het blije bericht dat ik voor alle vier vulnerable ben..
Met een oneplus 2, beveiligingspatch van 1 juni jongstleden.

Kan het zijn dat er al weer een nieuwe patch is vrijgegeven?
Die van juli en augustus, wel door Google, maar dan is het aan OnePlus om die ook uit te brengen voor de OP2.
Okť, kon zo 123 even niet vinden dat die patches elke maand worden vrijgegeven.

Echter, is dit niet iets wat de play service moet kunnen updaten, los van het os?

Stel je voor, Google bouwt verificatie in dat een specifiek onderdeel van de playservice root toegang moet/mag krijgen. Wanneer er dan een nieuwe patch klaarstaat, haalt je device deze binnen en installeert deze op systeemniveau, eventjes rebooten en klaar.

Of denk ik nu te simpel?
In de ideale situatie wel ja.
Maar blijkbaar ligt het toch allemaal wat complexer waardoor het niet zo werkt.
Het liefste zou je Google ALLE updates willen laten doen, los van elke fabrikant met z'n toestellen. Zoals Windows. Maar dat kan dus al niet door de verschillende skins en hardware die wordt gebruikt.

Via de Play services wordt veel ge-update, waaronder dus dat Verify apps wat ze ook naar oudere versies als 4.2 hebben kunnen brengen. Maar het echt tegengaan en blokkeren van misbruik van dit soort kwetsbaarheden valt daar niet onder, blijkbaar is ook dat niet haalbaar.

Maar de roep om een dergelijk systeem wordt wel steeds groter, mede door dit soort aanzienlijke kwetsbaarheden en het slechte updatebeleid van veel fabrikanten.

Ik zou het zelf toepassen door de skins die fabrikanten toepassen los te halen van het Google van Android, waardoor Google alle updates levert en fabrikanten hun skin daar over heen kunnen leggen, maar wel op een apart deel van het systeem. Maar zoiets lijkt ook nog ver weg van de realiteit.
Het is een goed idee en ik denk dat google via de play service al heel veel patched in Android. Wat niet via play gepatched kan worden doen ze middels maandelijkse patch rondes.

Maar android is open source wat inhoudt dat handsetmakers praktisch elk onderdeel van het os mogen aanpassen /modules mogen toevoegen (bijv touchwiz etc). Daar komt natuurlijk ook een veiligheids risico bij kijken en daar moeten handsetmakers zelf patches voor uitbrengen en evt. upstream doorgeven aan google. Maw, niet alles kan door play opgevangen worden.
Daar komt natuurlijk ook een veiligheids risico bij kijken en daar moeten handsetmakers zelf patches voor uitbrengen en evt. upstream doorgeven aan google. Maw, niet alles kan door play opgevangen worden.
Het is niet Google verantwoordelijkheid, maar als een App uit de Play Store misbruik maakt van Touchwiz, Sense of LG's laag dan zal die na een verzoek echt wel verwijderd worden uit de store, en de specifieke code ook actief geweerd worden (zowel in de sotre als met de scanner die wel op al die devices staat).

Google ziet natuurlijk het liefste dat die devices ook niet gehackt worden (via hun Play Store).

Hoewel dat nooit volledige dekking zal bieden kunnen ze daar wel degelijk helpen in de bescherming voor lekken in niet google-lagen die zijn toegevoegd.

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 11:59]

Toch weer een pluspunt voor Cyanogen OS boven Oxygen OS:

Mijn OnePlus One is alleen kwetsbaar voor CVE-2106-5340.
Je hebt helemaal gelijk, echter is het voor de 2 wat minder fantastisch..
Maar als de app dus in de Play Store stond, en dus niet herkend was door Google als kwaadaardige app, golden de veiligheidsmaatregelen niet. In dat geval zou het percentage toestellen dat getroffen kan zijn hoger zijn.
Die scan gebeurd ook bij het uploaden naar de Play Store, en wordt er dan ook niet ingezet (als die het herkend natuurlijk)...

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 10:10]

Er is toch al eerder gebleken dat die scans niet alle kwetsbaarheden eruit vissen?
Ik reageer simpelweg op iemand die stelt dat er wel gescand word voor apps buiten de store en niet voor apps in de store, en ik geef enkel aan dat daar ook op gescand is, wat gewoon zo is.

Of die scans wel of niet alles er uit vissen, lijkt me prima om te melden, maar waarom zou dat als reactie op mij moeten? Door het op mijn reactie ben ik meer verplicht te antwoorden dan wanneer je het gewoon lekker als opzichzelfstaand bericht post, wat het ook hoort te zijn door het gebrek aan relevantie tot deze zijtak van de discussie. Niemand beweerde namelijk dat de dekking 100% was, dat punt is niet eens aan de orde gekomen.

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 11:28]

Ik reageer simpelweg op iemand die stelt dat er wel gescand word voor apps buiten de store en niet voor apps in de store,
Nee, dat is niet wat er staat. fab300 stelt niet dat er niet wordt gescand, fab300 stelt juist dat er wel wordt gescand (impliciet) maar dat er dus blijkbaar niks werd gedetecteerd.

[Reactie gewijzigd door Olaf van der Spek op 10 augustus 2016 11:58]

Nee hij stelt dat iets er wel in de Play Store door kan glippen maar niet op je toestel door de aanwezige scan.

En dat is niet zo, dat zijn namelijk dezelfde scans :) Het kan dus of door beide geweerd worden, of door beide doorgelaten worden...

[Reactie gewijzigd door watercoolertje op 10 augustus 2016 12:02]

Ik bedoelde dat een app, die misschien buiten de Play Store om ook niet wordt herkend als kwaadwillend, ook gewoon in de Play Store geupload kan worden, waardoor mogelijk veel meer apparaten kwetsbaar zijn hiervoor dan de door Google gemelde 10%. Die zijn namelijk ook vatbaar na de Jelly Bean versie.
Dat betekent dus dat Google eigenlijk helemaal niet weet hoeveel toestellen er kwetsbaar zijn.
Ehhh, Mijn LG G4 met android 6 is gewoon kwetsbaar voor alle 4 volgens de app :/
Kijk eens bij instellingen > over de telefoon op welke beveiligingspatch je zit. Vanuit Google komen ze maandelijks, wellicht houdt LG dat niet aan...
Mijn Huawei P8 is trouwens voor geen van de vier kwetsbaarheden vatbaar. Securitypatch van juni 2016. Ik had niet verwacht dat Huawei hiermee voorop zou lopen.
Volgens mij is dit dan ook geen Qualcomm device maar zit er een HiSilicon KIRIN 930 soc in ;-)
Dom van me, je hebt gelijk }:O
Handig dat Google zelf met een statement komt, terwijl ze het updateproces nog steeds aan de fabrikanten overlaten. Door Google's statement wekken ze de indruk dat zij de updates zouden moeten doen. Wat ze ook zouden moeten doen. Microsoft brengt immers ook updates uit voor Windows op Dell's en HP's.
Zelfs als de hele wereld het met je eens is dan nog moeten ze het niet ;)

Dus nee Google moet niks, het zou ze sieren, en veel mensen zouden het waarderen, dat zeker!
Uiteraard moeten ze niks, dit hebben ze van te voren heel goed uitgedacht. Het OS was eerst gratis en opensource maar na overnamen van Google moeten de fabrikanten die niet gebruik maakt van AOSP versie gewoon een licentie afnemen per toestel.

Voordeel van Google? Ze zijn nergens verantwoordelijk voor als een fabrikant een schril over Android heen gooit en tevens ook als de fabrikant maar paar weken support geeft. In het verleden (2011) zeiden ze dat ze willen dat fabrikanten 18 maanden update leveren, nou daar is helemaal niks van terecht gekomen.

Blijf het bizar vinden dat mensen moeilijk doen als hun pc niet up-to-date is, maar de smartphone waar tegenwoordig veel meer persoonlijke data op staat totaal geen probleem is. Op de smartphones draait Android en ik vind persoonlijk dat Google eens zijn verantwoordelijkheid moet tonen en het update probleem serieus moet oplossen. Maak de mogelijkheid dat gebruikers stock Android op hun smartphone kunnen installeren als de fabrikant het roet in het eten gooit. Laat zien dat je om je gebruikers geeft en ze anno 2016 waar goede security een must is wilt beschermen.

[Reactie gewijzigd door vali op 10 augustus 2016 10:30]

Ik snap inderdaad niet waarom er nog steeds niet de mogelijkheid is voor stock android te kopen voor alle telefoons. Ik hoop dat fabrikanten dit ooit nog gaan doen aangezien ik de Nexus toestellen niet de beste vind.
Het zou mooi zijn als we de device en OS koppeling helemaal los zouden laten. Koop een Lumia en installeer Android erop of koop een Galaxy S6 Edge en gooi er Windows op. En zit zelf op de blaren als het niet lekker werkt voor dat toestel. Maar dat we de keus niet krijgen is eigenlijk al van der zotte.
Inderdaad. Leuk dat je lang up-to-date bent met een Nexus toestel, maar aan marktaandeel te zien hoeft overgrotendeel van de Android gebruikers geen Nexus. Google weet dit ook aangezien ze toch wel opmerkelijke uitspraken maken de laatste tijd.
“They are concerned that Android is fragmenting, that it needs to become a more controlled platform,” CCS Insight analyst Ben Wood told The Telegraph. “I think they’ll seek to control it more, more like Apple.”

Will Google make its own Nexus phones in the future? No, Google CEO Sundar Pichai told Walt Mossberg during an interview at the Code Conference. And, no matter how exciting a pure Google Nexus phone might sound, the company doesn’t really need to do that just yet to fight off Apple. After all, Android is the dominant smartphone platform, and most people aren’t Nexus buyers.

However, Pichai said that Google will be more involved in the design of future Nexus devices, and gave fans a somewhat bad news: Nexus handsets and tablets won’t necessarily offer them a stock Android experience.

[Reactie gewijzigd door vali op 10 augustus 2016 10:46]

Gezien hun uitspraken over security moeten ze het wel. Natuurlijk moeten ze het daarmee nog niet, maar om geen geloofwaardigheid te verliezen zullen ze wel moeten.
Sony Xperia Z3 Compact met Android 6.0.1, beveiligingspatchniveau: 1 maart 2016
Vulnerable for CVE-2016-2059
Vulnerable for CVE-2016-2504
Vulnerable for CVE-2016-2503
Vulnerable for CVE-2016-5340
Eventjes ging het goed met Sony (maandelijkse patches) maar dat is al weer een half jaar geleden.

Google Nexus 7 (2013) met Android 6.0.1, beveiligingspatchniveau: 5 juli 2016
Vulnerable for CVE-2016-2504
Vulnerable for CVE-2016-5340

Google Nexus 7 (2013) met Android 6.0.1, beveiligingspatchniveau: 5 augustus 2016
Vulnerable for CVE-2016-5340
Deze update kwam nťt binnen!

[Reactie gewijzigd door barchettanl op 10 augustus 2016 20:53]

Nu weet ik niet hoe erg de lekken zijn.

Mijn oude HTC met android 4.1

is vulnerable for CVE-2016-2504
vulnerable for CVE-2016-2503
vulnerable for CVE-2016-5340

Toch wel knap dan van HTC dat een stock oude android minder vulnerable is:P
Eťn lek is 'voldoende' ;)
uiteraard. ben er ook niet trots op.
Die oude HTC bevat vrijwel zeker nog veel meer lekken trouwens.. weet je zeker dat je niet aan het zinken bent? :p

[Reactie gewijzigd door Olaf van der Spek op 10 augustus 2016 12:35]

Uiteraard zal hij meer veiligheids lekken bevatten. Maar ga toch echt niet voor enkele weken reparatie(zit vakantie van mij tussen) een nieuwe telefoon kopen:P
Vermeld dan ook even de andere officiŽle ROM die Sony aanbiedt: de Concept ROM.

Android 6.0.1 met beveiligingspatchniveau: 1 juli 2016.
Vulnerable for CVE-2016-2504
Vulnerable for CVE-2016-2503
Vulnerable for CVE-2016-5340
Zou je dit echt veilig kunnen noemen? Nu al zie je vaak online advertenties voor (grotendeels) 'slechte' apps met instructies om het installeren van apk's toe te staan, het is slechts een kleine stap voor ze om ook de opmerking om deze vinkjes uit te zetten toe te voegen. Veel gebruikers lijken dit soort instructies blindelings te volgen, denk maar aan al die virusscanner-advertenties voor pc's.
Mwah, zal wel met een sisser aflopen.
De xiaomi mi3 met miui (global beta) zit nu op patchronde 1/07/2016. De zenfone2 van Asus inmiddels ook. Met de 1/09/2016 patch zal alles gefixt zijn.

Ziet ernaar uit dat sommige fabrikanten hun updatebeleid wel opgeschroefd hebben sinds Stagefright. En dat is maar goed ook, in het huidige updatemodel zijn zij verantwoordelijk voor hun eigen roms en het doorvoeren van updates downstream naar hun eigen distributies. Het is een verantwoordelijkheid waar veel oem's nog aan moeten wennen.

Nee, het is niet ideaal maar het is wat het is. Totdat google de architectuur en licentie beleid van Android grondig herziet zal dat ook wel zo blijven.

[Reactie gewijzigd door parryfiend op 10 augustus 2016 11:08]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True