Google patcht laatste Quadrooter-lekken in Android

Google heeft de laatste Quadrooter-lekken gedicht met een nieuwe patchronde. Dat schrijft het bedrijf in zijn laatste security bulletin. Twee van de in totaal vier lekken waren nog onopgelost. Ook legt Google uit hoe het Stagefright-lek in Nougat wordt tegengegaan.

Bij de onlangs gedichte lekken gaat het om cve-2016-5340 en cve-2016-2059, zo vermeldt het bericht van Google. Het eerste lek bevond zich in het Android-subsysteem voor de allocatie van geheugen en maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren. Het tweede lek zat in de ipc_router, die de onderlinge communicatie tussen Qualcomm-onderdelen afhandelt. Deze kwetsbaarheden zijn onderdeel van de vier lekken die samen de naam Quadrooter hebben gekregen.

Zij werden in augustus door het beveiligingsbedrijf Check Point ontdekt en bevinden zich in de Qualcomm-drivers voor Android. De eerste schatting van het bedrijf was dat het lek 'honderden miljoenen' toestellen zou treffen, maar dit werd later tegengesproken door Google. Zo stelde Google dat apparaten met Android 4.2 of hoger beschermd zijn door middel van de 'verify apps'-functie, hoewel ze nog wel kwetsbaar zijn. In eerste instantie werd vermeld dat drie van de vier Quadrooter-kwetsbaarheden al waren gedicht, maar van twee lekken was nog niet bekend wanneer er een patch zou komen.

In een post van het Android-beveiligingsteam heeft Google daarnaast uitgelegd hoe het Stagefright-lek, dat in feite bestaat uit verschillende kwetsbaarheden, in de laatste Nougat-variant van Android is aangepakt. Het team legt uit dat het daarvoor de mediaserver opnieuw heeft opgebouwd. In 2015 kwam aan het licht dat het Stagefright-lek zich in dit onderdeel van Android bevond en een aanvaller in staat stelde om code uit te voeren op het apparaat van het slachtoffer, bijvoorbeeld aan de hand van een speciaal mms-bericht.

Om dit soort aanvallen tegen te gaan is er in Nougat voor gekozen om een systeem te ontwikkelen voor het detecteren van integer overflows, die kunnen leiden tot het uitvoeren van kwaadaardige code. Zodra een dergelijk incident wordt opgemerkt, sluit Android het desbetreffende proces af, zo legt het beveiligingsteam uit. Daarnaast is de media stack verdeeld in verschillende componenten die allemaal zijn voorzien van een eigen sandbox met beperkte rechten. Op die manier heeft een aanvaller eveneens beperkte toegang en is het lastiger om de kernel aan te vallen.

Overige verbeteringen vonden onder andere plaats in Verified Boot, waardoor gekraakte apparaten niet meer starten, en in aslr. Daarmee wordt een buffer overflow-aanval bemoeilijkt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-09-2016 10:57
61 • submitter: _David_

07-09-2016 • 10:57

61 Linkedin

Submitter: _David_

Lees meer

Software als Kodi en VLC is kwetsbaar voor hack via kwaadaardige ondertitels Nieuws van 23 mei 2017
Senatoren vragen opheldering over veiligheid smartphone president Trump Nieuws van 14 februari 2017
Onderzoekers ontdekken manier om malware te verspreiden via plaatjes op Facebook Nieuws van 24 november 2016
Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen Nieuws van 18 november 2016
Microsoft: vroege publicatie Windows-lek door Google vormt gebruikersrisico Nieuws van 1 november 2016
'Nalatigheid Foxconn leidt tot aanwezigheid backdoor in twee Android-toestellen' Nieuws van 14 oktober 2016
Google: Android Nougat-updates voor Nexus 6 en 9 LTE komen over paar weken Nieuws van 14 september 2016
Google: overgrote deel van Android-toestellen is veilig voor Quadrooter-lekken Nieuws van 10 augustus 2016
Android-toestellen met Qualcomm-chips bevatten ernstige kwetsbaarheid Nieuws van 8 augustus 2016
Beveiligingsonderzoeker kraakt disk-encryptie op Android Nieuws van 2 juli 2016
Android-malware kan toestellen rooten en code installeren Nieuws van 23 juni 2016
Google dicht zes kritieke lekken in Android voor Nexus-apparaten Nieuws van 3 mei 2016
Beveiligingsbedrijf demonstreert kwetsbaarheid Android via 'clickjacking' Nieuws van 6 maart 2016
Lek in video-engine Android maakt apparaten kraken makkelijk - update Nieuws van 27 juli 2015
Meer producten en artikelen
Netwerk en systeembeheer Google Android Security

Reacties (61)

-Moderatie-faq
61
61
30
1
0
24
Wijzig sortering
Titan_Fox
7 september 2016 11:07
Overige verbeteringen vonden onder andere plaats in Verified Boot, waardoor gekraakte apparaten niet meer starten
Dus het starten van een 'ge-root' apparaat is niet langer mogelijk ? Niet echt een verbetering als je het mij vraagt ...
DeEchteKwartel
@Titan_Fox7 september 2016 11:12
Bootloader unlocken en dan ben je klaar. Dit is meer als je zonder bootloader unlocken (wat een extern process is) system files hebt gewijzigd via een lek. Dat zal een gebruiker niet bewust gaan doen (waarom zou je), dus dan is het kwaadwillend geweest. Dan moet je eerst je telefoon weer naar een legit versie laten zetten in de winkel of via een android tool en dan heb je weer een veilige telefoon.
ikt
@DeEchteKwartel7 september 2016 11:25
Dat ligt er zeer aan, dit is bijvoorbeeld een methode om te rooten voor telefoons waarbij de garantie bijvoorbeeld vervalt of waarbij de fabrikant sowieso geen methode heeft om de bootloader te laten unlocken. Neem mijn eigen Xperia Z3 Compact. Daarvoor moet je bijvoorbeeld een unlockcode aanvragen. In het proces van de bootloader te unlocken worden de DRM keys ook weggegooid, dus dingen als fotografie in laag licht zullen slechter werken. Een jaar terug op Android 4.4 was er een exploit gevonden en daar is dus Giefroot uit gekomen. Nooit problematisch geweest :)

Verder bestaat er nog Kingroot dat ook werkte op 5.1.1 - deze maakte gebruik van een andere exploit, maar dit is nooit openbaar geworden hoe en wat, alleen dat t werkte.
Adr01
@DeEchteKwartel7 september 2016 11:39
Voor de masterrace Nexus, inderdaad. :)
dutchgio
@Titan_Fox7 september 2016 11:27
Mede daardoor is er ook ''Systemless Root'' ontwikkeld, zoek maar eens op die term op XDA.
Root toegang zonder de systeempartitie daadwerkelijk te wijzigen, het kan.
BJD1997
@dutchgio7 september 2016 11:51
Even een vraag dat systemless root moet je dan wel of niet de bootloader unlocked? Heb nexus 5x en vind die melding zo vervelend als je bootloader is unlocked :/
dutchgio
@BJD19977 september 2016 12:40
Zover ik weet wel, want je moet bestanden flashen en daar heb je dan weer een aangepaste recovery voor nodig.
BJD1997
@dutchgio7 september 2016 13:09
Ah oke bedankt voor de info kon het niet zo snel vinden op fora
FlemishDroid
@BJD19977 september 2016 17:23
Systemless root en systemless Xposed patchen de ramdisk dus unlocked bootloader is nodig.
Malarky
@Titan_Fox7 september 2016 11:11
Nee hoor, root met SuperSU is nog steeds altijd mogelijk geweest voor Android 7. Ook met de update van september, want type dit nu rooted.
Zephaniah
7 september 2016 11:00
Hoe worden telefoons van gebruikers voorzien van deze patches?
magatsu
@Zephaniah7 september 2016 11:02
Via de security updates die Google uitrolt (voor Nexus smartphones) en voor andere merken zijn ze aangewezen op de fabrikanten :).
Zephaniah
@magatsu7 september 2016 11:04
En als je een custom rom hebt dan hopen dat bij de update van je rom(via ota of recovery) dit wordt ingebakken door de rombakker?
dutchgio
@Zephaniah7 september 2016 11:24
CyanogenMod, zo ongeveer de grootste en meest bekende custom ROM, kan in een nieuwe build/patch de security updates integreren.
Dus dan zou dat inderdaad door middel van een update moeten gaan.
Bij een custom ROM als CM kan het dus vrij snel omdat updates verspreiden een makkelijk proces is, bij bijvoorbeeld een Samsung met originele firmware heb je sneller een probleem.
SilentLucidity
@Zephaniah7 september 2016 11:27
Bij Custom roms worden de laatste patches meestal wel meegenomen. Dat is in verhouding maar een klein beetje werk.
IThom
@Zephaniah7 september 2016 11:07
en die kans is redelijk klein tenzij je één van de bekendste telefoons bezit (samsung s6 s7, htc m10, en dergelijke.
watercoolertje
@IThom7 september 2016 11:37
Waar haal je dat nou vandaan? Developers van custom roms voegen dit meestal vrij snel toe (week?).
__Michiel__
@watercoolertje7 september 2016 14:54
Klopt, toen dit bekend werd kreeg ik binnen een week al de eerste update van Resurrection Remix. Inmiddels zijn 3 Vd 4 exploits verholpen en ik verwacht deze week dus weer een update
himlims_
@IThom7 september 2016 11:11
wileyfox / cynogenos vind ik echt ideaal; best of both worlds on a budget :+
borft
@IThom7 september 2016 15:27
mwah, ik heb op mijn S4, Android 6.0.1 van Cyanogen, die is al een paar weken quadrooter vrij :)
Fusioxan
@magatsu7 september 2016 11:11
Ik dacht dat (belangrijke) security patches juist door Google Play services werd uitgerold?
dutchgio
@Fusioxan7 september 2016 11:26
Het zou dan meer om het blokkeren van een aanval gaan omdat dit wordt herkend, niet het dichten van een lek. Daarvoor is echt een update vereist omdat het nogal diep in het Android systeem zit.
IThom
@dutchgio7 september 2016 18:04
Inderdaad, Google Play Services heeft niet de machtigingen om zulke dingen in het systeem te veranderen, dat zou grote kwetsbaarheden met zich meebrengen.
DigitalExorcist
@Zephaniah7 september 2016 12:32
Als je Samsung hebt, ben je waarschijnlijk de pineut. Die updaten nooit iets.
pandit
@Zephaniah7 september 2016 11:02
Taak van de fabrikanten, dus voor Samsung telefoons wordt het lang wachten. DIt is één van de nadelen van Android. Bij Apple leeft dit probleem niet, maar heb je weer andere problemen
sebastienbo
@pandit7 september 2016 11:08
Sinds de maand mei 2016, doet samsung elke maand patch updates, ik krijg elke maand een update waarin staat welke android security fixes toegevoegd zijn.

Afgelopen weekend kreeg ik patch update August binnen, ik denk wel dat dit enkel geld voor toestellen met lollipop of hoger (Kitkat en lager laten dat niet toe in de custom roms)

Die updates zijn ook nooit echt groot, gemiddeld was het tussen de 20 a 50mb groot

[Reactie gewijzigd door sebastienbo op 7 september 2016 11:10]

raro007
@sebastienbo7 september 2016 11:15
1 september patch was hier 250 mb maar misschien komt het door samsung cloud?
sebastienbo
@raro0077 september 2016 11:33
Bij u was het niet alleen de patch, de 250mb update bevat ook software updates , bij de S7 is eer bijvoorbeeld op 1 september een 250mb update uitgekomen waar ook FM radio geactiveerd werd en HD sound tijdens bellen geactiveerd werd + allemaal performance tweaks and bug fixes
raro007
@sebastienbo7 september 2016 11:47
huh fm radio? dat zou wel nice zijn..
sebastienbo
@raro0077 september 2016 11:53
heb je een S7 ?

Bij verizon in US weet ik dat ze het vorige week net uitgerold hadden:

http://www.droid-life.com...dates-introduce-fm-radio/
watercoolertje
@sebastienbo7 september 2016 13:41
Kan natuurlijk Qualcomm only zijn, waardoor dat hier dus niet opgaat.
sebastienbo
@watercoolertje7 september 2016 14:11
Inderdaad watercoolertje, als je je S7 gekocht hebt in USA, ja dan zal je de qualcomm hebben en dus geen FM :-(
Maar in de andere delen van de wereld is het de exynos cpu's
markimarc
@sebastienbo7 september 2016 16:44
Op mijn s4 heb ik al langer dan een half jaar geen Android Beveiligingsupdate gehad.
Rond 11-2015 de laatste uit mijn hoofd.
sebastienbo
@markimarc7 september 2016 18:28
Nee dat klopt, daar is ook geen marshmellow of lollipop op dacht ik?
CH4OS
7 september 2016 11:33
Ook legt Google uit hoe het Stagefright-lek in Nougat wordt tegengegaan.
Geeft dit geen motivatie voor "interested third parties" om dus verder te blijven zoeken naar manieren voor Stagefright?
Rafe
@CH4OS7 september 2016 14:44
Die zijn dat sowieso, ongeacht uitleg van Google. En anders kan je nog grasduinen in de git commits.
_Thanatos_
7 september 2016 11:07
Jammer dat Samsung geen flauw benul heeft van hoe updates moeten. Op hun laptops gaat het prima, omdat ze daar gewoon van Microsoft komen, maar als Samsung het zelf moet regelen, gaat het hopeloos de mist in.

"Your device has been modified in an unauthorized way"

Dat komt natuurlijk doordat ze het ding zo krampachtig op slot proberen te zetten en zich niet realiseren dat het nog steeds MIJN device is. En als je je device dan gewoon eigen maakt, dan worden updates, en daarmee security patches, botweg geweigerd. Godgeklaagd.

"moet je maar niet rooten"

Dat is niet aan de orde. Op een Windows pc heb je ook administrator-rechten en kun je kloten wat je wil. Zelfde geldt voor Linux en OSX. Updates op die systemen werken prima.

"Samsung mag doen wat ze willen"

Ook niet. Ze stellen mij willen en weten bloot aan gevaren, en weigeren daar iets aan te doen. Door hun grote userbase hebben ze een verantwoordelijkheid, en die kun je niet ontlopen als iemand de rechten op z'n device heeft die hij op alle andere devices ook probleemloos heeft.
oef!
@_Thanatos_7 september 2016 11:21
Ze stellen mij willen en weten bloot aan gevaren, en weigeren daar iets aan te doen. Door hun grote userbase hebben ze een verantwoordelijkheid, en die kun je niet ontlopen als iemand de rechten op z'n device heeft die hij op alle andere devices ook probleemloos heeft.

Omgekeerde wereld, jij stelt jezelf willens en wetens bloot aan gevaren. Je verkiest blijkbaar root boven security updates. Als je de security updates wel zou ontvangen en ze vervolgens je geroote device zouden bricken dan zou je hier ook klagen.
Titan_Fox
@oef!7 september 2016 11:44
Als fabrikanten eens wat consequenter zouden zijn met het uitbrengen van updates en niet zoveel onnodige bloatware als systeemapp zouden installeren was het rooten van je toestel ook een heel stuk minder dringend.
watercoolertje
@Titan_Fox7 september 2016 12:13
Zo dringend is dat niet, lijkt me zeer onwaarschijnlijk dat meer dan de helft van de mensen met een Samsung zijn telefoon heeft geroot :)

Dat rooten is zijn eigen keuze en de gevolgen zijn dan ook zijn eigen schuld, of het hem nou zint of niet...
Cerberus_tm
@oef!7 september 2016 20:16
Met root ben je juist veiliger af. Je gebruikt een exploit die anders sowieso in je systeem zit; maar met een root-app zoals SuperSU dicht je dat lek af, zodat een app toestemming moet krijgen voordat hij root krijgt.

Verder kun je met root andere rechten van apps beperken, zoals het draaien van libraries en het gebruik van ipc_router, zaken die b.v. Stagefright mogelijk maken. Met b.v. Xprivacy (root vereist) kun je die tegenhouden en ben je dus veiliger tegen allerlei potentiële aanvallen.
_Thanatos_
@oef!20 september 2016 16:36
Het aan apps kunnen geven van root permission is NIET een gevaar, als je nadenkt over waar je mee bezig bent. Dat is op een PC (met ieder willekeurig OS) geen haar anders.
ArcticLight
@_Thanatos_7 september 2016 11:12
Je koopt een product van Samsung, als Samsung in de voorwaarden zet dat het rooten van je telefoon verboden is en jij doet dat toch en loopt daarmee updates mis, dan is het toch niet de schuld van Samsung?

Of die restrictie op rooten gegrond is, is een andere discussie, maar als jij de voorwaarden schendt dan is het toch logisch dat je daarvan de eventuele gevolgen ondervindt?
_Thanatos_
@ArcticLight20 september 2016 16:35
Het moedwillig weigeren van het installeren van een update vind ik ongehoord, met of zonder rooten. Mijn PC is ook "geroot" en alle updates sinds het begin installeren, en werken uitstekend. Waarom is dat op een telefoon anders?

Omdat ze het moedwillig belemmeren voor rooters. Dat is de enige reden. En waarom ze dat doen, dat is dus de vraag.

Het is niet mijn schuld. Ik geef mezelf gewoon toegang tot MIJN device. Dat moet ik zelf weten.
ArcticLight
@_Thanatos_21 september 2016 09:26
Je vergelijking met PC is appels en peren.

Nogmaals, je mag gerust je toestel rooten, maar als Samsung zegt dat daarmee je updates vervallen dan moet je mijn inziens ook niet gaan klagen dat je geen updates meer ontvangt, dat is gewoon letterlijk wat ze zeggen.

Waarom ze het doen durf ik je niet met zekerheid te zeggen. Ik vermoed eerlijk gezegd juist vanwege de extra security risks die een toestel dat geroot is met zich mee (kan) brengen.
_Thanatos_
@ArcticLight21 september 2016 13:19
Waarom is een PC anders dan een telefoon? Het is een computer met een OS, en beide zijn mijn eigendom.
CH4OS
@_Thanatos_7 september 2016 11:46
Is dit niet een van de redenen dat Android 7 op de achtergrond updates kan draaien? :) Zodat Google dingen zelf kan updaten en je dus minder afhankdelijk bent van de fabrikant?
oef!
@CH4OS7 september 2016 12:51
Android 7 doet helaas weinig om het bekende updateprobleem op te lossen. Updates moeten nog steeds via fabrikanten en providers.
Tr1pke
@oef!7 september 2016 12:54
Wat logisch is. Daarom nexus pixel
_Thanatos_
@Tr1pke20 september 2016 16:38
Waarom is dat logisch? Dat is bij Linux distro's ook niet: updates voor Mint komen van Ubuntu. DAT is logisch. Wat ze bij Mint hebben aangepast, moet door Mint worden geupdate.

Waarom werkt het bij Android dan zo kut? Waarom kan Google niet het OS updaten, en de fabrikanten los daarvan hun eigen rotzooi updaten??
Tr1pke
@_Thanatos_20 september 2016 22:58
Omdat de fabrikanten dat tegenhouden niet Google. Updates van een samsung telefoon komt dan ook van Samsung omdat ze hun Samsung crap erop willen staan hebben.
_Thanatos_
@Tr1pke21 september 2016 13:18
Klopt, maar waarom kan Google niet het OS updaten, en de fabrikant hun eigen rommel?

Zo werkt het op alle desktops immers ook, en dat werkt uitstekend.
Tr1pke
@_Thanatos_21 september 2016 13:42
Dan kan je nog kiezen voor te rooten en is het ook opgelost.
_Thanatos_
@Tr1pke21 september 2016 17:13
Een desktop HOEF JE NIET TE ROOTEN, dat is het hele punt. Je hebt op een desktop gewoon root/admin toegang. Altijd. Iedereen. Als je het password maar weet, wat je doorgaans zelf bedacht hebt.

En toch werken updates perfect. Hoe kan het dat dat op een PC geen enkel probleem is, maar op een telefoon is het ineens moord en brand?
Tr1pke
@_Thanatos_22 september 2016 07:37
Das waar. Klopt gelijk een bus.
Zullen we nooit begrijpen :-)
pafdaddy
7 september 2016 13:04
In eerste instantie werd vermeld dat drie van de vier Quadrooter-kwetsbaarheden al waren gedicht, maar van twee lekken was nog niet bekend wanneer er een patch zou komen.

Dat zijn dan 5 kwetsbaarheden. :?
watercoolertje
@pafdaddy7 september 2016 13:37
Je leest het verkeerd (denk ik). Ze hadden 3 bugs/exploits opgelost waarvan er van 2 niet bekend was wanneer die daadwerkelijk in een patch zouden komen (wss ivm uitgebreid testen).

[Reactie gewijzigd door watercoolertje op 7 september 2016 13:38]

Amasik
7 september 2016 13:57
Die quadroot fixes komen dus via de security updates. Maar de stagefright fix komt alleen naar Nougat?

Kan iemand zeggen of stagefright dan voor oudere android versies (Nexus 5) wel een gevaar blijft?
watercoolertje
@Amasik7 september 2016 14:29
In de oude versies is het gepatched, in de nieuwe versie is de hele mediaserver opnieuw geschreven :) Stagefright is dan ook al maanden (bijna ene jaar nu oid?) gepatched!

[Reactie gewijzigd door watercoolertje op 7 september 2016 14:29]

Amasik
@watercoolertje7 september 2016 14:37
Dankje, dan heeft het Google het dus goed gefixed. Er waren zoveel artikelen over stagefright en dit artikel was niet duidelijk dus wilde ik het even zeker weten.

Was al bang dat ze een security update zouden doorschuiven naar een nieuwe OS versie wat tegenstrijdig zou zijn met hun updatebeleid m.b.t. maandelijkse security updates.
watercoolertje
@Amasik7 september 2016 14:41
Je kan als je twijfelt over je eigen toestel altijd deze app gebruiken om het te checken:
https://play.google.com/s...stagefrightdetector&hl=nl

Het zit wel in de security fixes van Google maar de fabrikant moet die natuurlijk wel doorzetten naar de klant met een update! Weet dat het bij de duurdere toestellen prima gaat, maar bij hele oude of goedkopere modellen weet je maar nooit :)

[Reactie gewijzigd door watercoolertje op 7 september 2016 14:41]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee