Beveiligingsonderzoekers gebruiken Dirty COW-lek voor roottoegang op Android

Beveiligingsonderzoekers hebben de recent verholpen Linux-kwetsbaarheid, bekend onder de naam Dirty COW, gebruikt om roottoegang te verkrijgen op Android-toestellen. Dit zou mogelijk zijn op alle apparaten met Android 1.0 of hoger.

Een van de onderzoekers, David Manouchehri, heeft een proof of concept ontwikkeld, waarmee apparaten bijna te rooten zijn, schrijft Ars Technica. Met een aantal aanvullende regels code is vervolgens volledige roottoegang mogelijk. De onderzoeker heeft de code op vijf Android-toestellen getest. Een andere onderzoeker, die anoniem wil blijven, claimt tegenover de site dat ook hij een werkende exploit heeft ontwikkeld samen met anderen. Hij gebruikte daarvoor een aangepaste versie van een openbare Dirty COW-exploit.

Hij wil geen verdere details over de code van de exploit geven, omdat hij een 'unieke route' toepast en niet wil dat Google deze afsluit. Volgens Manouchehri zijn alle Android-versies vanaf de eerste release kwetsbaar, omdat het lek aanwezig is in de Linux-kernel vanaf versie 2.6.22. In Android 1.0 zou versie 2.6.25 te vinden zijn. De onderzoekers achten het mogelijk dat anderen inmiddels een kwaadaardige app met een werkende exploit hebben ontwikkeld.

Afgelopen week kwamen er patches uit voor de Dirty COW-kwetsbaarheid, nadat er een exploit voor was gevonden. Het privilege-escalationlek bestond al sinds 2007 in de Linux-kernel.

Afbeelding via David Manouchehri

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-10-2016 07:33
71 • submitter: BikkelZ

25-10-2016 • 07:33

71 Linkedin

Submitter: BikkelZ

Lees meer

Stack Clash-kwetsbaarheid geeft roottoegang op Unix-systemen Nieuws van 20 juni 2017
Senatoren vragen opheldering over veiligheid smartphone president Trump Nieuws van 14 februari 2017
'Software die data verzamelt, aanwezig in Android-toestellen van 43 fabrikanten' Nieuws van 16 december 2016
Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen Nieuws van 18 november 2016
Canonical richt zich met Ubuntu Core 16 voor iot op beveiliging Nieuws van 3 november 2016
Microsoft: vroege publicatie Windows-lek door Google vormt gebruikersrisico Nieuws van 1 november 2016
Ontwikkelaars verhelpen oude Linux-kwetsbaarheid die rechten kan verhogen Nieuws van 21 oktober 2016
Meer producten en artikelen
Netwerk en systeembeheer Google Android Linux Security

Reacties (71)

-Moderatie-faq
71
68
41
3
0
0
Wijzig sortering
fastedje
25 oktober 2016 14:19
Voor de Dirty COW exploit moet een app blijkbaar wel native code gebruiken: https://www.nowsecure.com...nerability-mobile-impact/
Volgens mij is er nu geen manier om te controleren of er .so libraries in een apk zitten voordat je een app installeerd vanuit de play store.
Cerberus_tm
@fastedje30 oktober 2016 19:40
Met Xprivacy kun je wel het uitvoeren van libraries door een app blokkeren, of alleen bepaalde libraries toestaan. Voor Xprivacy heb je wel root nodig, maar dan kun je je telefoon i.m.o. veel beter beveiligen dan normaal.
stefan70
25 oktober 2016 07:40
"Hij wil geen verdere details over de code van de exploit geven, omdat hij een 'unieke route' toepast en niet wil dat Google deze afsluit. "

Wat is dit voor rare kwast?
Aegir81
@stefan7025 oktober 2016 07:43
Niet alle hackers hebben goede bedoelingen. Misschien dat deze ze gebruikt voor persoonlijk gewin.
watercoolertje
@Aegir8125 oktober 2016 08:14
Of gewoon om toestellen te kunnen blijven rooten. Bij iOs worden dat soort exploits ook vewaard tot na de final release zodat het meestal langer duurt voordat er een fix is.
Don Kedero
@stefan7025 oktober 2016 07:44
Alle je niet wil dat Google het lek dicht? Zwijg dan en maak uw onderzoek niet publiekelijk (of denk ik nu verkeerd?)
veltnet
@Don Kedero25 oktober 2016 11:42
Je denkt in je eigen straatje zoals de onderzoeker dit ook doet.
Bart ®
@stefan7025 oktober 2016 07:45
Inderdaad, helemaal als hij het mogelijk acht dat anderen inmiddels een kwaadaardige app met een werkende expploit hebben ontwikkeld. :/

[Reactie gewijzigd door Bart ® op 25 oktober 2016 07:45]

Ruw ER
@stefan7025 oktober 2016 07:58
Lekker simpel roottoegang krijgen. Dat wil die rare kwast. Zelfde als een iOS jailbreak ontdekker niet wil dat het lek bekend wordt, want ja dan is de jailbreak niet meer mogelijk.
Donvermicelli
@stefan7025 oktober 2016 09:31
"Hij wil geen verdere details over de code van de exploit geven, omdat hij een 'unieke route' toepast en niet wil dat Google deze afsluit. "

Wat is dit voor rare kwast?
Ik kan mij verschillende dingen voorstellen:
  • Hij wil een vervolg onderzoek doen naar deze unieke route om te kijken of er eventueel andere kwetsbaarheden mee te vinden zijn en wilt niet halverwege zijn onderzoek al een gedeelte ervan naar buiten brengen.
  • Hij wil misschien zelf wel de fix schrijven (betwijfel ik maar goed het kan) voordat hij deze exploit variant openbaar maakt zodat hij zeker kan zijn dat hij ook gefixt wordt.
  • Misschien heeft hij wel een exploit ontdekt die met de huidige kernel helemaal niet te fixen valt, een design flaw waarvoor een serieuze redesign van gedeeltes van de kernel nodig zijn. Als hij deze exploit toch meldt is het meteen openbare kennis hoe dit te exploten zonder enige hoop dat er in de nabije toekomst een fix komt.
Ik ben natuurlijk niet bekend met de gedachten en beweegredenen van deze onderzoeker maar ik kan me in ieder geval wel een aantel scenarios voorstellen waarin hij niet happig is op het vrijgeven van deze exploit zonder dat deze redenen malafide hoeven te zijn. Dat zijn beweeg redenen dat ook daadwerkelijk niet zijn kan ik geen uitspraken over doen.
434365
@stefan7025 oktober 2016 17:33
Dit klinkt misschien als "deze rare kwast wil lekker iedereen hacken", maar zeer waarschijnlijk is het meer "deze rare kwast is onderdeel van rooting groups, die telefoons 'rootbaar' maken voor de eind gebruiker (al dan niet tegen een kleine vergoeding)"

Oftewel, ik geef het dus een grote kans dat deze persoon niet wil dat Google die route dicht timmert, omdat via die route waarschijnlijk vrijwel iedere Android telefoon te rooten is, iets waar zulke groepen natuurlijk ontzettend naar op zoek zijn.
GertMenkel
@stefan7025 oktober 2016 07:44
Ik denk dat zijn intentie is om te zorgen dat je zo toestellen kan rooten die normaal niet rootbaar zijn. Wellicht wil hij een soort SuperOneClick root maken, en wil hij voorkomen zijn kans mis te lopen door Google alles te laten patchen.

Ik denk dat de onderzoeker niet helemaal doorheeft dat de kwetsbaarheid niet alleen door hem gebruikt kan worden, maar ook door kwaadwillenden.
Bart ®
@GertMenkel25 oktober 2016 07:49
Dat heeft ie juist wel door, aldus de laatste een na laatste alinea.
WhatsappHack
@GertMenkel25 oktober 2016 08:41
Al boeit 't geen drol wat Google patched, gezien fabrikanten de update waarschijnlijk naar slechts een klein deel van hun toestellen pushen.
Voor de toekomst is 't misschien interessant, maar risico heel groot dat Google voor de zekerheid nog een audit er tegenaan smijt.
CivLord
@bbob25 oktober 2016 10:50
Leuke redenering heb je.
Volgens diezelfde redenering is het een inbreker zijn goed recht om vannacht je huis leeg te halen omdat hij daar geld aan wil verdienen.
bbob
@CivLord25 oktober 2016 11:17
Grappig hoe mensen zoals jij dingen kunnen lezen en conclusies kunnen trekken die er helemaal niet zijn.

Wat ik zeg is het volgende.

Ik ontdek in jou zwaar beveiligde huis een bug waardoor er ingebroken kan worden. Nu heb ik de keuze om dat jou te vertellen of ik kan die informatie verkopen.
Pas als iemand met die verkochte informatie gaat inbreken in jou huis begaat deze een misdaad.

Als jij vrijwillig een app download die jou root toegang geeft dan laad of koop jij vrijwillig die app. Dat die app gebruikt maakt van een exploit om root toegang te krijgen is een feit. Het is voor jou echter niet strafbaar om je eigen telefoon root toegang te geven.

Laad je een app waar een verborgen root toegang in zit om daarmee zonder jou medeweten zaken van je telefoon te halen dan is dat strafbaar.
CivLord
@bbob25 oktober 2016 11:56
Nu geef je er zelf een andere draai aan. Het bericht waarop jij reageerde,
gaat over zelf rooten van je toestel (uiteraard niet verwerpelijk) en mogelijk gebruik door kwaadwillenden (wel verwerpelijk).

Dan zeg jij dat het zinloos is om het verwerpelijk te vinden, omdat jij vindt dat de ontdekker in zijn recht staat om er geld aan te verdienen. Dat kan dan in mijn ogen alleen op het gebruik door kwaadwillenden slaan, omdat alleen dat verwerpelijk is.

Naar ik nu begrijp denk jij dat anderen de mogelijkheid om te eigen toestel te rooten verwerpelijk kunnen vinden.
OverSoft
@stefan7025 oktober 2016 11:02
Rare kwast? Zero-day, niet gepatchte exploits zijn tonnen, zo niet miljoenen waard...
Dat wil die rare kwast...
Ge Someone
@OverSoft25 oktober 2016 13:28
Onbegrijpelijk toch?
Ruw ER
@AudiSub25 oktober 2016 08:20
https://www.cvedetails.co...5556/Apple-Iphone-Os.html

977 bekende onveiligheden op iOS, om maar even een vergelijk te maken. Gelukkig wordt er gepatched, maar ieder lek is ooit niet gepatched geweest. Jailbreaks werken ook met security flaws.

626 bekenden op android nu. Niets is veilig. Gelukkig krijg ik iedere maand een patch die het 1 en ander dicht. https://www.cvedetails.co...19997/Google-Android.html

Edit: ik heb geen flauw idee of android veiliger is als iOS, of andersom, ik weet enkel dat niets 100% veilig is, en dat punt wilde ik maken.
Uiteindelijk is vrijwel iedereen ook maar overgeleverd aan het kunnen van white hat hackers en de reactiesnelheid van de fabrikant.

[Reactie gewijzigd door Ruw ER op 25 oktober 2016 10:06]

WhatsappHack
@Ruw ER25 oktober 2016 08:47
Al ligt het aantal "severe" bugs met zeer hoge beveiligingsimpact op Android vele malem hoger dan op iOS. Dat maakt wel een verschil. Ik heb liever over de course of a year dat er 50 minimale bugs en 5 kritieke bugs worden gevonden, dan 20 kritieke bugs en 5 minimale bugs. In absolute aantallen is die tweede situatie lager, maar qua gevaarlijke impact is de 1e veiliger vanwege de lagere scores.

Overigens is bij iOS wel 't fijne dat toestellen jarenlang updates krijgen, incl security patches. Dat gaat bij de Android fabrikanten helaas nog steeds veel te vaak mis. ;(

[Reactie gewijzigd door WhatsappHack op 25 oktober 2016 08:48]

Thijs_ehv
@WhatsappHack25 oktober 2016 09:03
Jij denkt dat Apple alle sever bugs aan het publiek meldt?
Google moet wel gezien android open source is (aap komt toch wel uit de mauw, of ze het nou melden of niet)
WhatsappHack
@Thijs_ehv25 oktober 2016 09:23
Daar heeft Apple niet per definitie controle over... Responsible disclosure is een hip dingetje tegenwoordig. ;) Dat Apple achter de schermen best wel eens iets heeft kunnen patchen dat ze zelf ontdekt hebben of nooit gerapporteerd is door de ontdekker: dat kan. Maar dat Android open-source is (deels, alle google services zijn dat dus niet.) zegt niet dat Google niets stilletjes kan patchen of een grote patch verbloemen met een "rewrite for future additions" oid. Zat opties hoor. ;) Dus dat is even goed van toepassing op Android, ondanks en ongeacht het open source karakter. :) ... En dan moeten we 't nog hebben over Play Services en gaten in de skin van de fabrikant. :P

Dat is namelijk ook nog zoiets... Die lijst met CVE's geeft enkel bugs voor Android weer. Daar zitten dus niet alle bugs van de fabrikanten bij. Niet voor hun skin en niet voor hun functionele apps. (Eigen fotoalbum app bijvoorbeeld. Dat zit er bij iOS allemaal wél bijgeteld!)

[Reactie gewijzigd door WhatsappHack op 25 oktober 2016 09:27]

bbob
@Thijs_ehv25 oktober 2016 09:13
Jij denkt dat Apple alle sever bugs aan het publiek meldt?
Google moet wel gezien android open source is (aap komt toch wel uit de mauw, of ze het nou melden of niet)
Jij denkt dat google alle bugs weet. Dit artikel is een mooi voorbeeld van een kritiek lek dat niet op een lijst staat omdat niemand goolge nog verteld heeft hoe het lek in elkaar zit.

Wat wij dus niet weten en wat nog belangrijker is, is hoeveel niet gemelde en nu misbruikte bugs zijn er voor ios of android..

Je kan stellen dat android open source is en bugs door in de software te kijken eenvoudiger op te sporen zijn voor 3den dan bij closed source ?
AnonymousWP
@WhatsappHack25 oktober 2016 09:08
Overigens is bij iOS wel 't fijne dat toestellen jarenlang updates krijgen, incl security patches. Dat gaat bij de Android fabrikanten helaas nog steeds veel te vaak mis. ;(
Dat heeft volgens mij meer te maken met de fabrikant in plaats van Google. Samsung bijvoorbeeld, die geeft nou niet echt veel updates. OnePlus doet het naar mijn mening 10 keer beter. Alle devices krijgen minimaal elke 2 maanden de nieuwste beveiligingspatches. Google geeft volgens mij maandelijks beveiligingsupdates. Alleen is de support wat korter. De OnePlus One uit 2014 krijgt ook 7.0, of heeft het zelfs al. De Samsung Galaxy S3 uit 2012 krijgt al iets van 3 jaar lang geen updates meer. Ik heb maar 1 of 2 keer kunnen updaten qua Android versie met mijn Samsung Galaxy S3.
Anoniem: 635141
@WhatsappHack25 oktober 2016 11:47
Op de verkeerde comment gereageerd ;(

[Reactie gewijzigd door Anoniem: 635141 op 25 oktober 2016 11:47]

ronaldmathies
@Ruw ER25 oktober 2016 08:38
Opzich interesant, wat mij echter wel opvalt:

Android:

In 2016: 416 CVE's toegevoegd.
Waarvan 36 een score 10

iOS:

In 2016: 157 CVE's toegevoegd.
Waarvan 5 x een score 10.

Dus puur naar aantallen kijken zegt niet alles, je zou een breakdown moeten doen hoe de verdeling is. Want in absolute aantallen zou je zeggen dat iOS erger is, als ik kijk naar 2016 wat er gevonden is zou ik zeggen dat het precies andersom is. Ik ga er bij beide even vanuit dat de meeste issues uit 2015 en eerder inmiddels wel opgelost mogen zijn (is dan wel een aanname maar ik ga er ook vanuit dat beide partijen de moeite nemen om de CVE's op te lossen, dit is volgens mij alleen niet te zien op die website).

Worden CVE's eigenlijk verwijderd eens ze opgelost zijn? want dat is wel de aanname die jij nu doet (en ik zie niet zo snel of dat ook zo is).

Want dat zou het beeld vertroebelen, ik weet namelijk niet of met het update beleid alle opgeloste CVE's bij Android dan ook niet meer toegepast kunnen worden. Als hij verwijderd word wanneer er een fix is moet die fix wel uitgerold kunnen worden naar alle toestellen die een issue hebben. Daargelaten of de gebruiker het ook daadwerkelijk installeerd, dat is een gebruikers keuze.

waarom -1? Ik ga er toch inhoudelijk op in.

[Reactie gewijzigd door ronaldmathies op 25 oktober 2016 08:59]

Ruw ER
@ronaldmathies25 oktober 2016 10:00
Als ik de indruk wek dat ik een iOS vs android iets wil starten, excuus, niet de bedoeling. Ik heb geen flauw idee wat veiliger is, weet enkel, niets is 100% veilig, en dat punt wilde ik maken.
Dat de laatste tijd erg veel lekken op android ontdekt worden, dat is zeker waar. Zal mede te maken hebben met de enorme hoeveelheid gebruikers, en het geld dat uitgekeerd wordt voor gemelde lekken. En het heeft natuurlijk ook te maken met het feit dat de lekken er nu eenmaal zijn. Ik hoop als consument enkel dat google haar best doet en mijn telefoon iedere maand wat veiliger maakt.
Eitot
@ronaldmathies25 oktober 2016 11:00
Worden CVE's eigenlijk verwijderd eens ze opgelost zijn?
Nee. Ze worden wel bijgewerkt, voornamelijk naarmate de ontwikkelaar oplossingen beschikbaar stelt.

De CVE-statistiken zijn vrijwel nietszeggend. Ze zeggen niets over de oorsprong, wie een kwetsbaarheid heeft gemeld (ontwikkelaar zelf?), hoe lang een kwetsbaarheid bestond en of een kwetsbaarheid inmiddels is opgelost.

In een van de laatste updates van OS X zaten 10–20 CVE-nummers bij één component: PHP. Dat wordt door Apple niet ontwikkeld, maar wel meegeleverd (omdat je bijvoorbeeld een Apache-server kunt gebruiken). Apple meldt (en bevestigt) vervolgens dat ze door een geüpdate PHP-versie ook deze reeks CVE-kwetsbaarheden hebben opgelost. Een systeem dat deze componenten niet levert, heeft deze kwetsbaarheden niet en heeft misschien wel minder CVE-nummers in totaal. Wat kun je daar nog uit afleiden?
BikkelZ
@Eitot25 oktober 2016 14:34
Dat wordt door Apple niet ontwikkeld, maar wel meegeleverd (omdat je bijvoorbeeld een Apache-server kunt gebruiken).
PHP is gewoon een scripttaal zoals Ruby of Perl, waarom je PHP op command line zou gebruiken terwijl je ook betere alternatieven hebt weet ik niet maar het gebeurt wel eens.
Anoniem: 635141
@ronaldmathies25 oktober 2016 11:48
Het aantal gemelde/gefixte bugs is naar mijn inzien een beetje een rare metric om de algehele veiligheid van een platform mee te raten. Zo kun je ook zeggen dat Android meer aan veiligheid doet omdat ze er meer fixen en misschien vind hun eigen team wel de helft van die lekken, niet perse waar maar zo zou je de cijfers wel kunnen uitleggen. Andersom kan die natuurlijk evengoed voor iOS gelden.

De onveiligheid komt toch met name door het aantal _ongemelde_ en _ongefixte_ beveiligings lekken. En daar zegt deze metric eigenlijk niet veel over. Er hoeft maar 1 exploit te zijn die nog werkt en de honderden die je wel gefixt hebt zijn dan leuk en nodig maar geven je absoluut geen veiligheid.

En eigenlijk weten we allemaal wel dat er nog open lekken zijn. Daarom, beetje nutteloze data.
Anoniem: 823835
@ronaldmathies25 oktober 2016 09:04
Een ander punt om te overwegen is dat veel meer iOS toestellen een update krijgen vanuit Apple terwijl veel kopers van Android telefoons door vele verkopers met te veel modellen enkel een dikke middelvinger krijgen voor hun 500+ euro toestel.

Moeilijk houdbaar model ten opzichte van één uitgever en eigen modellen.
Enige voordeel, voor de verkoper, is dat je meerdere "goedkopere" nieuwere veiligere telefoons kunt verkopen terwijl aan de andere kant de Apple klanten over het algemeen langer met een ouder "duurder" model door kunnen gaan.
Welke van de twee slimmer is als verkoper of koper mag je je eigen hoofd over breken maar er zijn verschillende aspecten, waaronder dus security patches/rates.

We kunnen doen alsof het een "losstaand" incident en probleem is maar dat is natuurlijk niet zo.

[Reactie gewijzigd door Anoniem: 823835 op 25 oktober 2016 09:31]

Loller1
@Ruw ER25 oktober 2016 09:22
Niet alleen zijn er 416 van dat totaal dit jaar in Android gevonden, maar Androids trend lijkt ook te exploderen: https://www.cvedetails.co...droid.html?vendor_id=1224. In vergelijking met eerdere jaren zijn het er belachelijk veel. Daarbij, als ik mij niet vergis zijn kwetsbaarheden in Linux niet meegenomen in dat totaal, ook al is het van toepassing op Android.
Jiskefet296
@Ruw ER25 oktober 2016 10:19
Moet je alle bugs met "The kernel in Apple iOS before 10..." er ook niet uit filteren? Deze komen toch alleen voor bij oude versies van het OS?
waktak
@AudiSub25 oktober 2016 08:05
Wat is dit nou voor kortzichtige opmerking, deze man heeft echt geen invloed op de onveiligheid van android. Natuurlijk kunnen kwaadwillended deze exploit gebruiken, maar het gaat om druppels in de oceaan.

Er wordt vaak geschreven over lekker in iOS/android, maar over de daadwerkelijke gevolgen weinig. Heb jij ooit last gehad van dergelijke lekken? Denk dat je er eerder profijt van hebt gehad dan last ;)

[Reactie gewijzigd door waktak op 25 oktober 2016 08:07]

xalvo
@waktak25 oktober 2016 08:44
Wat is dit nou voor kortzichtige opmerking, deze man heeft echt geen invloed op de onveiligheid van android.
Door zijn besluit om zijn methode niet te melden heeft hij dus WEL invloed op de onveiligheid van Android |:( . Als hij goed bezig zou zijn, dan maakt hij wel melding bij google, maar publiceert hij zijn methode niet in de openbaarheid om (verder) misbruik te voorkomen.
waktak
@xalvo25 oktober 2016 09:11
Ben ik totaal niet met je eens, zal je uitleggen waarom. Stel je voor, hij meldt dit aan google. Hoogstwaarschijnlijk wordt het lek dan bekend voor iedereen. Uiteraard gaat google een patch uitbrengen binnen 1-2 weken (als je geluk hebt) waardoor het lek gedicht is.

Echter, het ronduit BELABBERDE update beleid van android zorgt er voor dat het merendeel van de android devices alsnog kwetsbaar zijn. Dus wat heb je liever? Dat dit lek verkocht wordt om specifieke devices te targetten, denk aan celebrity's of belangrijke individuen in onze maatschappij? Of dat het merendeel van de toestellen in bezit van Jan Modaal kwetsbaar wordt?
Donvermicelli
@waktak25 oktober 2016 09:23
Ik heb liever dat het merendeel van de toestellen in het bezit van Jan Modaal kwetsbaar wordt. Waarom? Het dwingt de betrokken partijen wat te doen met hun slechte beveiliging (denk aan banken die misschien niet meer met bepaalde telefonen willen internet bankieren).

Het allerbelangrijkste is misschien wel dat het een idee van schijnveiligheid voorkomt. Dit kan in sommige extreme gevallen zelfs levens kosten. (denk aan journalisten of vrijdenkenden onder regimes).

Ik heb dat bovenstaande dus liever niet. Daar kunnen we het over oneens zijn, en dat mag, maar ik hoop dat je ook de keerzijde van wat je aan het beschrijven bent beseft.
Chevy454
@Donvermicelli25 oktober 2016 12:15
Ik heb liever dat het merendeel van de toestellen in het bezit van Jan Modaal kwetsbaar wordt. Waarom? Het dwingt de betrokken partijen wat te doen met hun slechte beveiliging (denk aan banken die misschien niet meer met bepaalde telefonen willen internet bankieren).
Wat jij wilt is in een ideale wereld waarbij mensen kunnen eisen dat hun wasmachine van 20 jaar oud nog steeds reserve onderdelen kunnen krijgen met de prijs van toen zonder rekening te houden met stockage kosten.

Wat er gaat gebeuren is het volgende:
Koop een nieuw toestel, problem solved. En het is nog eens beter ook want de economie vaart er wel bij. Alleen Jan Modaal mag weer in de buidel tasten want ideologie zorgt ervoor dat de operatie lukt (exploit bekend) maar de patient toch sterft (geen update dus kwetsbaar).

Ik heb bij ons alle Android toestellen de deur gewezen met uitzondering van mijn eigen telefoon en tablet omdat ik deze kan onderhouden. De (naaste) familie worden lichtelijk gepushed om naar iOS over te schakelen. Het leven is een heel stuk rustiger geworden :Y)

[Reactie gewijzigd door Chevy454 op 25 oktober 2016 12:21]

Donvermicelli
@Chevy45425 oktober 2016 14:14
[...]

Wat er gaat gebeuren is het volgende:
Koop een nieuw toestel, problem solved. En het is nog eens beter ook want de economie vaart er wel bij. Alleen Jan Modaal mag weer in de buidel tasten want ideologie zorgt ervoor dat de operatie lukt (exploit bekend) maar de patient toch sterft (geen update dus kwetsbaar).

Ik heb bij ons alle Android toestellen de deur gewezen met uitzondering van mijn eigen telefoon en tablet omdat ik deze kan onderhouden. De (naaste) familie worden lichtelijk gepushed om naar iOS over te schakelen. Het leven is een heel stuk rustiger geworden :Y)
Ja dit lost het probleem toch ook op? Als de consument tot de conclusie komt dat hij om de haverklap een nieuw toestel moet gaan kopen bij merk A omdat deze geen updates levert maar als hij bij merk B een toestel koopt dan kan hij er twee keer langer mee doen. Dan sterft merk A vervolgens uit omdat deze nauwelijks nog klanten krijgt en dan doet de markt zijn werk. Toestellen die wel updates krijgen overleven (dus veiligheid wint) en toestellen die geen updates krijgen die sterven vrijwel helemaal uit.

Je zegt zelf namelijk ook dat je Android vrijwel helemaal de deur uit hebt geduwd omdat er geen updates komen. Als ik dus een fabrikant ben zie ik genoeg kansen liggen om heel veel klanten te winnen door dit juist wel te doen.
Chevy454
@Donvermicelli25 oktober 2016 14:36
Ja dit lost het probleem toch ook op? Als de consument tot de conclusie komt dat hij om de haverklap een nieuw toestel moet gaan kopen bij merk A omdat deze geen updates levert maar als hij bij merk B een toestel koopt dan kan hij er twee keer langer mee doen. D
Alsof de gemiddelde mens ook maar een zier geeft welke software ze draaien. De laatste windows was XP, of niet? Of weet jij welke firmware versie jouw TCU module heeft?

Ergo: je bent te naief om ook maar te verwachten dat mensen iets om de software versie geven.

[Reactie gewijzigd door Chevy454 op 25 oktober 2016 14:37]

Donvermicelli
@Chevy45425 oktober 2016 15:19
Ze geven wellicht niet om de software versie maar ze zullen zeker geven om zaken zoals:
  • Hun data bundel die ineens 30x sneller leegloopt zonder dat ze er gebruikt van maken.
  • Hun bankrekening die ineens rare transacties erbij gaat krijgen waardoor je saldo omlaag loopt.
  • Hun telefoon die steeds trager begint te worden waardoor hij steeds minder bruikbaar is.
Verder reageer ik puur op het punt dat jij zegt:
Wat er gaat gebeuren is het volgende:
Koop een nieuw toestel, problem solved. En het is nog eens beter ook want de economie vaart er wel bij. Alleen Jan Modaal mag weer in de buidel tasten want ideologie zorgt ervoor dat de operatie lukt (exploit bekend) maar de patient toch sterft (geen update dus kwetsbaar).
Wat je verder zegt over die wasmachines ben ik niet met je eens.
Wat jij wilt is in een ideale wereld waarbij mensen kunnen eisen dat hun wasmachine van 20 jaar oud nog steeds reserve onderdelen kunnen krijgen met de prijs van toen zonder rekening te houden met stockage kosten.
Wat ik zelf zeg met die analogie is dat mensen die ontdekken dat hun Samsung wasmachine na een jaar ontploft niet opnieuw een Samsung wasmachine kopen maar een Miele wasmachine omdat deze niet ontploft. Hierdoor is het uiteindelijk niet meer rendabel voor Samsung om wasmachines te produceren en zullen ze dat ook niet meer gaan doen. De slechte fabrikant sterft af en de 'goede' fabrikant overleeft. Hierdoor krijg je betere producten op de markt en is iedereen beter af.
Chevy454
@Donvermicelli25 oktober 2016 15:37
Ze geven wellicht niet om de software versie maar ze zullen zeker geven om zaken zoals:
Hun data bundel die ineens 30x sneller leegloopt zonder dat ze er gebruikt van maken.
Hun bankrekening die ineens rare transacties erbij gaat krijgen waardoor je saldo omlaag loopt.
Hun telefoon die steeds trager begint te worden waardoor hij steeds minder bruikbaar is.
Dit zijn het soorten mensen waar we het over hebben.
Bericht komt overigens wel van de meest toepasselijke website.
http://www.hln.be/hln/nl/...ische-draaitelefoon.dhtml

Je hebt veels te veel misplaatst vertrouwen in de stupiditeit van mensen. Dergelijke mensen willen gewoon iets wat werkt en waarbij voor hun beveiliging op een 100ste plek komt in een race met 99 deelnemers.
Wat ik zelf zeg met die analogie is dat mensen die ontdekken dat hun Samsung wasmachine na een jaar ontploft niet opnieuw een Samsung wasmachine kopen maar een Miele wasmachine omdat deze niet ontploft. Hierdoor is het uiteindelijk niet meer rendabel voor Samsung om wasmachines te produceren en zullen ze dat ook niet meer gaan doen. De slechte fabrikant sterft af en de 'goede' fabrikant overleeft. Hierdoor krijg je betere producten op de markt en is iedereen beter af.
De Sony timer vergeten? Sony bestaat 20 jaar later nog steeds.

[Reactie gewijzigd door Chevy454 op 25 oktober 2016 15:38]

Donvermicelli
@Chevy45425 oktober 2016 16:58
De Sony timer vergeten? Sony bestaat 20 jaar later nog steeds.
Sorry maar er is totaal geen bewijs voor het bestaan van een 'Sony Timer' Mocht deze al bestaan is dat nog steeds daadwerkelijk iets anders dan een product wat je actief in gevaar kan brengen.
waktak
@Donvermicelli25 oktober 2016 09:38
Er is een groot verschil tussen willen en weten, natuurlijk zou ik willen dat partijen wat doen met slechte beveiliging mocht de situatie zich voordoen zoals jij die beschrijft. Maar ik heb hier het vertrouwen in verloren aangezien er maar 2 grote partijen zijn. Noem me pessimistisch, maar ik denk dat als je er realistisch naar kijkt, bedrijven zoals apple en google het geen f*** boeit als er een kans bestaat dat je toestel onveilig is. Ook al willen banken er niet mee samenwerken (laten we eerlijk wezen, dat gaat ook niet gebeuren).

p.s. journalisten en vrijdenkenden vallen in mijn optiek onder belangrijke individuen voor de maatschappij, lees het als individuen die grote invloed kunnen hebben en het dus waard is om een exploit te kopen waardoor er toegang verkregen kan worden tot hun device.
Donvermicelli
@waktak25 oktober 2016 10:28
Je zegt nu dat je liever security through obscurity hebt, dat werkt maar tot een zekere hoogte. Wat betreft die journalisten en vrijdenkenden: die zullen het geld niet hebben om zich te verdedigen tegen een regime die vrijwel letterlijk oneindig meer geld tot zijn beschikking heeft. Een journalist zal naast een flinke zak geld ook ineens een zwaar gespecialiseerde IT'er moeten zijn en heel veel tijd extra moeten hebben om een effectieve verdediging tegen een bepaalde exploit te kunnen maken.

Bovendien: wie bepaalt wie een belangrijk individu is en dus deze exploits kan kopen?
xalvo
@waktak25 oktober 2016 10:12
Dus wat heb je liever? Dat dit lek verkocht wordt om specifieke devices te targetten, denk aan celebrity's of belangrijke individuen in onze maatschappij? Of dat het merendeel van de toestellen in bezit van Jan Modaal kwetsbaar wordt?
En wie zegt jou dat het lek alleen daarvoor gebruikt wordt. In het artikel lees je al dat de onderzoeker in kwestie al niet uitsluit dat het lek al misbruikt wordt. De gemiddelde malware richt zich echt niet alleen op celebrity's of belangrijke individuen.

Persoonlijk boeit me het in dit geval niet, ik gebruik geen Android, juist vanwege het brakke update beleid. :)
bbob
@xalvo25 oktober 2016 09:16
Er zijn bedrijven die exploits verkopen. Deze melden het ook niet en sterker nog deze bedrijven zijn helemaal legaal en ja betalen ook belastingen op hun winst.
Je kan dan ook stellen dat de overheid door het niet te verbieden exploits te verkopen en belasting te innen verdiend aan exploits.

Diezelfde overheden maken trouwens ook niet alles openbaar. Dat zijn dan weer overheden waar wij via stemmen voor gekozen hebben. Hoewel gekozen wij denken dat we kunnen kiezen.
xalvo
@bbob25 oktober 2016 10:14
En omdat bedrijven exploits verkopen, overheden ze onder de pet houden c.q. gebruiken, etc is dat allemaal juist?
Ethisch juist is ze melden zodat ze verholpen kunnen worden. Wel vind ik dat daar een fatsoenlijke beloning tegenover mag staan die in verhouding staat tot hetgeen partijen aan de betreffende software verdienen in combinatie met de impact van een exploit.
bbob
@xalvo25 oktober 2016 11:12
Wel vind ik dat daar een fatsoenlijke beloning tegenover mag staan die in verhouding staat tot hetgeen partijen aan de betreffende software verdienen in combinatie met de impact van een exploit.
Dat klinkt leuk maar als jij van mening bent een exploit te hebben die je voor 200.000 euro kan verkopen aan de NSA of zelf zo veel met een app denkt te kunnen verdienen en google er maar 20.000 voor wil geven heb je al een probleem.

Je hoeft dan ook niet te denken aan bemiddeling die gaat bepalen wat de waarde is. Daar gaat weer te lang overheen. exploits kunnen natuurlijk ook binnen een week verholpen zijn maar kan ook jaren duren voordat iemand er achter komt.

Ben het met je eens juist is het misschien allemaal niet maar dat komt mede ook door dezelfde grote bedrijven die nu ook niet het goede voorbeeld geven op moreel gebied, evenals overheden.
Geeft dat jou hetzelfde recht, nee op zich niet, is het begrijpelijk ja dat is het zeker.

Stel jij jezelf nu eens de vraag, je doet een ontdekking, exploit en geeft die netjes aan, krijgt daar misschien 10.000 euro voor of je kan hem voor een veelvoud verkopen, hetgeen legaal is maar moraal misschien niet.
xalvo
@bbob25 oktober 2016 11:36
Ik ben mens, dus mijn keuzes zullen zeker niet allemaal ethisch verantwoord zijn al doe ik mijn best. Persoonlijk zou ik niet doen wat deze onderzoeker doet...het en aan de grote klok hangen...en het dan voor jezelf houden. Het is of roem of rijkdom 8)7
lordfragger
@AudiSub25 oktober 2016 08:35
Ik zou zelfs meer zeggen: software die door mensen geschreven is is inherent onveilig!

Noem eens 1 OS waar nooit lekken in gevonden zijn... Het is vooral de manier waarop een lek opgelost wordt die belangrijk is. Dit lek is vorige week bekend geworden en voor linux zijn al patches beschikbaar. Android is op zich gewoon een linux distro, dus moet Google die patch nu integreren in zijn builds en verspreiden naar smartphonebouwers. Dat het daarna bij veel merken misloopt met de verspreiding is geen fout van het OS.
BikkelZ
@lordfragger25 oktober 2016 16:49
Dat het daarna bij veel merken misloopt met de verspreiding is geen fout van het OS.
Duidelijk wel, het probleem met updates is een van de fundamentele problemen in de opzet van Android.

Voor het toevoegen van allerlei skins en andere nutteloze rommel die fabrikanten en providers zo graag ongevraagd op je telefoon zetten is het niet noodzakelijk dat ze ook alle patches en updates blokkeren. Alle Lenovo rotzooi en je Classic Start menu blijven ook gewoon staan als Windows weer eens geüpdatet wordt, nietwaar? Als Microsoft je voorbeeld is van hoe security wél moet heb je echt een probleem.

Voor het updaten van een besturingssysteem zou het niet noodzakelijk moeten zijn dat je ook alle drivers opnieuw meebakt, tenzij je de Linux-kernel gebruikt. De Linux kernel had 0 voordelen voor een mobiel OS en de belangrijkste reden dat hij gebruikt werd als fundament is dat hij a) gratis was en b) al bestond. Android is een haastig op de markt gegooid OS waar een iOS achtige schil over een BlackBerry kloon werd gelegd die vanwege financiële redenen op de Linux kernel gebaseerd werd, met alle gevolgen van dien.

Het doet me vooral een beetje denken aan de manier waarop DOS in recordtijd voor IBM ontwikkeld werd, op een manier waardoor latere versies inclusief die met grafische schil onnodige beperkingen hadden. Als kwaliteit de boventoon gevoerd had destijds werkten mensen bijvoorbeeld met WorkBench of de originele Lisa, maar de massa ging voor een krakkemikkig kantoor OS.

[Reactie gewijzigd door BikkelZ op 25 oktober 2016 16:50]

Hoppa!
@AudiSub25 oktober 2016 08:32
Met al die gaten in het internet vraag je je af waarom mensen nog kiezen voor een computer!
bbob
@Hoppa!25 oktober 2016 09:14
Tja misschien omdat ze thuis gewend zijn kaas mat gaten te eten 8)7
SuperDre
@AudiSub25 oktober 2016 11:04
iOS is niet veel veiliger hoor..
veltnet
@AudiSub25 oktober 2016 11:43
elk besturingssysteem is inherent onveilig
hcQd
25 oktober 2016 08:28
Dit zou mogelijk zijn op alle apparaten met Android 1.0 of hoger.
Bijna alle, bij de CM13 nightlies zijn inmiddels de meeste apparaten gepatcht.
arjan1995
@hcQd25 oktober 2016 08:34
Maar ja, hoeveel mensen gebruiken nou cm13 nightlies???
Chocomel_Deluxe
@arjan199525 oktober 2016 08:44
ik :)
SuperDre
@arjan199525 oktober 2016 11:04
Of uberhaupt cm13..
Kura
@SuperDre25 oktober 2016 11:40
of uberhaupt CM op het totaal aantal smartphones
Chevy454
@arjan199525 oktober 2016 20:10
Qua aantal gebruikers is dat natuurlijk van onbenul maar qua informatie is het wel fijn te weten. Weet ik ook meteen dat ik naar CM nightly moet upgraden.
arjan1995
@Chevy45426 oktober 2016 07:56
Sure, voor de liefhebbers is het altijd mooi om te weten :)
BikkelZ
25 oktober 2016 14:35
Hoe lastig is het om de kernel zelf te updaten in plaats van wat er tegenwoordig allemaal in Google Play services zit? Ik weet dat je onder Linux een kernel opnieuw moet compileren met onder andere ook de drivers voor je hardware, dus je bent wel afhankelijk van OS drivers of een aardige fabrikant of niet?
Anoniem: 823835
25 oktober 2016 08:45
Oude COW uit de sloot trekken? :+

Fijn voor de mensen die hun eigen telefoon willen rooten.
Wel erg is dat er veel toestellen in gebruik zijn en blijven die nooit een update gaan krijgen en door anderen geroot kunnen worden ook wanneer je het niet wilt.
BurnerT
@Anoniem: 82383525 oktober 2016 09:36
Dat is overal zo.

De laptops waar XP op draaien hebben nog lekken omdat die niet meer gepatcht worden. Iphone 3 / 4 etc kunnen ook niet naar de laatste IOS. Een 40 jaar oude voordeur met bijbehorende 40 jaar oude sleutel is ook minder veilig itt een voordeur met 3 punts slot.

Je blijft het houden met verouderde apparatuur.
Anoniem: 823835
@BurnerT25 oktober 2016 10:05
Dat klopt maar op een bepaald punt is een product daadwerkelijk verouderd en zou je moeten overwegen hem te laten vervallen omdat het niet meer verstandig is.

Bijvoorbeeld, monumentwoningen zijn zeldzaam en dienen een specifiek doel. De rest vervalt en word gesloopt.
Maar je bouwt ook niet iedere 10 jaar een nieuw huis maar plaatst een nieuwe deur dan wel sloten.
Als je huurt dan wel de verhuurder.

De "vooruitgang"/druk door competitie van/op Android verkopers is zo groot dat ze hun focus hebben liggen bij ontwikkeling, promoten en verkopen van nieuwe toestellen.
De afkoopabonnementen spelen hier ook een grote rol in.

Maar niet iedereen vind het normaal om zo vaak een nieuw model in huis te halen of zelfs te moeten halen als je niet wilt dat men, als ware je deur open, naar binnen wandelt en je leeg roofd terwijl een nieuwe deur of sloten niet beschikbaar zijn voor je nieuwbouw.
Kat in de zak kopen gevoel dus.

Het is bovendien de zeitgeist. Angst door alomvattende toenemende en onhoudbare drukken door "vooruitgang". Veiligheid dan wel zekerheid/"duurzaamheid" is een gigantisch punt.

[Reactie gewijzigd door Anoniem: 823835 op 25 oktober 2016 11:15]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee