Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljarden bluetooth-apparaten zijn volgens onderzoekers kwetsbaar voor aanval

Door , 92 reacties, submitter: PlaceboRulez

Onderzoekers van het beveiligingsbedrijf Armis stellen dat zo'n 5,3 miljard apparaten met bluetooth kwetsbaar zijn voor een aanval die zij BlueBorne noemen. Het gaat zowel om smartphones, laptops en wearables als om iot-apparaten.

De BlueBorne-aanval die door onderzoekers van Armis Labs is gepubliceerd, maakt gebruik van acht zerodaykwetsbaarheden in de bluetooth-implementaties van Android, iOS, Linux en Windows. Binnen zo'n tien seconden is het mogelijk om met de aanval een bluetooth-apparaat over te nemen, zonder dat de gebruiker het doorheeft, luidt de claim. Volgens de onderzoekers is het mogelijk om met behulp van de aanval bijvoorbeeld ransomware of malware te verspreiden naar andere bluetooth-apparaten. Ook kan er een man-in-the-middle-aanval uitgevoerd worden om gebruikers bijvoorbeeld naar een vervalste loginpagina te sturen.

Met de aanval kan toegang verschaft worden als het betreffende apparaat niet gepaird is of niet aan het zoeken is naar een ander bluetooth-apparaat. Alleen al het inschakelen van bluetooth maakt de apparaten volgens de onderzoekers kwetsbaar. Zij stellen dat er wereldwijd 5,3 miljard bluetooth-apparaten kwetsbaar zijn voor de aanval; volgens schattingen zijn er zo'n 8,2 miljard apparaten met bluetooth in omloop.

Het bedrijf heeft zijn bevindingen al eerder dit jaar gedeeld met onder andere Google en Microsoft. Bedrijven hebben in de afgelopen maanden al diverse patches uitgebracht. Microsoft voorziet Windows tijdens zijn patchronde deze dinsdag van updates. Alle Windows-versies sinds Vista zijn kwetsbaar. Apple heeft de kwetsbaarheden in iOS 10 al opgelost. Niet alle bluetooth-apparaten krijgen echter updates en blijven daardoor kwetsbaar.

Alle Android-versies ouder dan 6.0 blijven bijvoorbeeld kwetsbaar, omdat daar geen update voor komt. Google heeft de beveiligingsupdate doorgevoerd in de security patch van september, die beschikbaar is voor Android 6.0 en nieuwer. Toestellen die dit patch level nog niet hebben, zijn nog kwetsbaar. Armis heeft een Android-app gemaakt waarmee gebruikers kunnen controleren of hun smartphone vatbaar is.

Armis zegt drie keer contact te hebben gezocht met Samsung. De Zuid-Koreaanse fabrikant heeft echter geen enkele keer gereageerd. In een demofilmpje laten de onderzoekers zien hoe ze de Galaxy Gear S3 via bluetooth overnemen, door kwetsbaarheden in Linux te gebruiken.

Het beveiligingsbedrijf heeft verschillende demonstratiefilmpjes van de aanval op YouTube gezet. Zo toont het bedrijf ook hoe een Google Pixel-smartphone en een Windows-computer kunnen worden overgenomen. In een whitepaper geven ze technische informatie over de aanval en de kwetsbaarheden.

Door Julian Huijbregts

Nieuwsredacteur

12-09-2017 • 17:53

92 Linkedin Google+

Submitter: PlaceboRulez

Reacties (92)

Wijzig sortering
Wow lijkt me wel een serieus probleem na het bekijken van de video. En zeggen dat de heft van de Android telefoons onder versie 6.0 zit ?
Toch vraag ik me af hoe groot het risicoprofiel voor deze kwetsbaarheid is. Bluetooth heeft een bereik van zeg 10 meter? Hoe wil je daar op grote schaal toestellen mee gaan besmetten? Zelfs in een volle intercity zal je misschien 25 treffers hebben in een rijtuig met 100 man in de spits? Want de rest is niet (meer) kwetsbaar, heeft Bluetooth uit staan, etc. En dan naar de volgende lokatie.... boel werk, kan je beter 100.000 spam berichten versturen met een office-virus, groter bereik.

Tuurlijk: ik word er niet blij van dat mijn S5 niet meer bijgewerkt wordt, dus dat hier een risico blijft bestaan. Maar de kans dat ik de pineut ben? Verwaarloosbaar zou ik zeggen.

[Reactie gewijzigd door Reptile209 op 12 september 2017 22:51]

Het filmpje dat Tweakers plaatst laat de omvang van het probleem niet goed zien. Dit filmpje geeft meer inzicht in de mogelijkheden van deze hack en dit probleem:
https://www.youtube.com/watch?v=LLNtZKpL0P8

Samengevat, als je je mallware goed programmeert kan dit de basis van een BT-Worm zijn.
In een soort worm kan dit best hard gaan hoor. Je zegt het zelf al, even een trein ritje en je hebt zo 20 man te pakken. Als die 20 man vervolgens overstappen infecteren die weer weer 20 man. Vervolgens zitten die 400 mensen in college waar ze nog eens 20 man infecteren, etc. Dit kan na een paar weken best hard oplopen.
Er zijn ook plaatsen waar mensen stil zitten hoor. Denk aan treinen, metros, restaurants, stadions.. Keuze zat :)
Ja klopt ook wel
https://developer.android.com/about/dashboards/index.html

Ik ken wel mensen die het niks boeit welke android versie ze hebben. Maar dan krijg je dit soort dingen dus. Misschien ook wel een goeie reden om het Android OS meer generiek te maken (Android O?).
Ik ken wel mensen die het niks boeit welke android versie ze hebben. Maar dan krijg je dit soort dingen dus. Misschien ook wel een goeie reden om het Android OS meer generiek te maken (Android O?).
Verwachten dezelfde mensen niet ook dat hun android nog updates krijgt? Het probleem hier is dat fabrikanten/telco's besluiten om bepaalde telefoons niet meer te ondersteunen omdat ze 2(?) jaar oud zijn.
Het probleem is dat (software) fabrikanten niet wettelijk gedwongen worden om de beveiliging van apparaten tot aan het einde van de fysieke levensduur van het apparaat te garanderen. Dat is wat er moet komen, zeker met oog op (semi)zelfrijdende autos en iot-apparatuur voor elke toepassing.
Ik vind het ook niet logisch dat er een wet moet komen om dus die beveiliging te garanderen tot het oneindige. Zo iets moet een markt creëren. Mensen moeten zelf er bewust van worden en zoiets ook willen. Er zijn namelijk -wel- partijen die het "soort van" leveren.
Op het moment dat het dus verplicht wordt ga je vreemde taferelen krijgen. Ten eerste gaan de prijzen giga hard omhoog, het process (ontwikkelen) wordt 10x langzamer.

Uiteindelijk moet dit gewoon vanuit het bedrijf komen en de consument moet hier een bewuste keuze in maken. Persoonlijk vind ik het zelf niet reëel dat mijn telefoon van 6 jaar geleden nog 100% up-to-date is.
Ja, laat het maar aan de markt over. Consumenten moeten het maar begrijpen en anders op enorme schaal kwetsbaarheden voor lief nemen.

Dat is prima. Want de verantwoordelijkheid ligt natuurlijk bij de consument.

Maar wat voor verantwoordelijkheid heeft de overheid dan nog wel? Als toch alles door de markt opgelost wordt als de consument maar zijn verantwoordelijkheid neemt en over alles goed geinformeerd is.

En juist daar zit het knelpunt. Economische theorieen bouwen allemaal op de aanname van perfecte informatie. Oftewel dat iedereen ten alle tijden alle aspecten van een product en alle concurrenten volledig weet EN kan inschatten wat de waarden dan wel de risicos hiervan zijn. Dat is natuurlijk nooit het geval. Sterker nog, bedrijven doen hun uiterste best om dit te verkomen omdat het hun winstmarges verlaagt. En dat is een van de meest belangrijke redenen dat overheden moeten ingrijpen. Daarom is er verplichte aansprakelijkheidsverzekering als je een auto bezit (om maar een van duizenden voorbeelden te noemen). De markt regelt veel, maar er zijn gewoon enorme misstanden die de markt ook bevorderd omdat ie niet werkt als in de economische theorie. En voor dat soort dingen moet de overheid gewoon ingrijpen.
Ja alleen ligt die aansprakelijkheidsverzekering bij de consument en niet bij de fabrikant. Er mag van een fabrikant verwacht worden een degelijk product op te leveren die veilig is. Dat 8 jaar na dato er dan nog iets mee gebeurd is ook een verantwoordelijk voor de consument. Een optie kan zijn dat het product afgeschreven moet worden of dat bepaalde features uitgezet worden (zoals nu bluetooth uitgezet kan worden om het probleem te verhelpen).

Ik ben gewoon tegenstander van diverse invloeden van wetten/overheden want over het algemeen betekend dit weinig voortgang of voordeel voor de consument. Het zijn vaak vervelende regels die toch niet op maat zijn en waar de consument de dupe van is; hogere prijs, meer regels, minder innovatief
Het is gewoon op geen enkele manier bevordelijk voor een sustainable samenleving als hardware afgeschreven wordt omdat de fabrikant weigert om kleine softwareaanpassingen te maken.

Maar er is natuurlijk ook een alternatief, door de fabrikant te dwingen de broncode openbaar te maken als hij met de ondersteuning stopt. Dan kunnen andere bedrijven het overnemen. Maar ik gok dat de fabrikanten dan ineens keurig alles updaten.

En het is onzin blanko te stellen dat wetten voor consumenten geen vooruitgang leveren. We hebben wetten om de verantwoordelijkheden voor alles te regelen. En dat is van enorm belang voor onze samenleving. Consumenten EN bedrijven gaan er op vooruit als we daar de goede beslissingen nemen. Bottomline is dat wat er nu gebeurt een schoolvoorbeeld is van planned obsolescence. De telefoonfabrikanten kunnen gewoon beslissen waarneer jij een nieuwe telefoon moet kopen omdat ze stoppen met beveiligingsupdates. Door imformatie-assymetrie is het voor consumenten volstrekt onmogelijk om hier een weloverwogen afweging te maken. En het zijn juist dit soort inefficienties waar we moeten ingrijpen.

Ik kan het niet vaak genoeg herhalen: het toppunt van capitalisme is slavenij. En ja, de afschaffing daarvan heeft ook tot meer regels en hogere prijzen geleid voor consumenten. Maar het was wel van enorm belang voor onze samenleving om het wel te verbieden. Bedrijven hebben nul interesse aan waardecreatie voor de samenleving. Hun enig doel is om waarde naar hun aandeelhouders/eigenaren te brengen. Als zij daarmee waarde vernietigen in de samenleven nemen ze dat gewoon voor lief. En daarom moeten we vaak ingrijpen. Een telefoonfabrikant heeft er enorm interesse aan dat jij regelmatig een nieuwe telefoon koopt. De hardware is echter degelijk genoeg om gewoon 5 of zelf 10 jaar te werken. Maar dat willen ze gewoon niet. En dus zorgen ze ervoor dat de software van je telefoon niet meer te updaten is. Dat verschuift waarde naar hun, maar het vernietigt in totaal enorm veel waarde voor de samenleving omdat goedwerkende hardware moet worden afgeschreven terwijl de kosten voor het updaten een nihile fractie van die afschrijving zouden bedragen.
Precies, net zoals nu ook in de luchtvaart. Potentieel gevaarlijk probleem? Alle vliegtuigen van dat type (of soms zelfs maatschappij) verplicht aan de grond. En dat komt nog met enige regelmaat voor.
Haalbaar voor auto's? Nee, ik denk het niet. In ieder geval niet zolang autobezit nog is toegestaan.
En daarom moet de verplichting bij de fabrikant liggen en niet bij de consument. Van een airline kan je verwachten dat ze hun vliegtuigen fixen. Consumenten kunnen niet even bij een autofabrikant aankloppen om de software van hun auto te updaten.

De verplichting moet bij de bedrijven liggen. De consument kan het namelijk helemaal niet zelf oplossen.
Ik ben het met je eens hoor. Het gros van de mensen is niet in staat om een veilig wachtwoord te verzinnen en gebruikt dat wachtwoord bovendien overal, laat staan dat ze de veiligheidsrisico's voldoende inschatten van verouderde 'auto software'. Ook iets simpels als voldoende profiel op de banden wordt pas 'ontdekt' bij de APK (of het nu het uitstellen van kosten is of er werkelijk niets om geven doet er niet toe).
Maar wie wordt er verantwoordelijk? De fabrikanten? Daihatsu is van de Eurpese markt verdwenen. Saab is failliet (en nu in Chinese handen?). Wat langer geleden MG Rover. Dan zijn er nog wat merken verdwenen door overnames of om zustermerken meer ruimte te geven. Wat dan? Verplicht een fonds oprichten dat onderhoud en en software updates garandeert voor 15 jaar? Of de verantwoordelijkheid neerleggen bij dealer die jou de auto heeft verkocht? Dat is ook nogal een risico.
Of toch maar naar de kwikfit?
Ook iets simpels als voldoende profiel op de banden wordt pas 'ontdekt' bij de APK (of het nu het uitstellen van kosten is of er werkelijk niets om geven doet er niet toe).
En dat is toch juist het hele doel van de APK? Om dat soort dingen weer eens te controleren? 1 keer per jaar lijkt me toch voldoende, zo snel slijten ze nou ook weer niet. Ik krijg in ieder geval altijd netjes te horen wanneer de banden aan vervanging toe zijn...
Ik ben het niet me je eens. Als jouw auto een ongeluk of erger veroorzaakt en je kunt niet aantonen dat iemand anders reed ben jij verantwoordelijk. Dus als je dit kunt voorkomen door een software update bij de dealer zou ik dat maar doen. Helaas zal die update er waarschijnlijk pas komen als er zich al problemen hebben voorgedaan. De auto-industrie is niet bepaald proactief te noemen in zulke gevallen.
Oh dan wordt de fysieke levensduur beperkt zodat dat nog steeds matched met de update politiek van het bedrijf.
Denk aan de 1000 uur garantie op lampen..., rondom de 1e wereld oorlog is met name Philips bezig geweest om deze markt te maken, lampen gingen voor die tijd namelijk te lang mee, dat kon nooit een gezonde vervangingsmarkt worden als er niet voldoende vervanging nodig was. Onderzocht was waar ze mee weg konden komen richting consumenten (dus minstens 1000 uur) en hoe ze technisch er voor konden zorgen dat de lamp na 1000 + een beetje uren toch kapot ging.

Dus komen er apparaten die max 1 a 2 jaar mee gaan (fysiek dan).

[Reactie gewijzigd door tweaknico op 13 september 2017 13:58]

Dat kan in markten als die van gloeilampen destijds waar er maar 3 fabrikanten waren en die bovendien ook nog met elkaar afspraken hebben gemaakt.
De concurrentie bij de hardware voor smartphones is veel groter. Bovendien is het kernprobleem niet dat mensen die dingen vervangen en ze dus hun waarde verliezen maar dat mensen ze in onveilige toestand blijven gebruiken. En dat betekent enorme risico's voor de samenleving. Het aantal mensen dat hun telefoon de vuilnisbak ingooit is volgens mij enorm klein. Sterker nog, als telefoons te oud worden, worden ze vaak alsnog gewoon doorverkocht.
De maatregel moet dat risico wegnemen.
Tja Dieselgate was ook over ongeveer alle bedrijven heen. Alleen is VW op het schandblok gezet.
dus afspraken kunnen best veel breder georganiseerd worden.

[Reactie gewijzigd door tweaknico op 13 september 2017 16:53]

Het dieselschandaal bouwt op het feit dat wij mazen in de wet hebben gelaten en meer dan een decennium onze regeringen niet hebben gereageerd op testen en onderzoeken van waakhonden. Dat alle autofabrikanten de mazen in de wet hebben gevonden is niet gek, want zij hebben er natuurlijk gezamelijk voor gelobbyd en een leger aan advocaten in dienst die dat soort dingen voor hun uitzoeken.

Uiteraard kan je grotere kartellen organiseren, maar ze vallen sneller uit elkaar. Maar Dieselgate is helemaal geen kartel.
https://www.nrc.nl/nieuws...itsland-12188888-a1567496

Aanvulling: samenvattend...
Er is al jaren een kartel overleg aan de gang waarbij beleid werd afgestemt, waardoor Dieslgate over de gehele industrie een mogelijkheid was.

[Reactie gewijzigd door tweaknico op 14 september 2017 11:39]

Ja maar het lijkt er op dat Tweede Kamerleden nog steeds geen flauw benul hebben van het gevaren van iot en zelfrijdende auto's zijn. Iemand moet een keer de knoop doorhakken en er iets mee doen.
Volgens mij zijn er maar heel weinig mensen die de gevaren echt goed in kunnen schatten. De ene helft van de bevolking interesseert het niet en de andere helft overschat elk risico.
Dit is precies waarom er een expertise centrum moet zijn zodat de kamer en bedrijven zich goed kunnen laten informeren.
Dit kunnen we beter regelen op europees niveau. Maar goed, hoe dan ook zal het moeten gebeuren. Ook al maakt het de apparaten misschien iets duurder. Op dit moment lopen we een enorm structureel risico door al die outdated apparaten die overal aan het internet hangen. Zelfrijdende autos zijn net al infrastructuur (inclusied iot) een enorm doelwit voor criminelen, terroristen en vijandige staten. Maar dat vegen we nu onder de tavel zodat aandeelhouders op korte termijn nog lekker kunnen cashen.
ramkraak, moord door aanrijden, simpelweg stelen, drugs smokkelen, ongeluk veroorzaken voor losgeld, aanslag plegen door iedereen tegen elkaar aan te laten rijden.... en ik kan ff doorgaan.

als ze hem gehacked hebben zal er vast ook een manier zijn om hem open te krijgen.

[Reactie gewijzigd door Laurens-R op 12 september 2017 20:05]

Het hoeft niet eens zo drastisch. Gewoon ransomware voor je auto. Het is een ding je PC niet te kunnen gebruiken of wat data kwijt te zijn. Maar je auto niet kunnen gebruiken is vaak toch een groter probleem.
Ze voorkomen dat hij start tot jij xx bitcoin hebt betaalt? Veel plezier met Tessie in het vervolg...

En aangezien je je auto itt je computer achteraf ook niet kan beschermen betekent het dat ze het een maand later gewoon weer doen.

[Reactie gewijzigd door Darkstriker op 12 september 2017 21:10]

Het probleem is dat (software) fabrikanten niet wettelijk gedwongen worden om de beveiliging van apparaten tot aan het einde van de fysieke levensduur van het apparaat te garanderen. Dat is wat er moet komen, zeker met oog op (semi)zelfrijdende autos en iot-apparatuur voor elke toepassing.
Het probleem komt wat mij betreft bij Google vandaan. Die maken te veel versies en laten een versie te snel vallen. Als fabrikant wordt je er niet vrolijk van als jij persé moet upgraden van Android 4 naar 5 om dan maar weer bepaalde security bugs te kunnen fixen. Immers er zijn ook altijd weer nieuwe functionaliteiten met nieuwe problemen en zo blijf je bezig.

Wat mij betreft moet Android net zo werken als Microsoft dat ooit voor Windows heeft verzonnen. Gewoon x jaar lang security updates binnen kunnen halen zonder de user daarbij te verplichten over te stappen naar de nieuwste versie.

Op mijn Huawei krijg ik overigens regelmatig updates met nieuwe security patches binnen. Maar ook daar werd ik verplicht te upgraden van Android 6 (welke mij prima beviel) naar Android 7. Momenteel zit hij op security level 1 August 2017.

[Reactie gewijzigd door sdk1985 op 13 september 2017 01:39]

Waar in de markt het probleem precies vandaan komt is niet super relevant. Feit is, dat de markt het niet zelf goed heeft weten op te lossen in 10+ jaar en er dus moet worden ingegrepen om wille van de veiligheid en orde van de samenleving. Er zijn natuurlijk andere ingrepen mogelijk, maar ik daag je uit om een ingreep van vergelijkbare of betere effectiviteit te bedenken (zeker niet onmogelijk). Want dat hebben we nodig.

Anderzijds is het natuurlijk zo dat als de fabrikanten deze wettelijke eis hadden, google al lang een efficientere veiligheidsstructuur zou handhaven omdat het anders fabrikanten zou verliezen aan een concurrent die het beter doet. Dat is marktwerking. Tussen bedrijven is die vaak stukken effectiever.
http://postmarketos.org kan gouden tijden tegemoet gaan op deze manier.
Ik hoop _echt_ dat dit gaat worden wat er beloofd wordt: Gewoon een OS en applicaties installeren op een telefoon. Ik snap echt het hele ROM gebeuren niet. ROMS maken dat telefoons maar even mee kunnen. Het is toch pure BS dat een telefoon na 2-3 jaar afgeschreven moet worden omdat het een grote gatenkaas is?
Da's nou net de bedoeling van de fabrikant. Mensen zoals ik die een smartphone van 60 euro kopen en die dan 5 jaar gebruiken, da's niet wat ze willen. Ze willen dat je liefst elk jaar een dure nieuwe koopt.

Dit is nou net hoe Android groot is geworden: Doe naar de gebruikers net alsof het open is, en zorg dat de fabrikanten de boel toch lekker dicht kunnen timmeren.

Als je gewoon zelf je software kon beheren, ging je telefoon minstens 4 keer zo lang mee.
xkcd: There are 14 competing standards. 'That's ridiculous! We need to develop a new standard that covers everyone's use case! Yeah!' ... Later: There are 15 competing standards.

Zoek zelf maar de link op.

Ikzelf heb op de harde manier geleerd dat een machine uit 2007 nog uitsluitend met een ongelofelijk spartaanse bare-metal distributie van Linux aan de praat te krijgen was; en daarna mocht ik met de hand proberen Wifi in te stellen. Er gaat een hele hoop duistere magie schuil achter de simpele interface die we vandaag de dag op elk wireless device gebruiken; na een halve dag doorworstelen van nog duisterder Howto's heb ik het opgegeven en heb ik de machine, die technisch verder prima functioneerde, tot monitorstandaard gebombardeerd. Ik moet 'm een dezer dagen nog wipen en dan mag 'ie naar de schroot.

Dan heb ik ook nog een smartphone uit 2012 die zoveel nukken heeft dat ik 'm na een laatste data wipe en verantwoord afvoeren van de Li-batterij met duivels veel genoegen in de schrootbak van de vuilstort kapot zal smijten. Gezien de capaciteiten van mijn nieuwe telefoon (uit 2016) wil ik op die ouwe niet eens postmarketOS installeren... en let wel, die uit 2012 was een voormalig vlaggenschipmodel. (Dat wil zeggen: aan het einde van 2012 werd de telefoon al niet meer ondersteund. |:( )
OK dus Android V1.0 was al perfect?..... dacht 't niet, 16 versies later nog steeds allerlei issues.
Alleen het is na x jaar ontwikkeling wat meer ingeslepen. Overigens is de overeen komst tussen een paar verschillende Android versies vrijwel alleen de naam.

Dus ja ik denk dat PostmarketOS niet HET antwoord is, en het is nog steeds te jong om vergeleken te kunnen worden met een omgeving waar al 10 jaar ontwikkeling in zit. Maar na 10 jaar ontwikkeling mag je ook verwachten dat het niet na een jaar obsolete is.
Wat een vet project, ze zijn nu net iets meer dan 100 dagen bezig en hebben al redelijk wat mensen in de community weten te verzamelen. Al is alle ontwikkeling nog wel echt in de beginfase, op deze wiki, staat een klein overzicht van de voortgang voor verschillende devices.
Iedere keer komt dit weer terug en het is draaien draaien draaien.

google push androidn vanwege eigen diensten.
fabrikanten gebruiken het want het is gratis en leggen er vaak een eigen schil overheen.

google heeft nog steeds de naamrechten op android dus hoewel het os dan open source is, de naam niet en google kan ook eisen stellen voor het gebruik van android en de naam. Google doet dat nog steeds niet dus doen de fabrikanten maar wat en ja updates blijven uit. Zo veel modellen te ondersteunen kost dan te veel.

De consument tja die heeft pech, zelf bij een 1 of 2 jaar oud toestel geen updates te krijgen.
Google die gaat gewoon door want tja dat marktaandeel en via android standaard zoeken bij google, daar komt het geld vandaan.

Een bedrijfsmodel dat schijnbaar nog steeds goed werkt maar naar d eklant toe zo brak is als het maar kan zijn.
De schuldigen google en de telefoon fabrikanten.
Ik snap sowieso niet waarom Google niet gewoon eenzelfde soort updatemechanisme heeft als Windows, en de meeste Linux-distributies, onafhankelijk van wat fabrikanten er mee doen, gewoon updaten aan de hand van de hardware wat er in zit, niet wat voor telefoon je hebt. Android Oreo heeft nu iets ontwikkelt, maar hardwarefabrikanten moeten alsnog de updates zelf pushen.

Google probeert in mijn ogen echt er voor te zorgen dat Android geen een groot beveiligingsgat wordt, nu recent weer met Play Protect.

[Reactie gewijzigd door NotCYF op 12 september 2017 19:20]

Dat probleem is met Android O opgelost, dan kunnen updates onafhankelijk van fabrikanten worden verspreid. Het probleem is dat de voorgaande Android versies niet een dergelijk update mechanisme hebben.

En juist dit is het algemene probleem met veel fabrikanten - oudere hardware/software wordt niet bijgewerkt tenzij er een flink probleem publiek wordt aangekaart.
Omdat het een lastige kwestie was. Windows kan het sinds jaar en dag, maar Windows Phone/Mobile ook pas sinds versie 10.
Google probeert er echt voor te zorgen, tja na hoeveel jaar doen ze dat ?

Probleem zit hem in de vele soorten hardware chipsets en drivers die dan niet geupdate worden. Lees blackberry die niet kan updaten naar hogere android versie omdat hun hardware fabrikanten geen nieuwe drivers willen maken voor nieuwere android versie.

Het is dus gewoon een zooitje maar ja google heeft marktaandeel en daar is het ze om te doen.
Ja maar hetzelfde geldt toch voor Windows-hardware? Daar zit nog veel meer verschil in :P
Alleen zijn updates daar niet echt een probleem
Zolang er geen wettelijke regelingen komen op het verplicht ondersteunen van besturingssystemen haak ik af. Op geen enkele telefoon of tablet in mijn huis zitten nog belangrijke apps zoals bank-apps etc omdat ik op bijna al mijn android-crap geen updates meer krijg.

En nee ik ga niet mee in de koop-hype, want wat vandaag nog ondersteund wordt is morgen obsolete.
Wow lijkt me wel een serieus probleem na het bekijken van de video. En zeggen dat de heft van de Android telefoons onder versie 6.0 zit ?
Niet alleen telefoons. Ook tablets.

En wat dacht je van Android TV? Met een kostenplaatje van ¤1200+ worden die TV-sets niet zo snel vervangen, terwijl TV bouwers nog lakser zijn met updates doorvoeren dan hun phone-tegenhangers.

Op die TV sets zit niet alleen net zo goed Bluetooth op, maar erger nog: vaak werkt je afstandsbediening via Bluetooth en kun je het dus niet uitzetten. Iets dat bij een telefoon of tablet nog wel als lapmiddel zou kunnen dienen.

En een volledige OS update van 5.x naar 6.x is ook niet altijd zaligmakend. Met name bij Sony Android TVs is het verschrikkelijk te noemen. De Marshmellow update heeft een waar plethora aan problemen geintroduceerd. Periodieke vastlopers v/d TV; apps die continu crashen; de TV die uit zichzelf spontaan reboot; aangesloten USB opslag-apparaten die niet meer herkend kunnen worden; etc. etc. Toen de initiële update ter beschikking werd gesteld had je zelfs grote kans om er je dure TV mee te bricken.

[Reactie gewijzigd door R4gnax op 13 september 2017 12:23]

Zie nergens 'n reactie op de core van het probleem, waarom moet dat allemaal kunnen vraag ik me af?
Veel geschiet op android, geen zin om de geschiedenis van bluetooth op te zoeken maar of 't allemaal google z'n fout meteen is, betwijfel het.

Sinds OS'en netwerken, win 3.11 jawel is het allemaal al zo lek (OS/2 warp was waterdicht voor toen). En nee, dat hoefde niet, waarom moet mijn pc kunnen overgenomen worden met updates, usb, wifi, netwerk, vanaf de andere kant van de wereld, bluetooth en doen die apparaten niet zoals voorgeschreven enkel hun ding. Simpele client-server verbinding , 1 way up, 1 way down, en niks te hacken.

Nooit 'n antwoord op gevonden behalve sinds Snowden. Just my 2 cents. Andere mogelijkheid, allemaal luie programmeurs die code overnemen ipv zelf te typen en dan net die code overnemen.
Bluetooth uitschakelen in Windows services is altijd één van de eerste stappen bij een nieuwe installatie.

Bluetooth is een oude tech.
Programmeurs nemen geen netwerk-code over (of bluetooth-code, of whatever aan kernfunctionaliteit). Die doen een aanroep naar het OS die het voor ze afhandelt. Je denkt toch niet dat er voor iedere applicatie die iets met networking doet een complete tcp/ip stack geschreven wordt from scratch?

Sowieso lijkt het hier eerder om een fout in het protocol zelf te gaan, aangezien zowel Windows, Linux als iOS genoemd worden als vatbaar. Die gebruiken elkaars bluetooth implementatie natuurlijk niet, en de kans dat dezelfde bug in 3 verschillende implementaties voorkomt lijkt me minimaal.

En waarom het allemaal moet kunnen? Omdat computers niet zo heel nuttig zijn als ze niet onderling kunnen communiceren. En omdat het gebouwd wordt door mensen en die staan er bekend om fouten te maken. Als je niet te hacken wilt zijn: trek die netwerk kabel er uit en zet je access point uit. Probleem opgelost :+
Dus ze doen allemaal copy/paste en handjes af, "we know nothing" ... handig werk, zijn er nog jobs ?
een complete tcp/ip stack... netwerk is nou ook weer niet zooo lastig hoor, zie je aan de domotica/tv's/digitale tv, he, die kunnen wel ineens allemaal iets apart verzinnen ? hoe kan dat nou
Ik snap 'm niet het afschuiven op protocol/api's etc, schrijf dan 's zelf 'n lijntje of nog beter: test je stuff op gatenkaas.

Nee, als ik niet te hacken wil zijn scherm ik m'n netwerk dat slechts 1 apparaat 1 ander apparaat mag bereiken en liefst stel ik nog in of dat client of server is. Ook weer niet zoooo lastig hoor.
In de winkel verkopen ze dus bv telefoons met Android 5, waarvan al zeker is dat er geen update meer voor komt.
Is de verkoper nu verwijtbaar schuldig?
Goede vraag! Ik vind van wel, maar wettelijk is dit nog niet zo volgens mij. Of kun je dit alsnog in de catagorie ondeugdelijk schuiven?
Natuurlijk niet. Uiteindelijk beslist de koper wat hij koopt en hoe hij het apparaat gebruikt. Een autodealer is toch ook niet verwijtbaar bij snelheidsovertredingen omdat de auto 230 km/u kan...
Toch moet die autofabrikant ook na 10 jaar ernstige problemen/gevaren melden en oplossen. Als je dit uitzet over 3 jaar gebruiksduur van een telefoon moet de EU dit ook maar opleggen aan telefoon makers/verkopers
Nee, die verplichting bestaat niet. Als de tekortkomingen bekend waren ten tijde van de aanschaf dan ligt het risico van de aanschaf bij de koper. Ook de consument heeft een informatieplicht!
Wel als hij aantoonbaar informatie achterhoud dat de auto bij 90kmu niet meer kan remmen en de gashendel blijft hangen.
Je brengt een extra element in, het bewust achterhouden van informatie. Dat is echter niet de situatie.

Een auto die op kenteken is gezet op een moment dat deze elementen niet bekend waren of toegestaan waren leiden niet tot verwijtbaarheid achteraf. Zoek de juridische definitie van verwijtbaarheid maar eens op. Ook de consument heeft overigens een informatieplicht als hij iets koopt dus moet zichzelf informeren over mogelijke tekortkomingen bij oudere modellen.
Het lijkt erop dat de white paper niet duidelijk is over of OSX/macOS ook vulnerable is. Heeft iemand hier iets over gevonden? (ik zelf nog niet)
De berichten die ik hierover tegen kom spreken wel van dat Apple is geinformeerd, en dat met iOS 10 het gepatched is.
Maar over OSX wordt geen uitspraak gedaan.
Person of Interest heeft dus alweer gelijk met hun Bluejacking app.
Dat is waarom het ook zo'n leuke serie was. Het zal op tech gebied best dicht bij de werkelijkheid. Ik werd lyrisch toen ze de PS3 cluster online brachten... Good times... :9~
Inderdaad. Eigelijk ook wel hardstikke eng dat alles wat ze voorspelden nu ook echt waar wordt.

Zoals men zegt over het boek 1984
"Its meant as a warning, not a tutorial."

Dat is ook meteen een van de redenen waarom het Sleepwet referendum moet komen. Ik heb er wel goede vertrouwen in dat het zal lukken.

[Reactie gewijzigd door TehEnforce op 13 september 2017 15:18]

Ok dus al mijn Windows devices zijn weer veilig na vandaag, maar opnieuw blijven al mijn Android devices unpatched. LG brengt voor de G4 heel slecht updates uit. Lenovo heeft nooit update uitgebracht voor de tablet. Hopen dat mijn nieuwe samsung tablet wel hiervoor snel een patch krijgt. Het wordt toch echt een steeds groter issue met die (security) patches op Android devices.
Nooit van zero-days op windows gehoord ? zo lek als 'n mandje.Al zijn die niet voor "consumenten" maar voor inlichtingendiensten.
Maar die worden gepatched en bijna alle windows versies krijgen die security updates. Android blijft gewoon wagenwijd open staan nu.
Nou goed dat Play Protect update schakelt Bluetooth uit in sommige Motorolas. Well done Google.
De opmerking: "Alle Android-versies ouder dan 6.0 blijven bijvoorbeeld kwetsbaar, omdat daar geen update voor komt. Google heeft de beveiligingsupdate doorgevoerd in de security patch van september, die beschikbaar is voor Android 6.0 en nieuwer." is volgens mij niet waar.
Mijn Nexus 5 heeft Android 6.0.1 maar krijgt sinds 5 oktober 2016 geen beveiligingpatches meer gerkregen en die zouden er ook niet meer komen. De security patch van september 2017 is alleen beschikbaar voor *sommige* Android toestellen met 6.0 en nieuwer, zelfs niet voor alle Google toestellen met 6.0 en nieuwer, laat staan van andere fabrikanten.
Mijn batterij is niet goed genoeg meer om bluetooth de hele dag aan te hebben. Het probleem is dus al preventief opgelost. ;)
Is het probleem nou Android 5 of het feit dat er geen security updates meer komen? Het één of het ander toch niet uit te sluiten. Ik ben voorstander van minder/geen updates naar hogere versies en meer/langer security updates. Dat lijkt me voor een fabrikant ook beter te hanteren. Een nieuwe versie is veel ingrijpender en zorgt voor vertraging/afstel/geen security updates. De telefoon is gemaakt voor versie x en niet voor versie y. Hetzelfde geldt evengoed voor ios als voor android.
Ik hoop dat Google eindelijk eens het vuur aan de schenen wordt gelegd hiermee. Dit legt nogmaals de brakkemikkige update procedure bloot. 'Spijtig' genoeg zijn vroegere exploits nooit op grote schaal gebruikt geweest. Deze 'bug' lijkt me echter wel enorm makkelijk en op grote schaal uit te voeren, waarbij vele vroegere exploits fysische toegang naar het device vereisten, hierbij is dat dus totaal niet nodig..

Als hier malafide personen of groeperingen eenmaal deftig mee aan de slag gaan gaan, sneuvelt hopelijk die belachelijke keten Google - OEM - (Carrier) waarbij iedereen elke verantwoordelijkheid afschuift.

Het zou hiermee ook ineens verboden moeten worden om nog devices met Android 5.0 of lager te mogen verkopen imo..

[Reactie gewijzigd door venqwish op 12 september 2017 19:19]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*