Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Custom roms voor Android brengen eerste builds uit met fix voor Krack-aanval

Custom roms LineageOS en OmniRom zijn begonnen met het uitbrengen van builds die een fix bevatten voor de Krack-aanval. Krack maakt gebruik van een zwakheid in onder meer Androids implementatie van wifi-protocol wpa2.

Specifiek op Android zorgt de Krack-aanval ervoor dat de encryptiesleutel alleen maar uit nullen bestaat, waardoor hij makkelijk te raden is en kwaadwillenden internetverkeer via wifi af kunnen luisteren. Alle builds van LineageOS 14.1 bevatten vanaf nu de fix, claimen de ontwikkelaars via Twitter. LineageOS is de geestelijke opvolger van CyanogenMod, de populairste custom rom voor Android-telefoons. Ook OmniRom heeft een patch uitgebracht in nieuwe builds.

De ontwikkelaars kunnen die patch zo snel toepassen, doordat er commits zijn verschenen met een fix voor de kwetsbare wpa_supplicant-toepassing in Android 8.0. De ontwikkelaars hebben die code gebackport naar eerdere versies van Android.  Google heeft de patch zelf nog niet verspreid.

Google zal zijn Pixel- en Nexus-telefoons komende maand voorzien van een fix, als onderdeel van de maandelijkse patchronde voor Android, meldt Android Police. De fix zal dan ook zijn weg vinden naar andere smartphones. Fabrikanten sturen de beveiligingsupdate elke maand of eens in de paar maanden op naar veel verschillende modellen, waardoor veel smartphones vermoedelijk nog enkele maanden kwetsbaar zullen blijven.

Bij de aanval gaat het om een key reinstallation attack. Zodra een client, bijvoorbeeld een smartphone, verbinding wil maken met een wpa2-netwerk, krijgt hij een encryptiesleutel nadat de derde stap van de 4-way handshake is afgerond. Deze sleutel gebruikt de client om informatie te versleutelen. Als het accesspoint, bijvoorbeeld een router, geen bevestiging ontvangt dat de client de sleutel heeft gekregen, stuurt hij hem opnieuw.

Elke keer dat de client een dergelijk bericht ontvangt, installeert hij dezelfde sleutel opnieuw. Daarbij worden een pakketnummer of 'nonceen de receive replay counter steeds opnieuw ingesteld. De versleuteling van de verbinding is aan te vallen door het derde bericht van de 4-way handshake te onderscheppen en opnieuw te verzenden. Hierdoor kan een aanvaller het hergebruik van een nonce afdwingen. Daarvoor is wel een man-in-the-middle-positie vereist, waarbij de aanvaller een kopie van een accesspoint op een ander kanaal opzet, die hetzelfde mac-adres heeft. Tweakers publiceerde maandag een achtergrondartikel over de oorzaak en gevolgen van de Krack-aanval.

  Airodump-ng scanning, door Christiaan Colen, CC BY-SA 2.0

Door

Redacteur mobile

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Om te zien of er een LineageOS update is voor je toestel, ga naar:
https://download.lineageos.org/
Kies je toestel, let daarbij op de juiste "variant" (sprint, lte, etc).
Kijk naar de datum van de laatste update. Als deze van gisteren, vandaag of nog recenter is, is het waarschijnlijk Krack bestendig. Check dit voor de zekerheid bij "Show all merged changes for" en kijk of "android_external_wpa_supplicant_8" valt onder "Changes included in ".
En omdat er hier een behoorlijk groot aantal gebruikers zal zitten maar alvast: Alle Oneplus toestellen vallen vandaag allicht nog buiten de boot. voor de 2,3/3T en X zal het morgen/overmorgen beschikbaar zijn, voor de one maandag/dinsdag pas (helaas).
Helaas? Ik weet dat 1+ vaak traag is of was met updates maar nu zijn ze nota bene de eerste fabrikant en zelfs hun eerste toestel wordt meegenomen en dan nog een helaas...
Dit is niet 1+ maar lineage die inderdaad heel vlot updaten.
Helaas omdat, hoe netjes vlot dit ook is, ik toch echt wel een beetje om deze patch zit te springen ;)
Lineage is eerder met updaten dan 1+ ja, maar das geen fabrikant waar ik het over heb. Vziw is 1+ de eerste fabrikant met de update, blijkbaar hebben ze de klachten ter harte genomen.
Zijn al die ROMs van Lineage allemaal dezelfde versie van Android? Of hoe check je dat? Ik zie dat er een recente nightly staat voor mijn oude LG G2, maar vraag me dat dan af.
Momenteel is je Android versie als volgt the bepalen:

- Lineage 13.0: Android 6.0.1
- Lineage 14.1: Android 7.1.x
- Lineage 15.0: Android 8.0.0
Dank! Goed om te weten dat ze 7.1 hebben voor mijn G2. (Alleen vraag ik me af hoe stabiel zo'n nightly is, natuurlijk.)
Als ze een tijdje met die versie bezig zijn doorgaans zeer stabiel.

Je G2 heeft een zeer goed ondersteunde chipset dus ik durf je bijna wel te beloven dat je goed zit :)
Ja ik heb ook 14.1 op m'n oude Samsung S2 staan.
De eerste building was nog heel erg buggy. Nu is het echt best wel stabiel :)
Dat kan je alleen teweten komen door hem te flashen. Ik heb ondertussen 4 toestellen waar ik een custom rom op draai(de). Ik draai nu Lineage OS 14.1 op mijn Xiaomi Redmi Note 4 (SD global versie) en deze ROM is 99,99% stabiel. Het is echt een verademing t.o.v mijn oude toestellen welke wel bug en random crashes hadden.
Goed om te weten. Maar het gaat hier wel om nightly.
Ikzelf heb een samsung galaxy S4 GT-i9505. Op de lijst staan er 3 types (ik weet dat ik niet de LTE moet nemen. Hoe kan ik dan zien welke van de andere 2 ik moet nemen ? (bij mijn device staan deze namen niet vermeld). Ik had al eens een versie op mijn gsm geÔnstalleerd (Optimized-LineageOS-14.1-20170906-jflt-AROMA.zip), maar ben terug gegaan naar 'n stock rom omdat clash of clans het na de recente update niet meer deed. Ben echter wel 'n voorstander van de custom roms.
Je zult dan hoogst waarschijnlijk de Intl variant moeten hebben.

Er zijn inderdaad 3 opties
1. Intl: International
2. LTE-A: Dit is de S4 Active
3. VZW: De Verizon variant.

Zolang je de S4 Active, of de Verizon variant, niet hebt, zit je goed met de Intl variant :)

Link: https://download.lineageos.org/jfltexx

[Reactie gewijzigd door gbw_ op 19 oktober 2017 15:39]

Installeer de app 'Phone info * SAMSUNG *
Dan weet je precies welk type je hebt
zijn de custom rom makers nou sneller als de OEM's zelf ? ik bedoel als het goed is heb je een team met developers klaar staan die je os doorontwikkelen nadat dit jaar de omslag gemaakt is in het leveren van beveilging updates ??

geeft mij alleen maar meer motivatie om mijn toekomstige toestellen te rooten en die OEM meuk eraf te gooien.
Ik vermoed dat OEM's veel uitgebreider testen voordat ze iets vrijgeven. Die hebben immers te maken met miljoenen gebruikers, het gros niet of nauwelijks technisch onderlegd. LineageOS daarentegen heeft hooguit enkele tienduizenden gebruikers, veelal van een hoger technisch caliber, en kan daardoor iets meer risico nemen.
Ook @l99030607l

De fout zit in een door Linux gebruikte library genaamd "wpa-supplicant". Dat wordt door iemand of een groep onderhouden dus de source is zo gepatched. Ik heb Fedora en de library was maandag al gepatched, dinsdagavond kwam deze mee met de updates.

Android is deels op linux gebaseerd en gebruikt diezelfde library. Google heeft die nu opgenomen is zijn Android Open Source Program (AOSP). LineageOS gebruikt die AOSP als basis voor zijn ROMs dus nu Google AOSP gepatched heeft is de source voor Android beschikbaar. Daarna gaat het heel snel!

Google zelf update zijn toestellen eens per maand, en die van oktober is net geweest. Dat wordt november. LineageOS developers maken wekelijks een nightly, dus die zijn veel sneller beschikbaar. Daarnaast zit er niet een hele schil van de telefoonfabrikant omheen dus er hoeft weinig getest te worden.

Zie daar de slagkracht van Open Source. Het enige wat ik hoef te doen is wachten op de nightly voor mijn toestel.

De reden dat er nu pas gepatched wordt is ook Open Source. OpenBSD "klapte uit de school" door de commits die iedereen kan lezen te vroeg uit te brengen. Het nieuws van het lek mocht maandag pas bekend worden dus de sources mochten ook pas maandag hun commits krijgen.

[Reactie gewijzigd door asing op 18 oktober 2017 20:47]

nee dat begrijp ik maar hoe zit het met de telefoons met kale androids dan ? die hebben net zoals andere OEM'S geen schil eroverheen (Android one bijvoorbeeld). ik begrijp ook wel dat ze het eens per maand doen, maar misschien moeten ze maar beginnen met iets zoals om de 2 weken en minimaal 3 jaar security updates (net zoals je voor sommige producten mag verwachten dat als ze na 2 jaar kapot gaan en het is iets wat 5 jaar mee kan je toch nog in Nederland recht hebt op garantie) dat zou fabrikanten dwingen om zich aan het beleid aan te passen.
Zie daar de slagkracht van Open Source.
Toevallig bij dit veiligheidsprobleem zijn nu de community's van Lineage en Omnirom sneller. Mede doordat het veiligheidsprobleem in een stukje open source code zit. Heel veel van veiligheidsgerelateerde zaken zitten al een tijdje niet in de open-source bronnen op Android. Dus het is ook wel eens andersom, dat telefoonfabrikanten veel sneller een patch leveren dan de Open Source community, of zelfs dan Google zelf. .
LineageOS zit momenteel op ruim 1.7 miljoen gebruikers, waarschijnlijk meer aangezien niet alle gebruikers de installatiegegevens delen (opt-out).

LineageOS wordt voornamelijk uitgebracht in de vorm van 'nightlies', dat zijn builds die in principe goed zouden moeten werken, maar waarbij geen garantie gegeven wordt dat ze daadwerkelijk 'stable' zijn. Daarvoor moet je de 'stable' builds hebben.

Persoonlijk heb ik geen problemen met deze 'nightlies', die elke week uitgebracht worden. Soms zit er een update tussen waardoor een app af en toe crasht of de telefoon soms uitvalt, maar vaak worden deze bugs binnen een week verholpen. En helpt het niet, kun je altijd een versie terugstappen, zolang je maar een backup maakt van je oorspronkelijke systeem. Daarbij helpt het ook als je niet super afhankelijk bent van je smartphone en je het niet erg vind om een middag uit te trekken om je telefoon opnieuw in te stellen wanneer een clean install nodig is.

LineageOS is niet voor iedereen, maar updaten is zeker niet (elke week) nodig. Als je een werkende build hebt geÔnstalleerd, kun je die ook prima maanden lang laten staan.

[Reactie gewijzigd door Laloeka op 18 oktober 2017 21:00]

Maanden zou ik tegenwoordig niet meer aanraden. Maandelijks met het Android Patch Level meegaan is IMO toch wel het minimum, als je een beetje om security geeft.
LineageOS draait naar hun eigen zeggen op 1,7 miljoen toestellen. Ook geen kattenpis. Daarbij wordt alle nieuwe programmatie voor LineageOS ook nagekeken voor het in een build komt. Maar ze hebben vooral een snellere release cycle met hun nightlies en weeklies, waardoor ze zo snel hierbij zijn. Google zal gewoon bij volgende patchronde een update rondsturen en vermoedelijk zullen Nokia en Wileyfox ook snel aan de beurt zijn. Voor security patches zal het niet liggen aan het feit dat er zoveel meer getest moet worden, maar vooral dat er weinig wil is van de fabrikanten omdat weinig klanten een aankoop doen op basis van security.
Plus zal een OEM een groot probleem hebben als er inderdaad iets stuk gaat.
Terwijl het bij een nightly oid flashen het "je eigen schuld" gaat zijn.
Toch gaan er ook bij officiŽle patches / nieuwe versies vaak dingen mis, b.v. bij elke nieuwe versie van het besturingssysteem voor oudere Iphones (en ook nieuwe, waarbij zelf je wekker niet afgaat).
nee maar om maar een voorbeeld te noemen: google pixel is een android toestel wat een "kale"android versie heeft, en zo zijn er nog wat fabrikanten met kale android toestellen. hoe moeilijk is het patchen van een security update ? er word niks in android fysiek aangepast behalve de mappen die vatbaar zijn. hoe groot is de kans dat het daar mis kan gaan ? het is niet dat we te maken hebben met het switchen van de kernel.

als custom rom makers het kunnen (wat misschien iemand is die het voor een hobby doet of een kleine developers team) waarom OEM's niet ?

als het ging om het updaten van de android versie okee dan begrijp ik je, maar genoeg apps worden via de playstore ge-update (soms zelf's systeem apps) waarom dan niet met beveiliging ?

niet iedereen hoeft tegelijk de update te krijgen maar in waves is al genoeg
Omdat ze er met Android voor gekozen hebben om systeem programma's als ťťn pakket aan te bieden, namelijk als image. In tegen stelling tot Linux waar ook alle losse pakketten aangeboden worden. Zo kun je snel een update uitbrengen en hoef je bovendien niet een heel nieuw image te flashen.

Android bestaat alweer een aardige tijd en begint op dit soort vlakken toch steeds meer barsten en scheuren te vertonen. Het kan geen kwaad om dat soort dingen eens goed op de schop te gooien, iets waar ze nu volgens mij al mee bezig zijn gelukkig.
Rooten is niet nodig om custom ROMs te installeren. Het unlocken van de bootloader wel.
LineageOS is echt top, gebruik het zelf op mijn oude Sony Xperia Z2.
De update zelf is er nog niet, maar zal wel snel komen dan.
Werken die updates ook over 4G?
Of gaan die alleen over je risicovolle Wifi verbinding :Y)
Nou ja, het is niet helemaal OTA bij mij want de link opent een browser met download van sourceforge via https, dus dat zou wel veilig moeten zijn tegen KRACK.
En dan ook nog handmatig toepassen in recovery mode, maar het is een kleine moeite als je weet wat je doet.
Voor mijn Nexus 5x zit gewoon OTA updates ingebakken voor LineageOS. Ik was eigenlijk onder de indruk dat dit voor alle officieel supported devices zo was?
Klopt, daarom draai ik een port van de officiŽle rom omdat het toestel te oud is en niet officieel ondersteund wordt. Hij krijgt wel de updates, meeste andere custom rom's krijgen nooit updates laat staan OTA.
Je kunt toch de checksum controleren (hence, "checksum") bij het patchen, in ieder geval wel als je TWRP gebruikt ;)
Jammer dat de camera en het geluid (super stil) zo slecht is op Lineage os.
Welk toestel gebruik je? Heb er namelijk totaal geen last van met mijn Redmi Note 4X van Xiaomi.
Heb net de OmniRom fix binnen gekregen en vroeg mij al af waarom er 2 dagen na de vorige update weer iets klaar stond. Super dat een custom rom zo snel een fix uitbrengt, mijn semi-antieke Oppo Find 7a draait probleemloos op versie 7.1.2
Google is hier ook relatief laat.

Het zou niet gek zijn als een OEM met goede update reputatie ook met een patch komt voor Google, als Google wacht tot de volgende security patch release, dat is nog anderhalf week.

Maar goed, na dat Google het gedaan heeft, had ik graag over een maand of 6 een lijst gezien van elke mobiel (high en mid range) vanaf 2014 om te kijken welke wel en welke niet gepacht zijn.
En dit is dus een van de redenen waarom ik lineage os gebruik. Iedere week een update op donderdag, loopt als een zonnetje en is ook nog een stuk mooier dan welke andere skin dan ook.
Mijn Note 4 draait Resurrection Remix. Zover ik weet baseert deze op LineageOS. Zal de patches binnenkort wel ontvangen; momenteel staat ze nog op 5-9-2017.
-aanvulling-

Gisteren ontving ik de nieuwe RR 5.8.5 met als build-date 23-10-2017 en met 5-9-2017 als beveiligingspatch. In de changelog zijn diverse vermeldingen te vinden dat de beveiligingsproblemen met het WPA2 protocol zijn opgelost.
Voor LineageOS 13 patches zie hier.
Sommige toestellen zoals de Moto X1, krijgen ws geen 14.1, dus fijn dat ze die nog onderhouden.
Vandaag all update gehad over OTA! Van OnePlus voor mijn OnePlus 3! Goede zaak OnePlus!

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*