Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers: fabrikanten Android-telefoons liegen over patches - update

Fabrikanten van Android-telefoons misleiden geregeld klanten door net te doen alsof telefoonsoftware bepaalde patches heeft gehad, terwijl dat niet zo is. Dat laat in theorie de mogelijkheid open om die lekken te misbruiken.

De toestellen van de Chinese fabrikanten TCL en ZTE missen gemiddeld de meeste patches, meldt Wired. Ook HTC, LG, Huawei en Motorola missen gemiddeld drie van de meer dan tweehonderd patches van de afgelopen jaren. Xiaomi, OnePlus en Nokia missen gemiddeld een paar patches, terwijl bij†Google, Samsung, Sony en Wiko de minste missende patches voorkomen.

Beveiligingsonderzoekers†Karsten Nohl en†Jakob Lell†van Security Research Labs onderzochten of telefoons patches misten door de software te doorzoeken. Daarbij namen ze de datum tot wanneer de software zei dat de telefoon up to date zou moeten zijn en keken of alle daarvoor uitgebrachte oplossingen voor beveiligingsproblemen aanwezig waren.

Nohl en Lell onderzochten meer dan twaalfhonderd modellen van meer dan een dozijn fabrikanten van Android-telefoons. Gebruikers kunnen checken of hun telefoon alle geclaimde patches heeft met SnoopSnitch. Die app vraagt om root-toegang voor sommige tests.

Hoewel het gebrek aan sommige patches de telefoons kwetsbaar maakt voor aanvallen, is dat in de praktijk niet heel eenvoudig. Het is niet breed bekend welke patches ontbreken en exploits vergen bovendien veel werk. Wie toegang wil krijgen tot een telefoon, kan dat gemakkelijker doen op andere manieren.

In een reactie zegt Google†dat sommige van de geteste telefoons geen Google-apps hebben, waarmee ze niet hoeven te voldoen aan Googles standaarden op het gebied van beveiliging. Nohl en Lell presenteren hun bevindingen vrijdag op het congres Hack in the Box in Amsterdam.

Update, vrijdag: HMD Global spreekt in een statement aan Tweakers de bewering van Nohl en Lell tegen dat Nokia-telefoons patches missen. "Wij integreren alle patches die Google en de processorfabrikanten aanleveren." De fabrikant heeft wel een verklaring voor het resultaat waar de onderzoekers mee komen, dat Nokia-smartphones tussen een en drie patches missen. "Wat we niet integreren zijn patches van chipsets die niet in onze toestellen zitten."

Door Arnoud Wokke

Redacteur mobile

12-04-2018 • 15:53

119 Linkedin Google+

Reacties (119)

Wijzig sortering
Opvallend dat Nokia in het lijstje staat van fabrikanten die gemiddeld een paar patches missen. Sinds ze meedoen aan het Android One programma zou je verwachten dat ze in hetzelfde lijstje staan als Google zelf. Wellicht dat dit onderzoek nog de Nokia-toestellen heeft onderzocht van vůůr het Android One programma?
Ik vind Samsung eerder opvallend.
De consumentenbond is altijd zo boos dat zij zo kort ondersteunen, maar zo slecht is de ondersteuning blijkbaar niet.
Ik snap dat ook nooit zo helemaal dat verhaal. Ik trek geregeld mijn veel ouder dan 2 jaar zijnde Samsung S3 of Note 4 uit mijn la en die krijgen gewoon dan meteen updates. Tja ze krijgen niet de laatste Android want dat trekken ze niet, maar binnen hun versie worden ze gewoon bijgehouden. De apps ook.
Niet alle telefoons van Nokia draaien Android One. Grote kans dat de Android One telefoons inderdaad op het niveau van Google zitten, al moeten fabrikanten volgens mij nog wel zelf de updates regelen.
Dat denk ik wel. Oreo 8.1 kwam deze week pas binnen op de N7+ terwijl andere toestellen daar al veel langer op draaien.
Omdat hij nog maar een week te koop is misschien?
Klopt, maar mijn punt is dus dat er wel degelijk een vertraging op zit, waardoor ik zeker weet dat die updates niet direct door Google gepusht worden. Anders had die update al bij aankoop erop gestaan, of zou hij direct na aankoop doorgevoerd worden. Niet pas een week later.
maar dit gaan niet om ontbrekende major versies, maar om security updates. En dan niet dat het patchleven van 1 april te laat komt, maar dat het wel komt, maar er iets ontbreekt aan die patch (omdat het niet wilde werken, misschien).
Ik verbaas me er meer over dat Google in het lijstje staat. Dan begin ik mij al vragen te stellen bij de correctheid van de test.
Hoezo? Google brengt ook telefoons uit een staat netjes in het 0-1 gemiste patches-vakje. Vanwaar de verbazing?
Mijn vraag is nu: Hoe vervalsen ze die informatie? Vziw werkt Android met versienummers. Dan moet je dus ophogen bij een nieuwe patch, ook al heb je geen patchlevel eerder geÔnstalleerd. En dan kan dit dus voorkomen.
Denk dat je gewoon bij google moet kijken. google dumpt android op de markt en de reden is heel eenvoudig. Des te meer android toestellen des te meer die zoekmachine gebruikt zal worden en daar zitten de inkomsten van google.
in een reactie zegt Google dat sommige van de geteste telefoons geen Google-apps hebben, waarmee ze niet hoeven te voldoen aan Googles standaarden op het gebied van beveiliging.
Maar zelfs de telefoon die wel apps hebben voldoen niet en google doet niets.

Google bezit de merknaam android en mag dus zaken van fabrikanten eisen als ze niet voldoen. Maar google doet niets, ze staan erbij en kijken er naar. Het is het eeuwige spel nee wij google zijn niet verantwoordelijk dat is de hardware fabrikant.

Het hele android concept werkt gewoon niet qua updates en patches en de enige manier om het te laten werken is het af te dwingen. Dat zal pas na veel druk en misschien politieke druk gebeuren, want google heeft er verder weinig belang bij.
Tja, kijk hoe Microsoft het is afgelopen door een beetje eisen te stellen aan fabrikanten en developers om ons consumenten/gebruikers tegemoet te komen. Het heeft ze tientalllen miljarden euro's gekost en slechts een enkeling hangt nog aan een Windows Mobile/Phone.

De markt wil het zelf ook helemaal niet.

Net zo goed als dat men al 10 jaar loopt te kniezen over het feit dat fabrikanten niet innovatief genoeg zijn. Nokia plemt de 920 op de markt, ik denk wel het meest innovatieve toestel sinds de eerste smartphones... Niemand die het wou hebben. Men dramt over camera kwaliteit, Nokia weet een Hubble telescoop in een smartphone te proppen, niemand die het wou hebben.


Google doet precies wat de markt zelf wilt en komt ze volledig tegemoet. We vragen hier verdorie gewoon zelf om. Want zodra een partij het anders probeert aan te pakken (MS, Blackberry, Ubuntu, Mozilla)... koopt niemand hun zooi.
De Windows Phone opmerking slaat nergens op. Er zijn behoorlijk veel redenen waarom dat niet geslaagd is: te laat, slechte of geen marketing, slechte verhouding met telcos, app eco systeem wat niet meewilde, enz.

Dat heeft allemaal weinig met vraag te maken. Ik merk op dat veel mensen een verkeerd beel hebben van marktwerking, alsof deze perfect vraag gedreven is.

Dat is niet zo. Het is voor een groot gedeelte aanbodgedreven. De meeste trends in elektronika komen vanuit de aanbod kant zonder dat er een vraag tegenover staat.

Smartphones zouden een enorm goede batterijduur hebben en zeer goed te repareren en uit te breiden zijn, indien men naar vraag keek. In plaats daarvan krijgen we steeds dunnere, kwetsbare telefoons met een crappy batterij.

Autos worden helemaal dichtgetimmerd zodat je nog geen lampje meer kunt vervangen. Niemand heeft daarom gevraagd, maar het is het aanbod.

TVs krijgen tig misleiden termen erbij waar niemand om gevraagd heeft, maar het aanbod bepaald, daarna maakt marketing via misleiding de consument lekker. Of je krijgt die troep gewoon erbij omdat er toch niets anders is.

Bottom line: de elektronika markt, en eigenlijk geen enkele markt, is verre van vraaggedreven.
Woensdag liep ik op de Prins Hendrikkade in Amsterdam een pandjeszaak binnen omdat ik eerder met mijn werk klaar was. Er lag zowaar een Lumia 950 tussen een diversiteit van smartphones.
Ik vroeg de verkoper of hij de telefoon even kon aanzetten.
De verkoper verbaasde zich over de kwaliteit van het scherm maar toen viel de telefoon uit omdat er totaal geen sju meer in de batterij zat.
Ik wipte de achterkant van de telefoon los en deed de accu van mijn telefoon er in. Vervolgens vroeg ik of hij even met de camera onder zijn balie wilde kijken.... Holy F... Kwam onder de desk vandaan.
Toen hij mijn batterij weer uit het toestel vandaan haalde zag hij connectors in de deksel en vroeg verbaasd "qi". Vervolgens verbaasde hij zich van de USB - C kabeltje die erbij hoorde.
Onbekend is onbemind gaf hij me nog mee toen ik het "oude" telefoontje voor een meier meenam.
Voorlopig hoef ik dus nog niet iets anders. Want dit verhaal vult je opinie goed aan dus.
Ik? Ja. Maar ook groot Debian fanboy bv, dus ik weet niet hoeveel dat allemaal zegt.

MS heeft alleen de ketens van Nokia overgekocht. Niet de ontwikkel kracht erachter, een deel zit nu nog bij Nokia, en een deel bij HMD (en her en der nog wat stukjes verspreid door de markt heen) en een handje vol zijn meegegaan naar MS. De meeste werden intern in de maanden voor de overname de telefonie tak al uitgetrokken door Nokia zelf :) En de sturing van de ontwikkeling gebeurde altijd vanuit het hoofd concern zelf, de 'inner circle'.

Nokia zelf wou die telefoon markt gewoon uit, net zo goed als dat Philips een aantal jaar geleden een paar markten is uitgestapt. MS heeft dat samen met Nokia een paar jaar weten uit te stellen en met klap op de vuurpijl heeft Nokia die hele flikkerbende voor de hoofdprijs verkocht.
Toen android eenmaal voet aan de grond had omdat het simpelweg veel goedkoper was dan ios en veel beter dan alle anderen
Goedkoper, ja, oorzaak numero uno waarom Android groot is geworden, maar, de eerste 2 Androids waren geen fluit beter dan het jaren oudere Windows Mobile 6.5. Wat tot aan de iPhone een groot gedeelte van de smartphone markt gewoon in handen had.
Om android en ios te verslaan moet er iets nieuws komen iets dat net zo ver vooruitloopt tov android nu, als dat android destijds voor liep op wimo6 en Symbian S60
Zoek de iPhone 5, Samsung Galaxy S4 en de Lumia 920 eens op.

Kijk eens welke van de 3 er met kop en schouders boven uitsteekt kwa 'nieuws' en 'voorlopen'. Hoef je eigenlijk niet eens op te zoeken, kan je nu al vertellen dat het de 920 is.

Draadloos laden? check.
Optical image stabilization? check
Glance? check
Leesbaar in de zon? check
60hz display? check
Display met -voor destijds- fatsoenlijke zwartwaarden? check
Offline navigatie? Check
Augmented Reality? Check
OV informatie? Check

Zo'n beetje allemaal features die we nu heel normaal vinden, die waren daar voor niet beschikbaar.

But wait, there's more!

De beste camera van zijn generatie? check
Het snelste toestel van zijn generatie? check (De Lumia 520 was destijds al sneller dan high end Androids en de iPhone in het algemeen gebruik _O-, benchmarks, who cares)
Het sterkste toestel van zijn generatie? check
Het beste display van zijn generatie? check
De beste accuduur van zijn generatie? check


Gelukkig boeit het de gemiddelde smartphone gebruiker enorm wat voor een OS er op zit... lees: Totaal absoluut niet. Het kan de gemiddelde hardware gebruiker echt aan zijn achterste oxideren wat voor een besturingssysteem dat ding gebruikt.
Volgens mij maakt de gemiddelde gebruiker wel heel veel uit wat t besturingssyteem is. Android en Apple hebben duidelijke loyale bloedgroepen die t andere systeem niks vinden en heel weinig zin hebben om het opnieuw te leren.

En misschien is dat wel precies waarom Microsoft er niet tussen kwam. Weer wat anders, en dan iets wat nog geen achterban had.

Het verhaal " ja maar t lijkt op windows" is geen reclame. Heel veel mensen vinden de mobiele operating systemen veel fijner dn windows. Bejaarden en vrouwen met een anti-technologieaard en kinderen pakken het razendsnel op terwijl PC's voor velen het nooit helemal geworden zijn. Ook al komt dat vooral door de intuitiviteit van een touchscreen, het geeft een bijsmaak aan windows.
Wat zeker niet helpt is dat Microsoft zo arrogant of onwetend is om de paar versies Office en Windows helemaal om te gooien waardoor velen weer opnieuw moeten leren fietsen.
Dat soort dingen kost MS gewoon credit van de eenvoudige gebruiker.
Het is mens eigen om wat je gewent bent, niet te willen veranderen. Mensen hadden al moeite met Win95 naar 98 toe, van 98 naar XP, XP naar Vista, Vista naar 7, 7 naar 8, 8 naar 10.... Zelfs de kleinste veranderingen doen mensen moeilijk over. Waarom denk je dat die iPhones nog steeds zo'n dumbed down simpel UI hebben? Statische ronde icoontjes. Apple willt ook wel iets moois maken zoals WP of wat op Android mogelijk is, maar weet dat ze hier veel gebruikers tegen het harnas in jagen, want "Verandering is slecht" en doet het dus niet.

Ja fijn man als we de mensen die niet tegen verandering kunnen, de controle geven over de toekomst en ontwikkeling. Dan kunnen we de meeste veranderingen de afgelopen eeuw (of van de gehele mensheid) wel achterwege laten. De trein werd ook met open armen ontvangen "sneller dan 30mph en je sterft!" of de foto camera "De flits pakt je ziel".

Verder heb ik een paar jaar toestellen verkocht, het maakt mensen echt niet uit. Veel mensen zien alle smartphones als iPhones en elke tablet als iPad. Iedereen is naar elk OS over te halen en na enkele maanden gebruik zal het 'eigen' zijn geworden. Nu had ik targets te halen, dus de wens van de klant is belangrijker dan wat ze eigenlijk het beste nodig hebben.

Dat een simpel dumbed down OS op een smartphone makkelijker is voor mensen dan een volledige desktop OS zoals Windows of Linux, niet apart. Die 2 moet je eigenlijk ook niet dezelfde eisen/verantwoordelijkheden geven. De opzet is ook anders, iOS en Android zijn 'dom' begonnen en hebben dit uitgebreid. Een OS ontwikkelen om deze achteraf te dumb downen is vele malen moeilijker, helemaal als het OS zelf nog actief in ontwikkeling is. Ubuntu probeerd het bv al een decenia of 2 met Linux en loopt hopeloos achter op Windows en helemaal iOS/Android.

Arrogant om een nieuw UI te ontwikkelen? 20 jaar lang doet MS er vrijwel niets mee en laad de boel de boel. Office is al 10 jaar bezig met dezelfde UI en de UI van Windows is met uitzondering van 8 (workflow is wel identiek gebleven, wat juist het belangrijkste van een UI is) nu al sinds 95 +/- hetzelfde. Die wijzigingen zoals Aero, Glass en whatver zijn niet dusdanig dat het hele UI om gegooit wordt.

@sympa
En toen kwam Apple,
Apple was er al lang. Een factory reset, of recovery. Bied MS ook al sinds NT en ME.
Maar een pc heeft regelmatig onderhoud en gefrutsel nodig. Dat is het verschil.
Klopt, ieder jaar wordt er een stofzuiger door m'n PC gehaald, nadat er 4 schroeven losgefrutseld zijn.
Windows: enkel en dubbel klikken en rechter muisknop. Regelmatig 'naar de winkel' om hem weer snel te maken. Downloads met malware. Browsers die gemiddeld 4 'toolbars' draaien.

En toen kwam Apple, die liet zien dat een systeem zichzelf kan managen. En als je het verpest is er een factory reset die het altijd doet.

Windows was leuk toen het werd uitgevonden, maar is heel lang geen consumentenproduct geweest.
Dat klopt. Naast goede hardware kan de MS software meer dan uitstekend meekomen en op sommige punten beter dan Android, goede camera mis ik nog steeds.

Ik heb hierom een androide Nokia gekocht met de hoop op een zelfde goede ervaring als de Lumia-wat-was-het en low-budget 640 daarna.

Maar net zoals MS destijds OS/2 als beter alternatief wist te overtroeven is het dit keer dat zij de klep op hun neus krijgen.

Zo werkt het en heeft het gewerkt met sun, sgi etc. Ik zie alleen geen reden voor loyaliteit/fanboyism naar MS of welke corporatie toe, uiteindelijk zijn het een paar slimme technici die ik hiervoor bewonder/ waardeer en niet de "salesdrones" die het strategisch in de markt weten te zetten.
In mijn beleving was de overname van nokia een verkapte kapitaal injectie met rustpauze om weer op adem te komen voor nokia/hmd.
Android 1.x en 2.x waren buggy as hell met continue API changes. WM8 was als eerste release stukken stabieler.
Eerste Androd was een poor man's iPhone met touchscreen en dat is waar Symbian tekort schoot en achterbleef, qua hardware heeft Nokia het altijd uitstekend voor elkaar gehad.
Op zich dus een gouden greep, die de combi MS+Nokia niet heeft kunnen verzilveren.
Je doet nu net alsof de consument geen innovatieve telefoon wil. Die willen ze alleen niet als er een Windows Mobile/Phone-OS op zit. Je gelooft toch niet echt dat er een andere reden is dat de Nokia 920 niet verkocht?

Ik geloof nog altijd oprecht dat een Android-fabrikant die goede support gaat bieden (Nokia doet dat nu) een groot succes gaat hebben (het gaat goed met Nokia's verkopen). Ik raad mensen ook actief aan om een dergelijk toestel te kopen en geen Samsung waar alleen de topmodellen misschien een beetje support krijgen.
De 920 verkocht niet, wegens gebrek aan of verkeerde marketing.

MS heeft tot aan WP8.1 de marketing nooit echt zelf gedaan, dit altijd uitbesteed. (Voor een groot deel gewoon de oorzaak van de slechte naam die MS heeft opgebouwd). MS is dit met de Surface toen zelf gaan doen, en dat product is wel aangelagen (zaten ook leuke en vrij unieke stukjes marketing bij).

Weet je waarom Samsung zo groot is geworden? Samsung gaat bij al die callcenters, telefoniewinkels en whatever 'op bezoek' en deelt leuke prijzen uit (De beste TV's, leuke reisjes of evenementen en weet ik het allemaal niet wat). Die waren in dezelfde periode echt diehard bezig hun product aan de man te brengen via uiterst aggressieve marketings methodes waar geen andere fabrikant ook maar in de buurt kwam, wat naar mijn idee ook ver over de scheef ging, maar wie ben ik.

In diezelfde tijd zat MS een beetje passief hier in Europa de bende te promoten, wilde ook niet te veel in het vaarwater van Nokia terecht komen, want Europa is hun thuisbasis. En Nokia hield zich ook niet bezig met het promoten van hun toestellen in Europa of de VS en zag heel blind vrijwel alleen de Indiaanse markt. Harkte in een paar landen op bijna magische wijze toch ~20% van de markt in handen.

Kwaliteit van het toestel en het OS wat erop draait, intereseert de gemiddelde telefoon koper echt geen zier. Die kopen vrij blind wat popular is, waar ze ervaring mee hebben of wat hun buurman heeft dus moet beter. Liep destijds een telefoon winkel binnen, bel je provider op of whatever en vraag de gemiddelde verkoper om de Lumia, en er zijn 2 reacties: Hij zal zich afvragen waar je het over hebt of het gsmarena artikel er bij op moeten zoeken en je dan kunnen 'informeren'.
Vraag diezelfde verkoper om de iPhone 5 of Galaxy S4, en hij zal je al die promotie verkoop informatie in 1 klap toegooien.

Dat terwijl de meeste mensen niet al te stom verbaasd waren om "Welke iPhone heb jij? De NOKIA Lumia 920" om te horen dat Nokia er nog altijd was. Lumia was niet al te onbekend, mensen kende het (vooral ten tijde van de 930) allemaal wel.

En wij Tweakers dragen er aan bij, de meeste van ons lopen met Androids rond :)
Ben ik niet met je eens, Apple (iPhone) stelt wel degelijk eisen aan verkopers en fabrikanten en verkoopt ook.

Ik was gecharmeerd van Windows Mobile, maar om te zeggen dat Microsoft gebruikers op de eerste plaats zet gaat me te ver.

In elk geval mooi dat dit soort signalen naar buiten komt, hopelijk wordt Android op termijn iets strakker geregisseerd (en dit is mi al gaande gezien de belangstelling voor stock Android phones) zonder er een walled garden van te maken.
Daar heb je zeker een punt, maar Microsoft is ook wel t prime target voor veel hackers.
Android heeft als open sourceachtig iets vaak een zekere sympthie. Google ook, google doet vaak vernieuwingen die pas later heel veel geld opbrengen maar in zekere zin technologiegedreven waren.
Apple heeft ook altijd sympthie gehad als t nerdige slimme Jobsje dat als een Asterix het monopolie van MS weerstond.
Windows heeft t altijd gedaan voor veel hackers, de pijlen gaan vaak daarop.
Android moet gewoon net als de meeste Linux distributies open source worden. De hobbyisten zorgen voor de upgrades en fixes, en de gewone man geniet van regelmatige updates. Software upgrades horen niet bij de fabrikant thuis, maar bij een andere partij. De fabrikant is na verkoop niet meer geÔnteresseerd in zijn klanten, onderhoud na aanschaf is alleen maar extra kosten zonder opbrengsten.

(En niet denken dat Android al open source is, dat is in praktijk niet zo. Er is net genoeg gedaan om de GPL niet al te veel met voeten te treden, maar de achterliggende gedachte, dat je als eindgebruiker ook eigenaar van de software bent, die wordt volslagen genegeerd.)
Ik vond de Google Play Edition telefoons (met updates bijna net zo snel als de Nexus-lijn) of Android One prima stappen in de juiste richting. Alleen jammer dat het zo ruk aangepakt is. Laat de consument dan gewoon kiezen bij de eerste keer dat de telefoon aan gaat: wil je de "vanilla Android"-ervaring of wil je de ervaring die de telefoonfabrikant biedt? Desnoods via een tooltje dat je in de Play Store moet downloaden. Het zijn toch echt de fabrikanten die er een potje van maken en al klaar zijn met de consument (klant) zodra het geld van de telefoon binnen is. Alles wat daarna nog geboden wordt aan support, wordt gezien als kostenpost en gaat ten koste van hun winst (denken ze).
Telefoonfabrikanten moeten geen "ervaring" software aanbieden, maar gewoon leuke hardware maken en zorgen dat de drivers op orde zijn (op zijn minst "pending" in mainline Linux).

Wat nu gebeurt is dat fabrikanten een halfbakken feature ineen flansen, en dan doen alsof ze het beste sinds bevroren pizza hebben bedacht.
Ik zou helemaal niet willen kiezen als ik terug naar Android zou gaan. Ik wil dan gewoon alle patches ťn HTC Sense. ;)
Ik heb altijd een kale Android gehad, dus ik weet misschien niet wat ik mis. Ik merk alleen dat (t.o.v. de Galaxy S8 van een collega van me) Android op mijn Motorola Z Play veel sneller werkt. Ik ken niemand met een HTC, dus daarmee kan ik niet vergelijken :)
Kale Android is inderdaad een stuk sneller. Ik weet nog dat ik een Galaxy Tab had die zo traag was als dikke uitwerpselen. CyanogenMod erop en het ding ging als een trein. :P
Bij HTC viel het nog redelijk mee, en daar was de iets tragere telefoon een prima trade-off voor de enorm handige functies die HTC Sense te bieden had - dus koos ik daar voor.

De ideale situatie zou zijn dat je dus een mooie skin kan hebben zoals HTC Sense, maar wel gewoon verzekerd bent van tijdige security patches. *Alle* security patches. :P
Inkomsten van Google zitten al jaren niet meer in het zoeken, maar in het profileren van de gebruikers en die data te verkopen, maar ook zelf te gebruiken voor de advertenties die ze zelf aanbieden.
Makkelijk zat. Ze roepen “security updates tot en met 2018-04-01” maar stiekem zijn ze in februari gestopt met patchen.
Waarmee ze dan bedoelen dat ze de patches van februari in april hebben geÔntegreerd. Kwestie van slim formuleren.
Die patch-level is gewoon een string in een config bestand. Als je root hebt kun je die gewoon zelf aanpassen zonder dat er enige aanpassing aan het besturingssysteem nodig is... Kinderlijk eenvoudig doet dat geen recht.
Klopt. Ik gebruik een custom ROM voor mijn TF300T en de laatste versie leek achter te lopen. In de releasenotes stond wat anders. Oeps zei de ontwikkelaar, string vergeten aan te passen...
Ik geloof dat de string die laat zien op welk beveiligingsniveau de telefoon zit niets meer is dan dat, een string die door een programmeur wordt ingevuld. Er was eens een artikel over van Lineage OS.
Volgens Daniel Micay, chef ontwikkeling bij Copperhead (van de geharde Android ROM CopperheadOS) was dit ook het geval bij custom ROMs. Schijnt een kwestie te zijn van paar minuten werk. Stringetje aanpassen misschien?

Ik schreef hier al eerder over: Jurroen's Tweakblog: [Android] Custom ROMs en veiligheid

Persoonlijk vertrouw ik Copperhead en Micay. Een flink aantal wijzigingen die COS (tweemans bedrijfje uit Canada, maar regelmatig bijval van externe krachten) heeft gedaan zijn 'upstream' meegenomen. Ofwel, deel van hun werk zit in AOSP, Android dus.

AOSP is iets anders dan stock. Stock heeft ook toevoegingen van Google die los staan van Android, zoals GApps, Play Services en GCM.
Weinig verbazend, dat past keurig in het beeld dat we al hebben van hoe de fabrikanten met het OS voor hun telefoons om gaan. Eigenlijk vinden ze het maar niks. Ze willen hardware verkopen, geen software, de software ervaren ze als een last. Nadat de hardware is verkocht verdienen ze ook niks meer aan de ondersteuning, dus ook financieel is er weinig argument om het goed te doen.
Als ze al een keer iets met de software doen is het vooral om er nog wat extra aan te verdienen.

Ik gebruik (mede) daarom LineageOS, dat wordt gemaakt door mensen die geen ander doel hebben dan een goed OS bouwen.
De fabrikanten hadden een paar jaar geleden er voor kunnen kiezen om Windows Phones uit te brengen. Waarbij MS in feite het hele software gebeuren voor zich neemt, en de fabrikanten lekker hardware konden verpatsen zonder zich enige zorgen te maken over de software kant van het verhaal.

Dat wilden de fabrikanten ook niet. Door dat ze voor Android gekozen hebben, is in ieder geval duidelijk dat ze de software juist wel in eigen beheer wilden hebben. Maar ze weigeren de verantwoordelijkheid te nemen. (En wij consumenten laten ze er mee weg komen)
De fabrikanten hadden een paar jaar geleden er voor kunnen kiezen om Windows Phones uit te brengen. Waarbij MS in feite het hele software gebeuren voor zich neemt, en de fabrikanten lekker hardware konden verpatsen zonder zich enige zorgen te maken over de software kant van het verhaal.

Dat wilden de fabrikanten ook niet. Door dat ze voor Android gekozen hebben, is in ieder geval duidelijk dat ze de software juist wel in eigen beheer wilden hebben. Maar ze weigeren de verantwoordelijkheid te nemen. (En wij consumenten laten ze er mee weg komen)
Helemaal mee eens, hadden ze dat maar gedaan. Maar ja, ze zijn liever lui dan moe en er was een werkend OS dat niet te veel eisen stelde. Ik weet werkelijk niet of MS iets anders had kunnen doen om het meer succesvol te maken of dat het toch bij voorbaat kansloos is. (Als fanatiek Linux-gebruiker heb ik die medaille vaker van de andere kant gezien en daar gaat het precies hetzelfde (in relatie tot Windows) ook al is het een totaal andere, haast tegenovergestelde, situatie. Mijn conclusie is dat er in deze wereld helaas geen ruimte is voor meer dan 1 mainstream OS per platform. Zelfs Apple blijft gerommel in de marge in vergelijking met Windows en Android).
MS had een paar dingen beter kunnen aanpakken, maar betwijfel of het veel zoden aan de dijk had gezet.

MS had de interesse niet dezelfde marketing oorlog te ontketenen die Apple ... maar vooral Samsung heeft losgelaten. Samsung en dat gigantische marketingsbudget heeft Android zo groot gemaakt. Google keek toe en lachte zich een breuk om te zien hoe veel miljarden MS in de marketing aan het pompen was.

Gezien de recente ontwikkeling en waar MS ook op lijkt te doelen.. Ik denk dat het OS er over een aantal jaar gewoon helemaal niet meer toe doet. Het zal straks geen fluit meer uit maken op welk OS de hardware draait. Alle OSen spreken dan toch dezelfde talen. MS is Windows ook al een paar jaar langzaam aan het loslaten en een nieuw hoofdstuk in het Embrace, Extend, Extinguish boek begonnen. Waarbij ik zelf er een beetje bang voor ben dat dit Linux echt de kop kan gaan kosten.
(En wij consumenten laten ze er mee weg komen)
Zo gaat dat met alles. Een handjevol beseft wel wat men door de consumentenstrot probeert te duwen, maar in verhouding tot de massa's die alleen maar happen en slikken doet dat helemaal niets, en pas als men dan buikpijn krijgt ziet men het gelijk van die minderheid, maar dan is het te laat en is de standaard al gezet.
Idd, logisch, met Windows phone konden ze niet genoeg geld verdienen omdat ze de gebruikers niet kunnen dwingen om na een relatief korte periode een nieuwe telefoon te laten kopen als zij de nieuwste OS versie willen hebben...
En daar ga ik niet mee akkoord. Het is voor een fabrikant wel degelijk belangrijk om toestellen te blijven bijwerken en nog meer om de consument niet te bedriegen. De reputatie van een fabrikant kan er mee staan of vallen en dat laatste wil geen enkele fabrikant natuurlijk. Niets doen kan je op termijn meer kosten dan wel degelijk in de software te investeren.
En daar ga ik niet mee akkoord. Het is voor een fabrikant wel degelijk belangrijk om toestellen te blijven bijwerken en nog meer om de consument niet te bedriegen. De reputatie van een fabrikant kan er mee staan of vallen en dat laatste wil geen enkele fabrikant natuurlijk. Niets doen kan je op termijn meer kosten dan wel degelijk in de software te investeren.
Ik zou het er graag mee eens zijn, maar ik heb niet het gevoel dat het echt zo werk. De meeste mensen nemen het updatebeleid niet mee in hun beslissing, al lijkt dat langzaam een beetje te veranderen. Updaten is niet leuk en als het een tijdje niet werkt liggen de meeste mensen daar niet wakker van zolang hun telefoon het maar "gewoon doet". Daarbij vinden mensen het heel gewoon dat een telefoon na drie jaar "oud", "langzaam" en "op" is en dus moet worden vervangen. Volgens mij is in veel gevallen de software het enige dat echt te oud is maar dat lijken mensen zich niet te realiseren.
Dat kunnen ze eigenlijk ook niet weten want er is maar weinig vergelijkingsmateriaal.

Ik heb de indruk dat ze er liever een reclamecampagne tegen aan gooien dan kwaliteitssoftware te leveren. (even heel generaliserend, er zijn ook fabrikanten die het anders aanpakken).
Ha ha de meeste mensen hebben niet eens in de gaten dat hun telefoon wordt geŁpgraded.. Dus deze discussie is voor het merendeel van de Android gebruikers niet van toepassing. Alleen Tweakers maken zich druk ;) en Google interesseert ook geen lor als zij maar kunnen analyseren op de Android data...
"Als ze het niet goed doen krijgen ze reputatieschade"

Blijkbaar hebben ze dat voor lief genomen want de meeste fabrikanten belazeren de consument dus wel als het gaat om claimen van beveiligingsupdates... Die dreiging van reputatieschade is dus niet effectief. Ongeveer zoals de dreiging van reputatieschade door gesjoemel met NOx-uitstoot niet effectief bleek (en VW de afgelopen paar jaar keer op keer recordwinsten neerzet dus zelfs NA de onthullingen kan het consumenten geen fuck schelen). De bedrijven in onze economieŽn zijn te groot geworden om hier echt last van te hebben. Veel te veel oligopolisten die niet bang hoeven te zijn voor reputatieschade als ze consumenten en overheden op enorme schaal belazeren. Ik hoop dan ook dat dit een juridisch naspeel heeft en de EU hier fikse boetes voor uitdeelt (order van grootte: §10-100 per getroffen verkocht toestel)
Mijn lineage rom claimt patchlevel 8 februari dit jaar, maar toch ontbreekt er een patch van SE Linux.
Dat Nokia verhaal vind ik wel heel erg raar. Mijn ouders hebben tot nu toe elke maand de nieuwste beveiligingsupdates gehad op hun Nokia 6 toestellen.
Het kan zijn dat de Nokia 3 minder patches ontvangt.
En hoe weet je zeker dat die update ook effectief elke patch bevat die er is uitgekomen? Daar gaat dit onderzoek net om. Ze nemen een telefoon, kijken naar tot wanneer het toestel is bijgewerkt en gaan dan na of alle noodzakelijke patches ook effectief zijn doorgevoerd.
Dat is het punt nu juist, het zegt niets. Het beveiligingsniveau van Android is een zelf ingevulde waarde en zegt niks over de daadwerkelijk toegepaste patches. Het probleem zit ook in het feit dat fabrikanten afhankelijk zijn van Google voor updates, maar ook van hardware leveranciers (en dus hun drivers) waar ook lekken in zitten.
Dus niet, daar gaat juist het hele onderzoek over.

Er missen dus patches die onderdeel zijn van 8.1
Tja... Wat is er beter:
3 patches missen en up-to-date claimen tot bijvoorbeeld 1 december 2017
of 0 patches missen en up-to-date tot bijvoorbeeld 1 juni 2017....
Up to date claimen tot 1 december 2018 :X
Dan hoort dit vermeldt te worden aan consumenten.
Hoe ouder de gemiste patch hoe erger. Een zero daykwestbaarheid wordt nog nauwelijks misbruikt. Kwetsbaarheden van bijv 2 jaar oud zijn zo algemeen bekend dat het niet alleen hackers zijn maar dat je amper meer veilig online kan omdat allemaal van die vage casinoreclames enzo zelfs zonder enige hackersinspanning met kant en klare hackplugins je telefoon te grazen nemen.
Zijn patches niet cumulatief dan? Het lijkt me raar dat je een patch kan missen uit een reeks
Meestal niet. En moderne versiebeheersystemen als GIT kunnen prima bijhouden wat er wel en niet lukt. De long-term support Linuxen krijgen alleen maar de bug-fixes, maar niet de features. In de gewone ontwikkelboom lopen die door elkaar. De maintainers pikken de krenten uit de pap voor de stapels met security en bugfixes, en uit die stapel kun je ook weer kiezen wat je wel en niet in je product gaan integreren. Een bugfix in de SATA driver zal voor de meeste telefoons niet relevant zijn, bijvoorbeeld.
Componenten krijgen afzonderlijke patches. Bijvoorbeeld de firmware van de wifichip, de grafische driver, een patch op de browser, een aanpassing van de SMS-stack, en ga maar zo verder. Dat zijn allemaal onafhankelijke dingen. Als een fabrikant wat heeft aangepast aan de SMS-stack kan die patch niet eenvoudig worden toegepast. Als het gaat om de wifi-firmware, dan is die misschieen aangepast in de 'standaard' driver, maar niet in de versie van fabrikant X die net iets speciaals moest doen. De source light bij de firma ....com(m) en die zegt misschien: bekijk het maar.
Dan wordt die patch dus overgeslagen, en dat specifieke lek bestaat dan nog.
Wel grappig dat er al sinds 2010 gejammerd word over android updates maar dat het doodsimpel oplossen van het probleem nog geen stap dichterbij is.
Gewoon de basis android van de skin schijden en klaar. Google regeld de updates en de fabrikant de skins. Probleem opgelost.
Losse driver layer erbij en alles zou moeten werken.
Dan zit je nog met de security issues van de skin :+ En die zijn lastiger te controleren.
tja dat is maar net hoe de skin uitgevoerd word. maar als je klanten de optie geeft om de google skin te gebruiken kan je zeker na de 2 jaar update termijn gewoon de skin bypassen en de google gebruiken. google zou dat zelf bijvoorbeeld kunnen geven als optie.
Valt me weer op dat Chinese firma's heel slecht scoren. Ik had dit natuurlijk wel verwacht want bij de Chinezen is het gewoon al af als het een klein beetje werkt. Daarna, hop, naar de volgende en niets meer aan doen want dat kost geld.

Bij die Chinese merken krijg je echt waar naar wat je betaalt.

De duurdere Chinese merken doen het wel iets beter. Huawei valt mij meteen op want dat is niet een goedkoop merk, maar doet het toch vrij slecht.

[Reactie gewijzigd door ArtGod op 12 april 2018 17:49]

ZTE is ook niet bepaald een "goedkoop" merk. Denk dat je eerder over A en B merken moet spreken.
TCL is iig het eerste niet, ZTE echter wel (wereldwijd een gigantische speler zelfs, al hebben we het dan niet zozeer over de mobile tak).
Bij HTC geloof ik dat gewoon niet.... Mis er namelijk geen....
Dan heb je simpelweg niet begrepen waar dit bericht over gaat.
Slechte zaak denk je dat je beter beveiligd bent na een patch. Maar dan kom je er nu achter dat je nog steeds kwetsbaar bent voor een exploit.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True