Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Interview Karsten Nohl: Niemand hackt een Android-toestel via een enkel lek

Op de Hack in the Box-conferentie presenteerde onderzoeker Karsten Nohl samen met een collega zijn onderzoek naar ontbrekende patches op Android-toestellen. Tweakers sprak met Nohl, die stelt dat een ontbrekende patch niet meteen betekent dat je daadwerkelijk kwetsbaar bent.

Nohl, door Alexander Klink, CC BY 3.0

“We kennen allemaal het Stagefright-lek, dat inmiddels tot een merknaam is geworden. Tot op de dag van vandaag heeft echter niemand kunnen aantonen dat daar ook daadwerkelijk een Android-toestel mee kan worden overgenomen. Er zijn dan ook maar heel weinig kwetsbaarheden waarbij alleen dat ene lek nodig is om op afstand een aanval uit te voeren.” Het enige lek waarmee dit volgens Nohl mogelijk is, staat bekend als ‘return to libstagefright’ en werd in 2016 na de originele Stagefright-kwetsbaarheid ontdekt. Tijdens zijn presentatie, die vrijdag in Amsterdam plaatsvond, stelde Nohl dat er normaal gesproken een combinatie van vier verschillende exploits nodig is om een Android-toestel op afstand over te nemen.

Met deze uitspraak lijkt hij afbreuk te doen aan het nut van zijn eigen onderzoek, waarin hij ontbrekende patches bij verschillende smartphonemakers identificeerde. De details daarvan kwamen in de afgelopen week al naar buiten. Over wat dit voor gemiddelde consumenten betekent, zegt Nohl: “De belangrijkste boodschap is dat er geen reden tot paniek is. Dat er patches ontbreken op Android-toestellen, betekent niet dat ze meteen openliggen voor hacks. De situatie is veel gecompliceerder, in feite zo gecompliceerd, dat criminelen wegblijven bij Android-hacks. Dat betekent overigens niet dat ze wegblijven bij Android. Het overnemen van Android-toestellen gebeurt tegenwoordig door gebruikers zover te krijgen om apps te installeren en ze vervolgens om bepaalde permissies te vragen.”

"Dat er patches ontbreken op Android-toestellen, betekent
niet dat ze meteen openliggen voor hacks"

“Dat zie ik niet als hacking; dat is social engineering en zolang dit zo effectief blijft, zal het niet nodig zijn om daadwerkelijk te hacken. In bepaalde gevallen, zoals bij staten, is er meer behoefte aan een onopvallende aanval. In dat soort gerichte aanvallen zie je wel hacks.” Op de vraag hoe de effectiviteit van social engineering te verminderen is, bijvoorbeeld door een partij als Google, antwoordt Nohl: “Het opvoeden van gebruikers werkt, je moet alleen niet beginnen door ze als idioten te behandelen, want dan luisteren ze niet. Ik denk dat ze, als ze eenmaal een hack hebben meegemaakt, wel zullen leren. Dus ik denk dat dit een situatie is die zichzelf oplost. Zodra het pijn doet, begint het leren.”

Hoe is dan de overtuiging ontstaan dat een ongepatcht lek meteen een risico met zich meebrengt? Volgens Nohl heeft dit ermee te maken dat gebruikers van besturingssystemen als Windows afkomen. “Android is niet zo homogeen als Windows, het is een stuk complexer. Als je bijvoorbeeld de onderliggende kwetsbaarheid van WannaCry bekijkt, EternalBlue, en die vergelijkt met Stagefright, heeft dat eerste lek voor miljarden euro’s schade aangericht, terwijl Stagefright niet eens werkt. Dus er zijn twee even bekende ‘merknamen’, maar mensen hoeven zich er niet in dezelfde mate zorgen over te maken.” Daarnaast zegt Nohl dat het overnemen van een Android-smartphone wordt bemoeilijkt door maatregelen als sandboxing en aslr.

Gevraagd naar de zaak van de Consumentenbond tegen Samsung, waarin Stagefright wordt gebruikt als bewijs dat ontbrekende patches een risico opleveren, zegt Nohl: “Het verkopen van een telefoon en dan bijvoorbeeld een jaar later stoppen met updates is een probleem, maar speelt meer op het gebied van consumentenrechten. Het is niet zozeer een beveiligingsprobleem. Dat Samsung zegt dat het geen patches meer installeert, is niet wenselijk, maar het is tenminste een eerlijke uitspraak. Je kunt bijvoorbeeld een goedkoop toestel voor YouTube gebruiken, maar je gaat er niet je gevoelige gegevens opzetten als de fabrikant een dergelijke uitspraak heeft gedaan. Wat mij betreft is het gevaarlijker als een fabrikant zegt dat bepaalde patches zijn toegepast, terwijl dat helemaal niet zo is, want gebruikers hebben een bepaalde veiligheidsverwachting.” Nohl ziet het nut van de rechtszaak wel in, omdat hij keuzevrijheid voor consumenten als belangrijk ziet en het goed is dat fabrikanten transparant zijn over hun beleid.

"Een rationeel bedrijf ziet dat gebruikers niet stoppen met vragen om maandelijkse beveiligingsupdates"

De volgende vraag aan de onderzoeker was waarom fabrikanten zouden liegen over hun patchniveau. “Als we het over een rationeel bedrijf hebben, dan ziet het dat gebruikers niet zullen stoppen met vragen om maandelijkse beveiligingsupdates. Een manier om aan die behoefte te voldoen, is gewoon het aanpassen van de datum van het patchniveau. In een omgeving waarin alleen naar die ene datum wordt gekeken, is dat een redelijke keuze. In de loop van ons onderzoek hadden we contact met verschillende fabrikanten, waardoor misschien duidelijk werd dat het niet meer voldoet om het op die manier aan te pakken.” Zo merkte Nohl tijdens zijn presentatie op dat een fabrikant bijvoorbeeld is begonnen met het daadwerkelijk doorvoeren van patches.

Het viel hem bovendien op dat het contact met de fabrikanten bijzonder goed verliep. “Ik heb zelden een respons gezien die zo constructief was.” Hij kon niet zeggen met welke fabrikanten hij in contact was geweest, omdat het 'om een vertrouwensrelatie gaat'. Andere onderwerpen waar Tweakers Nohl over sprak, waren Project Treble en custom roms. Nohl ziet Treble als een ‘geweldig idee’, omdat het voor fabrikanten op die manier makkelijker wordt om naar een volgende Android-versie te gaan. De onderzoeker vergeleek dit tijdens zijn presentatie met servicepacks van Windows, waarin elke patch tot dat moment is meegenomen. Hoewel Treble het volgens Nohl op de korte termijn moeilijker maakt om naar Android 8 over te gaan, is het effect op de lange termijn positief.

Op de vraag hoe de patches er op custom roms uitzagen, zei Nohl: “Custom roms hebben ook patchgaps en als we ze vergelijken met fabrikanten, scoren ze evenmin bijzonder goed.” Hij oppert dat dit ermee te maken kan hebben dat ontwikkelaars van de roms meer gericht zijn op nieuwe functies dan op patches, maar dat ze met behulp van zijn geüpdatete SnoopSnitch-app snel kunnen zien of ze iets zijn vergeten. Ook hoopt hij via de app meer inzicht te krijgen in de patchniveaus op dat soort besturingssystemen.

"Als we custom roms vergelijken met fabrikanten, scoren ze evenmin bijzonder goed”

Nohl wil op zijn site een ranglijst bijhouden van de patchniveaus van fabrikanten, op basis van het onderzoek dat hij samen met zijn team gedurende twee jaar heeft uitgevoerd. Gedetailleerde gegevens wil hij in eerste instantie alleen met fabrikanten delen, zodat criminelen niet de mogelijkheid hebben om aan de hand van de gegevens een zwak platform te kiezen en daar aanvallen voor te ontwikkelen. Een mogelijkheid om zijn data te koppelen met productdatabases lijkt hem een goed idee en hij ziet dit op termijn zeker als technisch mogelijk.

De slides van de presentatie van Nohl zijn online te raadplegen op de site van Hack in the Box. Op een gegeven moment wordt de video ook gepubliceerd; dat is op het moment van schrijven nog niet gebeurd. Nohl is momenteel chief scientist bij het Berlijnse Security Research Labs. In het verleden heeft hij zich onder meer beziggehouden met de beveiliging van de ov-chipkaart, simkaarten en telecomnetwerken.

Een selectie uit de presentatie

Door Sander van Voorst

Nieuwsredacteur

17-04-2018 • 14:55

87 Linkedin Google+

Reacties (87)

Wijzig sortering
"Niemand hackt een Android toestel via een enkel lek" --> Allemaal leuk en aardig, maar als je 1 bekend lek hebt + 3 onbekende lekken hebt dan is je toestel dus mogelijk kwetsbaar. Het patchen van dat ene bekende lek kan er dan mogelijk voor zorgen dat de 3 andere 'onbekende' lekken ineens niet meer voor alarmerende kwetsbaarheden zorgen. Security patches moeten daarom te allen tijd zo snel mogelijk worden uitgerold. Je kan er nooit van uit gaan dat je alle bugs & kwetsbaarheden kent, want dat is onmogelijk.

[Reactie gewijzigd door stin00 op 17 april 2018 16:51]

Ben wel benieuwd, zijn verhalen van gehackte gebruikers bekend en door welke kwetsbaarheden dit gekomen is? En dan het liefst hacks die niet door malafide apps komen.

Ik kom namelijk heel weinig verhalen in het wild tegen die mij het gevoel geven dat je heel kwetsbaar bent op een wat ouder Android toestel bij mensen die verder gezond verstand gebruiken.
Ik ken ook niemand in mijn omgeving van wie ik heb gehoord dat zijn Android-telefoon gehakt is. En eigenlijk ook niet daarbuiten. Ik hoor alleen over lekken op Tweakers, verder hoor ik er überhaupt nooit iets over. Ik hoor wel eens van mensen die op Windows gehakt zijn, maar dan wel doordat ze een bestand van het Internet hadden geïnstalleerd.
Flauwe vraag. Maar hoe weet je of je gehacked bent?
Je weet het niet altijd. Maar als je er nooit van hoort, is dat misschien wel een signaal dat het wel meevalt. Vooral ook aangezien je er wel mensen over hoort met Windows.
Dit is een ietwat zwak argument, Android OS is een mobiel OS en je vergelijkt het hier met een desktop OS als Windows, dat al veel langer bestaat dan Google haar Android. Op desktops is hier waarschijnlijk meer reden toe, omdat hier veel meer gevoelige informatie op wordt verwerkt (waarmee geld verdiend wordt). Verder kan je bij Android standaard geen dingen uit de store installeren (hiervoor moet je eerst wat instellingen aanpassen) en is het van oorsprong bij Windows gebruikelijk, omdat Windows pas vanaf Windows 8 een App Store heeft! ;)
De vergelijking tussen een mobiel OS en desktop OS is denk ik niet heel zwak. Naar mijn mening is dit verschil juist met de komst van Android een stuk kleiner geworden dan dat het altijd is geweest. Er zijn tegenwoordig nog maar weinig dingen die een mobiel OS niet kan draaien t.o.v. een desktop OS. Het is zelfs mogelijk om virtueel een desktop OS op Android te draaien.

Dat een desktop OS meer gevoelige informatie zou bevatten dan een mobiel OS is denk ik ook niet helemaal waar. Die Android telefoon heb je de hele dag in je zak en ondertussen zijn verschillende apps allemaal interessante data aan het verzamelen. Ondertussen gebruik je Facebook, een webbrowser en misschien ook wel een mobiel bankieren app op je Android telefoon. Gevoelige informatie zat dus..

Edit:
Typos :)

[Reactie gewijzigd door MetalJacketNL op 18 april 2018 16:30]

De vergelijking tussen een mobiel OS en desktop OS is denk ik niet heel zwak. Naar mijn mening is dit verschil juist met de komst van Android een stuk kleiner geworden dan dat het altijd is geweest.
Het verschil tussen een desktop OS en Android is juist best groot. Android applicaties zijn b.v. heel anders gestructureerd dan desktop applicaties, elke 'scherm' (activity) staat in principe op zichzelf, een Android app lijkt dus een beetje op een aantal kleine appjes, voor elk scherm eentje (beetje kort door de bocht). Dit maakt apps een stuk ingewikkelder maar betekend wel dat je op veel beperktere hardware kan draaien (niet dat dat nog heel relevant is met de hardware van tegenwoordig).

iOS lijkt wat dat betreft veel meer op een desktop, iOS apps zijn gewoon monolitisch, net als desktop apps, en qua performance komen de A-series SoC's ook veel dichter in de buurt van een desktop dan de CPU's gebruikt in Android toestellen.
Dit is een ietwat zwak argument, Android OS is een mobiel OS en je vergelijkt het hier met een desktop OS als Windows, dat al veel langer bestaat dan Google haar Android. Op desktops is hier waarschijnlijk meer reden toe, omdat hier veel meer gevoelige informatie op wordt verwerkt (waarmee geld verdiend wordt). Verder kan je bij Android standaard geen dingen uit de store installeren (hiervoor moet je eerst wat instellingen aanpassen) en is het van oorsprong bij Windows gebruikelijk, omdat Windows pas vanaf Windows 8 een App Store heeft! ;)
Sluit niet uit dat er al een paar jaar verschuiving is van desktop naar mobiel.
Een tablet is nog steeds een mobiel device, bankzaken worden meer en meer 'even' via de telefoon gedaan.
Mail, foto's, Social Media ... allemaal net zo gemakkelijk via mobiel, zo niet makkelijker
De desktops zoals we 10 jaar geleden gebruikten, verdwijnen meer en meer.

N=1, maar ik hoor steeds minder mensen om me heen vragen "welke laptop/pc" dan dat ze komen met "zal ik iPhone of Android"
Tegenwoordig is het meer bangmakerij dan waarheid. Vooral de media maakt er lekker misbruik van om het allemaal zo gigantisch op te blazen. Wil men in de eerste instantie gehacked worden moet je vaak al aan malafide praktijken deelnemen om überhaupt slachtoffer te worden.

Dit is ongeveer van hetzelfde niveau als vliegtuigrampen, er vliegen duizenden boven de aarde op elk moment, maar als er 1 ramp gebeurd worden mensen helemaal paranoia om nog eens op een vliegtuig te stappen.
Punt is natuurlijk dat je niet weet dat je gehacked wordt op het moment dat het gebeurd. Zie bijvoorbeeld alle informatie die door Snowden bekend is geworden rond de NSA. Dat is ook het hele idee natuurlijk, je wordt gehacked zonder dat je je er bewust van bent. Grote sites komen vaak ook pas jaren later achter hacks of de omvang ervan (zie Linkedin).
Mijn schoonmoeder was gehackt, ik zag vreemd en verdacht verkeer vanaf mijn router toen zij thuis was.
Toestel vervolgens opnieuw geflasht en het was weg. Ik zat door andere problemen op dat moment er bovenop hoe mijn data verliep.
Mijn schoonmoeder was gehackt, ik zag vreemd en verdacht verkeer vanaf mijn router toen zij thuis was.
Toestel vervolgens opnieuw geflasht en het was weg. Ik zat door andere problemen op dat moment er bovenop hoe mijn data verliep.
Maar dat is juist geen oplossing, nu weet je nog niets
Wat was er gebeurt, had ze iets geïnstalleerd, kwam het via een webpagina ... was het de MIVD ?

Natuurlijk is een reflash een goede oplossing, maar je ziet nog steeds niet WAT en WAAROM, iets wat met een hack toch wel heel belangrijk is.
Voor hetzelfde geld, zat het in JOUW omgeving
Het is nog NOOIT in de praktijk gelukt. Met andere woorden, show me een praktijk voorbeeld waarbij massaal mensen overal werden getroffen .....
Denk je nou echt met meer als een miljard Android users dat het niet lucratief zou zijn ??

Feit dat het niet gebeurd is betekent gewoon dat het niet eenvoudig is zoals het artikel zegt.
De praktijk leert ons dat ook en dat zegt meer dan welk onderzoek of mening van wie dan ook.

[Reactie gewijzigd door Bomberman71 op 17 april 2018 18:07]

Feit dat het niet gebeurd is betekent gewoon dat het niet eenvoudig is zoals het artikel zegt.
Foute conclusie. Het kan ook zijn dat het wel eenvoudig is, maar niet lucratief (genoeg).
Nee, met miljarden gebruikers met allemaal hun contacten, berichtjes, vieze foto's en funnies zal het zeker niet lucratief zijn die te ransomwaren ....

Slaap rustig verder !
Security patches moeten daarom te allen tijd zo snel mogelijk worden uitgerold. Je kan er nooit van uit gaan dat je alle bugs & kwetsbaarheden kent, want dat is onmogelijk.
Ik snap je reactie en zeker ook je gevoel maar in feite is het de grootste onzin.... Security patches moet je pas uitvoeren bij een bepaald risico profiel.... Omdat je gebruikers vaak geen inhoudelijke kennis hebben is de vuistregel om alles maar zo snel mogelijk te installeren.

Zelfde geldt voor Spectre enz... Totaal geen gevaar voor 95% van de bedrijven / consumenten. Vandaar dat je vooral security experts, journalisten en consumenten hoorde schreeuwen en het op de zakelijke markt maar 1 dag een gespreksonderwerp is geweest

Edit: ik denk zelfs dat die 95% eerder 99% is maar ja dit is even ter illustratie

[Reactie gewijzigd door Mellow Jack op 17 april 2018 18:23]

Alles wat aan het internet hangt of een USB poort heeft heeft een hoog risico profiel...
Security updates met terugwerkende kracht installeren bestaat niet, er is geen enkele reden om niet te updaten wanneer er security updates beschikbaar zijn, er zijn talloze redenen om wel te updaten.
Er zijn 1000e redenen om updates niet direct te installeren. Het is zelfs best practice om niet direct de nieuwste updates van iets te installeren....

En zeker niet alles wat aan het internet hangt heeft een hoog risico profiel... Dingen die aan het internet hangen en luisteren mogelijk wel maar zelfs daar is het vaak niet van toepassing. Wat wel een hoog risico heeft is onkunde. Dat ik een server op het internet heb hangen waarbij jij verbind via poort 443 betekent bijvoorbeeld niet dat ik geen SSL offloading gebruik icm deep package instpection... Om maar even een voorbeeld te noemen... Een risico profiel is gebasseert op een geheel en daarom vind ik dit artikel ook zo goed... Ja er zijn bugs, wtf er zijn altijd bugs maar dit hoeft niet per direct een probleem te zijn als je andere maatregelen hebt getroffen

Maar nogmaals, zelfs een groot percentage van mensen op IT functies hebben geen kaas gegeten van het geheel (veel software engineers kunnen bijv wel goed programmeren maar hebben geen flauw idee hoe een OS nu echt werkt)... Met dat in het achterhoofd ben ik het eens met jou stelling maar ik hoop dat er nog genoeg mensen zijn die snappen wat de echte risico's zijn van alle overdreven nieuws berichten die we, vooral de afgelopen jaren, voorbij zien komen


Edit: Spectre was helemaal een mooi verhaal. Voordat alle schaapjes online moord en brand gingen roepen was bij mijn bedrijf al een risico analyse uitgevoerd om te bepalen of we nu echt een probleem hadden of juist helemaal niet... Wat bleek, voor ons was het niet zo boeiend, al waren we mee gegaan met de update frenzy hadden we waarschijnlijk meer problemen dan de 0 problemen die we hieraan over hebben gehouden (Let op. Dit zal voor bijv hosting providers anders zijn)

[Reactie gewijzigd door Mellow Jack op 17 april 2018 21:47]

Leuk dat er met DPI een hele hoop filtering kan worden gedaan, gebruik het hier thuis ook samen met o.a. offline backups en wekelijkse offsite offline backup en hoop dat ik hiermee de meeste ellende inderdaad afvang maar voor Android telefoons (waar het artikel over gaat ;)) zal vrijwel niemand DPI gebruiken of zelfs maar kennis van security hebben, dan zijn die updates echt cruciaal voor beveiliging en is er niets tegen te brengen.
Op een productie omgeving wil je niet voor elke poep en scheet updaten nee, maar dat is wel heel wat anders dan een android telefoon :)
Veruit het meeste wat op het internet hangt is een risico, of dat betekent dat het vandaag gehackt zal worden waarschijnlijk niet maar het risico is er zeker wel en aardig groot, kijk maar eens wat een gemiddelde server per uur aan troep zoals scans krijgt, af en toe de script kiddie die er een penetration test tegenaan gooit hopende dat er een bug te vinden is :+
Eens maar daarom vind ik artikel juist goed. Ze zeggen letterlijk, ja er zitten bugs in, maar omdat Android de connectie punten met het internet (zoals apps) in een sandbox draait is het geheel toch wel aardig veilig. Het is dus aan de gebruiker te bepalen wat het risico is. Maar ja... dat kunnen ze niet dus laten we de mensen maar denken dat 1 kleine fout in software altijd enorm veel gevaar oplevert

Edit: nu ik erover nadenk is mijn reactie mogelijk wel gebaseerd op wat irritatie naar de media. Er zijn veel journalisten die niet snappen hoe iets werkt maar wel hard roepen en de "experts" die erbij gehaald worden hebben de analyses vaak goed gelezen maar geen flauw idee wat het grote geheel nu precies is... Maar in de huidige wereld is dat grote geheel juist hetgeen wat iets goed of slecht maakt

[Reactie gewijzigd door Mellow Jack op 17 april 2018 22:49]

Klopt. Ken jij (of iemand anders) media die wel "het grote geheel" in hun artikelen verwerken? Dit is cruciaal om goed te leren hoe alles werkt.
Leuk dat er met DPI een hele hoop filtering kan worden gedaan, gebruik het hier thuis ook samen met o.a. offline backups en wekelijkse offsite offline backup en hoop dat ik hiermee de meeste ellende inderdaad afvang maar voor Android telefoons (waar het artikel over gaat ;))
En WAT heb je nu exact al afgevangen dan ?
Of is géén nieuws juist goed nieuws ?
Maar dan kan het ook zomaar zijn, dat je op de verkeerde plaats aan het hengelen bent.
Er zit wel vis, maar toevallig niet onder deze brug :+
Quote dan goed ipv 2 dingen samen te voegen ;)
Ik hoop met DPI en andere maatregelen e.a. op te vangen, ik hoef niet uit te leggen dat ik niet vis wil vangen maar o.a. hardware falen, malware en user-error binnen een Windows domein...
Maar voor android telefoons gebruikt men niet vaak dergelijke maatregelen, of jij wel?

Gebruik hier op mijn thuisnetwerk/homelab waar ik met e.a. speel auditing en krijg ik dus gewoon keurig een melding als een client met 'rare' IP's verbinding probeert te krijgen (blacklisted IP's, spamhaus list en bepaalde landen), wat draai jij op jouw Android telefoon? :+

[Reactie gewijzigd door RGAT op 19 april 2018 10:07]

wat draai jij op jouw Android telefoon? :+
Mijn router/firewall en PIhole blokkeren wat known malwaresites, ik probeer zoveel mogelijk 'illegaal' p2p verkeer tegen te gaan door mijn kinderen.
( als ze wat zoeken, moeten ze het melden, dan "regel" ik dat wel over/via een vpn-torrent / usenet )
Verder vertrouw ik inderdaad op een paar externe aanbieders, zodat mail 'zuiver' blijft.
Wel jammer dat uitspraken zoals deze gedaan worden, dit geeft weer voer om niet elke maand met patches en fixes te komen voor de fabrikanten want: "Lek X is wel gepatcht maar lek Y niet, dat geeft niet want volgens Karsten Nohl wordt je toestel niet gehackt door een enkel lek" Gebeurt allicht niet maar fabrikanten zoeken al genoeg manieren om je elk jaar een peperduur nieuw toestel te laten kopen.
Had ie dan maar moeten liegen? (In de rechtszaak?)

Hij benadrukt nog steeds dat updates belangrijk zijn, de kans op potentiele hacks word natuurlijk groter zonder updates. We moeten alleen niet doorschieten in de ernst, wat ik hier op tweakers bijv. constant zie gebeuren.
Is het ernst wat je hier ziet? Google levert namelijk gewoon maandelijks zijn security patches aan. Als een fabrikant zoals bijvoorbeeld Samsung 6 maanden achterloopt kun je je afvragen of ze niet tekort schieten.
En dan ongeacht de ernst van de bugs die gefixed worden in de securitypatches die niet zijn uitgerold door bijvoorbeeld Samsung.

Het is ook gewoon een extra verkoopargument als je bijvoorbeeld iedere maand 2 jaar lang je toestel van deze updates voorziet. Voor de eindgebruiker kan dat een pluspunt zijn ook al weet hij helemaal niet wat er gefixed wordt en kan het een 'placebo' (weet even geen ander woord) update zijn.
Google levert namelijk gewoon maandelijks zijn security patches aan.
Zal ik je een geheimpje vertellen, Google is nu nog steeds met CVE (exploits) die in aug 2017 bekend zijn gemaakt (zie alle CVE's in de patch van april).

Zo ontzettend boeiend zijn die patches dus, dat de maker van het OS er gewoon 8 maanden mee wacht om op te lossen.

En ja er zijn ook kritieke fouten die sneller opgelost worden (eigenlijk weinig voorbeelden, stagefright is namelijk al best wel oud ondertussen en het moment geweest wat zorgde voor deze maandelijkse updatecycli).

Dus nee zo ernstig vind ik het allemaal niet, en dat ik nog nooit van iemand hier of in mijn omgeving heb gehoord dat ze gehackt waren omdat ze niet de nieuwste patches hadden zie ik het ook niet snel veranderen.
Die ‘ernst’ is natuurlijk afkomstig van de Windows omgeving waar je niet kon overleven zonder virus scanner.

Sinds de komst van de Applicatie winkels van Apple en Google zijn smartphone al veel veiliger geworden. De grote dreiging is niet meer zo prominent aanwezig omdat alles out of the box veiliger is geworden.

Als een Fabrikant plots geen beveiligings updates meer geeft voelt dat natuurlijk niet comfortabel aan. Deze argwaan komt niet uit het niets en wordt versterkt door het feit dat heel uw leven op uw smartphone staat gaande van uw locatie (gps) tot uw bankinformatie, uw health status, uw priveberichten, uw muziek maar ook bedrijfskritische info.

Je kan alles natuurlijk heel hard nuanceren tot het punt dat er weinig ergs kan mislopen. Er zijn tot zover ik weet geen verhalen van mensen die geld zijn verloren door een oude android versie of het gebrek aan patches.

Misschien klopt die nuance wel sinds de echte hacks op app niveau gebeuren en fraudileuze webshops of het stelen van je wachtwoord via een phishing website.

Als je inlogd in een app en data verstuurd heeft dat bitter weinig te maken met Android aan zich. Elke app is tegenwoordig verbonden met een cloud server. Uw data kan misbruikt worden in al zijn vormen. De meeste Apps zijn niet meer dan client side webversie die in veel gevallen op javascripy gebaseerde webtechnologie zijn gemaakt.

Virussen die uw computer onklaar maken zijn erg tastbaar maar virussen of mallware die data stelen zonder dat je iets merk zijn natuurlijk onbekend en onbemind en daar zit net het gevaar.

Daardoor mag je alles niet platnuanceren. Buiten het feit dat uw priveleven op uw smartphone staat zijn er nog wel andere zaken zoals uw professioneel leven. Op een bepaald niveau werk je met geheime ducumenten. Dat kan kan een patienten dossier zijn, een waardevol r&d document of bedrijfsinfo in het algemeen die de beursgang kan verstoren.

Het is geen onbekend verhaal dat landen zoals China er alles aan doen om uw smartphone te hacken als je het waard bent. Iedereen op op zeker niveau is een target. We onderschatten dit totaal.

Ook die mensen zijn consumenten die toevallig een htc, samsunh of lg telefoon kopen en je hoopt dan dat alles wat op uw tablet of tefoon staat niet gewoon voor het rapen ligt.

Ik mag misschien naief klinken, maar ik hoop ergens dat ik veiliger af ben met mijn Iphone. Omdat de updates gegarandeerd zijn, de encryptie hardcoded in de ssd zit en de app store iets beter bestand is tegen fake apps.

Maar ik besef heel goed dat mijn wachtwoorden, free wifi en externe services het grootste gevaar vormen. Daarom kies ik altijd voor 2fa en https waar mogelijk. Mijn ernst is in mijn optiek niet verzonnen en ik blijf me beveiligen waar nodig. En hoever je er in gaat moet iedereen zelf uitmakenn.

Een youtube/netflix/spotify tablet is vanzelfssprekend minder belangrijk dan een persoonlijk apparaat waar heel uw leven/werk op staat.

[Reactie gewijzigd door Coolstart op 18 april 2018 01:41]

Ho ho, dat zeg ik niet. Ik zeg alleen dat elke uitspraak van een expert of van iemand met verstand van zaken gebruikt gaat/kan worden als het aankomt op het grijze gebied genaamd software updates en ondersteuning.
wie weet is ie wel betaald door samsung,lg,enz
Die indruk krijg je wel als je dit verhaal leest.
Ah, mooi dat iemand eens flink duidelijkheid schept. Als eindgebruikers daar dan ook conclusies aan verbinden, bijvoorbeeld door toestellen te kopen van Wiko, Nokia, HTC, Sony, ZTE die wél frequent updates uitrollen.
Uiteraard is het wel beter om zo up to date mogelijk te zijn, maar op dit moment durf ik prima met een 2 jaar oude Android build rond te lopen en mijn bankzaken daarop te regelen. Echte hacks gebeuren eigenlijk niet echt dus daar ben ik ook niet bang voor.

Ik denk dat het artikel juist onderschrijft dat het niet heel veel uit maakt dat bepaalde patches niet direct hebt. Wat ook niet helpt voor het maken van een hack is dat elk toestel juist anders is, de ene heeft die patch wel de andere niet, dat maakt het gigantisch complex om een niet zeer specifieke hack te maken wat natuurlijk eigenlijk nooit gebeurd, tenzij je specifiek een target bent van 1 of andere dienst of crimineel. Maar op dat moment heb je wel weer grotere problemen dan je telefoon.

[Reactie gewijzigd door watercoolertje op 17 april 2018 15:34]

totdat je voor een bedrijf werkt waar iedereen een samsung S9 van de baas heeft....en het voor een hacker die info wil vergaren dus wel heel makkelijk wordt gemaakt omdat iedereen dezelfde telefoon heeft!
maar op dit moment durf ik prima met een 2 jaar oude Android build rond te lopen en mijn bankzaken daarop te regelen. Echte hacks gebeuren eigenlijk niet echt dus daar ben ik ook niet bang voor.
Natuurlijk totdat een hack daadwerkelijk wordt uitgevoerd. De media zal een dergelijke hack wel weer verbuigen en erger maken dan dat het is, maar dat maakt wel dat mensen meer zullen opletten.

Ik denk zelf ook niet heel moeilijk te doen totdat er werkelijk gevaren optreden. 8)7
Tuurlijk, dat kan je ook zeggen over een ongeluk in de auto, feit is dat vrijwel niemand zich daar druk over hoeft te maken tot het je (of iemand dichtbij) overkomt.

Eigenlijk geldt dat met allesmet een verwaarloosbaar laag risico, ja het kan gebeuren en is superklote maar dat ijn geen dingen waa je je verder druk om moet gaan maken imho.
Ik heb vroeger een virus gehad en ben een keer gehacked geweest op mn oude werk. ik weet wat het is. Een klein gaatje naar root en je bent er. Het virus was zo erg dat mijn harddisk partities waren verwijderd, evenals mijn buurjongen die dat zelfde virus had (waarschijnlijk een malafide mp3 geweest). Best vervelend als je je verslag er op had gemaakt maar niet meer bij kan. gelukkig toen met heel veel geduld de boel kunnen terughalen van een harde schijf. (had de andere nodig om het op te slaan in die tijd...)

Daarnaast ben ik een keer gehacked geweest. helaas had de hacker alle code verwijderd en hadden wij toen nog geen goed backup beleid. waardoor enkele belangrijke scripts verwijderd waren (we deze opnieuw konden schrijven).

Een goede hacker komt wel binnen en probeert elke exploit op een machine uit om root te krijgen of enige toegang. Dus indien er 1 exploit nodig is om binnen te komen en een andere exploit nodig is om root toegang te verschaffen is ie er met slechts 2 exploits. waarschijnlijk heeft de hacker een script die honderden exploits heeft en deze 1 voor 1 op je computer af vuurt net zolang totdat ie binnen is. zolang er exploits zijn, zijn er hackers. hopelijk ben je gewoon niet het target van een hacker, dan is er niets aan de hand...
Malafide Mp3. Knap als iemand je kan hacken met een mp3 die je afspeelt met een normale mediaspeler. Het zou toch echt een .exe .bat .cmd bestand moeten zijn geweest in het simpelste geval of anders door social engineering gekomen zijn zoals hier beschreven:
https://forums.malwarebyt...p3-files-contain-a-virus/

[Reactie gewijzigd door LNDN op 17 april 2018 18:43]

Er zijn meer wegen die naar Rome leiden.

Wat bijv. ook kan: Als je mediaspeler een multifunctioneel programma is, en ook bijv. box-art kan tonen van muziek, of video kan afspelen. En stel nou dat er een bug in het videogedeelte zit die is te misbruiken. Dan kun je een exploited videofragment maken, en die gewoon opslaan als een MP3. Het bestand is dus gewoon een video, maar de extensie wordt bewust op MP3 gezet. De MP3 wordt door je mediaspeler geopend, alleen intern ziet het programma dat het een video is, en probeert de video af te spelen waardoor de exploit geactiveerd wordt.

Het kan nog leuker (*): Stel je kunt die exploited video samen met een echte MP3 in een .MP3 bestand combineren. Dan heb je een MP3, als je hem met je mediaspeler afspeelt hoor je ook gewoon de MP3, maar ziet het programma ook een video, en probeert die dan in de achtergrond af te spelen, of iets dergelijks. Als de video dan niet afgespeeld kan worden, omdat die nep is, maar de exploit wel wordt uitgevoerd, heb je een bestand wat er uitziet als een MP3, speelt als een MP3, maar toch malafide code heeft die niks met een echte MP3 te maken heeft, want de exploit komt dan uit het videogedeelte.

* = Ik weet niet of dat dit nu 100% mogelijk, dit is speculatie aan mijn kant en om de mogelijkheden aan te geven.
ik denk dat je deze hebt gehad. getcodec/brisv.a

https://www.sophos.com/en...-A/detailed-analysis.aspx

Dus een combi van een Windows Media Player exploit met een wma bestand of exe bestand.

Zoals de bron dus al aangeeft is dit:
A.) totaal niet lucratief (meer) voor een potentiële hacker/programmer. Omdat DRM social enginering makkelijker is en meer oplevert.
B.) niet mogelijk met audiobestanden mp3, wav en flac zijn formaten die puur muziek afspelen en in een box.

[Reactie gewijzigd door LNDN op 17 april 2018 19:59]

Malafide Mp3. Knap als iemand je kan hacken met een mp3 die je afspeelt met een normale mediaspeler.
"Om gehackt te worden moet het een uitvoerbaar bestand zijn!"
Dat is een haast kinderlijk naieve kijk op zaken.

In het verleden is het al meermalen voorgekomen dat je gehackt kon worden via een website die niets anders deed dan je browser via CSS te instrueren een speciaal geprepareerd font te downloaden en te gebruiken om een stukje tekst te renderen.

Deze fonts waren speciaal ingericht om zwakheden in de font rendering engine(s) van Windows te exploiten, en via slimme geheugencorrupties het kernel geheugen zo te manipuleren dat het mogelijk was arbitraire code te injecteren en uit te voeren. Direct op kernel niveau.

[Reactie gewijzigd door R4gnax op 17 april 2018 20:37]

...zwakheden in de font rendering engine(s)...
Fonts zijn ook niet alleen maar plaatjes die uitgelezen worden en vergroot of verkleind, maar bevatten ook rendering instructies: vandaar dat er een rendering engine nodig om de instructies te lezen en te interpreteren. Dus is het een exploit die veel makkelijker te realiseren is dan met een mp3 zou kunnen.

Tenzij je een mp3 exploit kan vinden die hetzelfde kan zonder eerst nog uitvoerbare code te downloaden, acht ik mijn eerdere stelling bewezen.

[Reactie gewijzigd door LNDN op 18 april 2018 09:07]

[...]
Fonts zijn ook niet alleen maar plaatjes die uitgelezen worden en vergroot of verkleind, maar bevatten ook rendering instructies: vandaar dat er een rendering engine nodig om de instructies te lezen en te interpreteren. Dus is het een exploit die veel makkelijker te realiseren is dan met een mp3 zou kunnen.

Tenzij je een mp3 exploit kan vinden die hetzelfde kan zonder eerst nog uitvoerbare code te downloaden, acht ik mijn eerdere stelling bewezen.
En jij denkt dat een MP3 'magischerwijs' direct op jouw speakertjes aangesloten geluid naar buiten kan pompen? MP3 wordt ook door een decoder en daarna een (audio-)renderer heengehaald, die net zo goed exploiteerbare zwakheden kunnen bevatten.

[Reactie gewijzigd door R4gnax op 18 april 2018 19:40]

I stand (deels) corrected; het is wel mogelijk om shit uit te voeren via mp3 in de vorm van stagefright 2.0.

Een andere exploit kon ook op Windows, maar dat is als de mp3 encoded is in een filmbestand. Dus niet opzichzelfstaand.

[Reactie gewijzigd door LNDN op 18 april 2018 23:39]

Vergeet niet dat ik praat over het jaar 2000. Toen kon er nog meer met kazaa binnen komen...
Vergeet niet dat ik praat over het jaar 2000. Toen kon er nog meer met kazaa binnen komen...
Enige true mp3 "exploits" van vroeger die ik kan vinden in de exploit database zijn stack overflows en buffer overflows. Vastlopercode dus.

De enige exploit die ik kan vinden heeft te maken met Quicktime en is dit jaar gevonden.

http://www.gnucitizen.org/blog/backdooring-mp3-files/ (2018)

Maar hier ligt het probleem dus aan de uitvoering van Quicktime die toestaat dat er verwezen word naar een echte mp3 of virus. QT is gelukkig allang in de ban.
Andere programma's kunnen naar mijn weten niet geïnstrueerd worden om een mp3 te zoeken behalve bij een m3u bijv. (playlist file). En dan nog kunnen ze er niets mee behalve afspelen als muziek wat resulteert in kort glitchy geluidje.

Verder vind ik geen exploits die met puur een mp3 je pc kunnen hacken en payload afdroppen zonder gebruik te maken van een apart bestand die gedownload moet worden. (like i said before)
https://www.cvedetails.co...t/vendor_id-7480/MP3.html

En de rest is buffer en stack overflows (code om de boel vast te laten lopen in shitty geprogrammeerde 3rd party programmas).
https://www.exploit-db.co...tPSmwL_p8uiBL-j1jEQo31WAM
Zie bijvoorbeeld: https://www.cvedetails.com/cve/cve-2008-0065 (code execution via stack buffer overflow in WinAmp). Deze komt dan al uit 2008 ipv rond 2000, maar goed, ik heb dan ook niet lang gezocht.

Uiteraard moet er malafide payload naar de gebruiker gaan (via napster/kazaa/torrents, e-mail, advertenties of een website of wat dan ook) en de gebruiker moet "toevallig" een specifieke lekke player/viewer gebruiken. De payload werkt dus niet in 100% van de gevallen, maar dat betekent niet dat die nooit of niet vaak werkt.

Het mp3tje bevat in zo'n geval gewone data (muziek) en malafide data (code) die per ongeluk uitgevoerd wordt (vanwege het lek). Door de stack buffer overflow komt er data uit de mp3 op de uitvoerbare programmastack te staan en wordt de malafide code uitgevoerd. Als die vervolgens nog netjes terugspringt merk je er niet eens iets van en hoor je gewoon muziek, maar is ondertussen je PC wel geinfecteerd.

@raxon kan dus wel degelijk een virus binnengehaald hebben via een malafide mp3 die "uitgevoerd" is door een normale player (WinAmp bijvoorbeeld) met een lek erin. Dat de mp3 geen gevaar zou zijn in Windows Media Player (en misschien zelfs ook echt muziek laat horen) doet er dan niet zoveel toe.

Zo zijn er ook problemen geweest in image libraries (GDI op Windows bijvoorbeeld) en allerlei andere libraries en tools waarmee het allemaal mogelijk was/is om controle over een systeem te krijgen.

Kortom: dat die initiele payload niet op magische wijze bij het doel aankomt snapt iedereen, maar er waren en zijn manieren genoeg om dat wel voor elkaar te krijgen. Vervolgens kan ook een mp3tje wel degelijk uitvoerbare code bevatten die problemen oplevert omdat het een specifiek lek misbruikt, zonder dat het direct opvalt.
Zie bijvoorbeeld: https://www.cvedetails.com/cve/cve-2008-0065 (code execution via stack buffer overflow in WinAmp).
"in Ultravox streaming metadata"

Dit heeft te maken met Ultravox streaming. Niet direct met de mp3 decoding en afspelen zelf.
Ik heb vroeger een virus gehad en ben een keer gehacked geweest op mn oude werk. ik weet wat het is. Een klein gaatje naar root en je bent er. Het virus was zo erg dat mijn harddisk partities waren verwijderd, evenals mijn buurjongen die dat zelfde virus had (waarschijnlijk een malafide mp3 geweest). Best vervelend als je je verslag er op had gemaakt maar niet meer bij kan. gelukkig toen met heel veel geduld de boel kunnen terughalen van een harde schijf. (had de andere nodig om het op te slaan in die tijd...)

Daarnaast ben ik een keer gehacked geweest. helaas had de hacker alle code verwijderd en hadden wij toen nog geen goed backup beleid. waardoor enkele belangrijke scripts verwijderd waren (we deze opnieuw konden schrijven).

Een goede hacker komt wel binnen en probeert elke exploit op een machine uit om root te krijgen of enige toegang. Dus indien er 1 exploit nodig is om binnen te komen en een andere exploit nodig is om root toegang te verschaffen is ie er met slechts 2 exploits. waarschijnlijk heeft de hacker een script die honderden exploits heeft en deze 1 voor 1 op je computer af vuurt net zolang totdat ie binnen is. zolang er exploits zijn, zijn er hackers. hopelijk ben je gewoon niet het target van een hacker, dan is er niets aan de hand...
Artikel gelezen ?
Juist DAT zegt hij daar, laat de gebruiker het werk doen
Laat een app installeren ( volgens jou dus een mp3 )

Verder noem je een paar dingen, maar allemaal komen ze neer op één ding PEBCAK ...
Voorzover hij weet en kan oordelen.

Het is niet zo dat deze persoon alleenrecht heeft op exploits. Laatstaan dat hij een rits android zerodays (remote.of.local.root) gevonden heeft.

Het is jammer dat mensen om de verkeerde reden dingen gaan bagataliseren.

En vanuit risico perspectief gezien, ja de kans is.nihil dat iemand een 0day gaat vinden speciaal.voor.jou.

Maar als men bij je specifieke android telefoon wil komen hoeft men telefoon helemaal.niet aan te vallen. Via Google kun je er namelijk ook bij.
Wat hij zegt slaat natuurlijk specifiek op de aangeboden updates van Google en het wel/niet doorvoeren daarvan door fabrikanten.

Wat jij zet is meer een aanvulling er op dan een correctie. Niet bekende lekken kunnen altijd misbruikt worden want daar is ook door Google nog geen oplossing/patch voor uitgebracht.
Natuurlijk moet je mensen opvoeden, maar het nadeel hiervan is, is dat je het moet blijven doen. Mensen vergeten en er komen nieuwe mensen bij.

Er is behoefte aan een fundamentelere oplossing. Wat die is, weet ik niet, maar opvoeden is een lapmiddel voor een niet solide fundering.
als je kinderen neemt moet je ze leren zwemmen.. Elk kind dat je erbij krijgt moet je het weer leren..
Inderdaad, ik denk persoonlijk dat de groep van 25 tot 40 jaar het meest bewust is. Jongeren zijn te naïef en hebben vaak ergens gerust veel verstand van maar zijn hierdoor een kwetsbare doelgroep is omdat ze zichzelf misschien een beetje overschatten. Boven de 40 word de kennis van veel mensen gewoon minder wat de bekende uitdagingen met zich mee brengt.
Opvoeden is dus kansloos, lukt bij het gros van 50 jaar en ouder gewoon niet of nauwelijks en dit is wel de grootste groep in Nederland zo ondertussen.
Ik ben van mening dat de verantwoordelijkheid dus bij de app ontwikkelaar moet liggen.
Stel je voor, je hebt de ING bankieren app. ING kan denken, lekker belangrijk, we zetten de app in de Playstore en klaar.
Wat ook kan is voor/tijdens/na het installeren/updaten van de app de Android versie en bijbehorende security update bekijken.
Niet de meest recente security updates zou er voor moeten zorgen dat de app niet geïnstalleerd kan worden of gedeactiveerd word wanneer dit nodig is.
Technisch kan het, kost alleen tijd/geld/recources. En hier zullen ze dus wel geen zin in hebben.

[Reactie gewijzigd door dickydick666 op 17 april 2018 18:18]

Opvoeden een lapmiddel voor een niet solide fundering? Wat :? Opvoeding is juist de solide fundering. Net als dat voor fatsoen, wereldkennis etc. is hoort het omgaan met "persoonlijke tech producten"(of eigenlijk tech producten in het algemeen) tegenwoordig ook onder opvoeding te vallen. Het feit dat dit vaak niet wordt gedaan is geen reden om het maar als een lapmiddel te bestempelen.
Ja, normaliter wel, maar er moet een betere oplossing te vinden zijn voor technische problemen dan mensen opvoeden. Zeker aangezien niet iedereen over eenzelfde IQ beschikt, en het daarbij ook heel lastig is om iedereen "op te voeden" in het gebruik van techniek.
Natuurlijk is opvoeden maar een deel van de oplossing, maar we leren iedereen toch ook veters strikken, rekenen, lezen, schrijven en wat allemaal nog meer? Om dan het verschil in IQ aan te halen...Je kunt bijna iedereen om leren gaan met techniek, uitzonderingen daar gelaten natuurlijk. Net als dat gebeurd met de dingen die ik hiervoor opnoemde.

Dit gebeurd alleen veel te weinig, zowel van ouders als van maatschappelijke instanties. Oke van ouders kan ik het nog begrijpen; daar zit gewoon een grote generatiekloof. Om een voorbeeld te noemen: mijn broertje zit op de middelbare school. Er moest VERPLICHT een iPad aangeschaft worden voor hem. Maar informatie over hoe je zo'n ding veilig en fatsoenlijk gebruikt...ho maar. Daar mag best wel wat meer inzet getoond worden wat mij betreft.
Beetje standaard verhaal, dat is hacken in het algemeen. Een ingang vinden waar je vaak beperkte rechten hebt en dan verder zien te komen.
Je kunt bijvoorbeeld een goedkoop toestel voor YouTube gebruiken, maar je gaat er niet je gevoelige gegevens opzetten als de fabrikant een dergelijke uitspraak heeft gedaan.
en daar zit volgens mij een groot probleem. De gemiddelde gebruiker doet dit wél. Omdat ze zich niet bewust zijn. Of misschien zelfs ongemerkt. Een persoonlijke foto op whatsapp sturen/ontvangen is al genoeg. Of 'even' je mail ophalen. Dan kun je denken van "ach, zolang ik niet ga bankieren, is het prima", maar dat is niet zo. Bijna alles wat je doet op zo'n toestel wordt al heel snel heel persoonlijk en dus gevoelig.

[Reactie gewijzigd door woekele op 17 april 2018 15:12]

Met deze uitspraak lijkt hij afbreuk te doen aan het nut van zijn eigen onderzoek, waarin hij ontbrekende patches bij verschillende smartphonemakers identificeerde.
Ik vind dit een nogal vreemde uitspraak. Omdat er altijd een combinatie van lekken nodig is, is het onderzoek om die lekken te vinden minder waardevol? Natuurlijk is dat onderzoek nog steeds zeer waardevol, hoe minder lekker er zijn, hoe kleiner de kans tenslotte wordt dat er een combinatie van lekken te vinden is die daadwerkelijk misbruikt wordt.
Updates ontwikkelen is service. Service kost geld. Fabrikanten willen dat iets Geld oplevert en niet kost. Daar zit je probleem.

Kijk naar autonavigatie. Ingebouwd systeem van merk X. Nieuw navigatie dvdtje kopen bij de dealer: kassa. Hoelang ondersteunt? Paar jaar.

Kijk naar wat Motherboard heeft gepubliceerd over updates bij John Deere tractors. Het hele "right to repair" . De zaak is veel groter dan alleen updates. Het gaat om bescherming van je eigen producten met DRM, de klant verplichten om ondersteuning in te kopen en producten overbodig of niet bruikbaar meer maken waardoor de klant iets nieuws moet kopen terwijl het nog prima werkt. Omdat er geen updates zijn, moet je wel.

Ik hoop niet dat het tien jaar patchlevel van Windows ook eraan onderdoor gaat. Want die hoeven maar net 1 processor requirement in hun OS te bouwen en als jouw processor net die functie niet ondersteund kan je niet naar een volgend OS. Beetje hetzelfde als Qualcomm welke geen drivers meer beschikbaar stelde voor bepaalde soc's. Dus geen Android update meer.

Ik snap dat fabrikanten spullen willen verkopen maar het restrictieve beleid geeft juist meer problemen dan dat het oplost.

Kort samengevat: fabrikanten zullen support dus eerder verkorten dan verlengen, meer DRM toepassen en producten obsolete maken (zie slome iPhone's bij versleten accu).

Als de fabrikant updates moet leveren verzinnen ze wel een ander truukje om je te dwingen.
Ach dat hele update gedoe is massahysterie en marketing van voornamelijk Apple.
Noem eens een lijst op van vulnerabilities van de afgelopen 5 jaar die voor hacks en ellende gezorgd hebben.

Alleen de iphones met hun 'geweldige updates' hebben problemen met zelfs roottoegang dat WEL genoeg was om het toestel over te nemen. Is met Android nog niet gebeurt.
Wel ironisch dat iemand die een Google product verdedigt niet in staat is even Google te gebruiken:

https://gist.github.com/A...d70a778ca13a0087fa6fdfd80
En nog tig ander exploits. Oh: you’re welcome :/ :/
Onzin. Valt enorm mee met Android zoals ook dit artikel aangeeft.

Het zijn vooral de Apple fans die er mee te koop lopen dat apple vaker en langer update. Het is inmiddels bekend waarom en ook dat al die updates nog voor vele meer problemen zorgen.

Niet voor niets hebben ze bij Apple geroepen dat ze zich minder op ontwikkelingen gaan focussen en meer op kwaliteit en veiligheid.
Het zijn vooral de Apple fans die er mee te koop lopen dat apple vaker en langer update.
Niet alleen Apple fans. Ook fans van realiteit. Bijvoorbeeld Google. Die ook constant lopen te werken om een beter updatemechanisme in Android te krijgen ondanks de tegenwerking van de telefoonfabrikanten.
Het is inmiddels bekend waarom en ook dat al die updates nog voor vele meer problemen zorgen.
Ach hou op man je lijkt wel mijn computerfobe oom die blij is dat je met een Windows XP computer tenminste niet steeds dat update gezeik krijgt. Ten eerste is het een enorm zware taak voor ontwikkelaars en voor Google om applicaties en API's werkend te krijgen vanaf versie 5 t/m P (backporten gebeurt soms wel soms niet soms subtiel anders), die energie kan beter besteed worden aan functionaliteit waar de gebruiker wat aan heeft en een platform waar je makkelijker voor kunt ontwikkelen omdat het consistenter is.

Microsoft is niet voor niets overgestapt op een updatesysteem wat steeds pusht dat mensen op nieuwere versies zitten. Ondanks alle nadelen die er aan vast kleven heb je wel een homogeen en veilig platform. Als Google in staat was het te doen deden ze het ook meteen.

Geloof mij maar dat Android ieder jaar weer een stapje meer op iOS gaat lijken qua dichttimmeren van rechten voor applicatiebouwers en het lostrekken van het beheer van updates uit de handen van telco's en telefoonbouwers. Het hele model van updates in Android was kapot vanaf de start met als enige reden programmeurs, telco's en telefoonbouwers over te halen om aan de slag te gaan met een platform wat beloofde meer open te zijn. Nu wordt het met het jaar meer gesloten.
Ik hoor Apple fans nooit te koop lopen met de hoeveelheid updates. Wel dat oudere telefoons langer ondersteund worden.

Apple heeft security heel lang heel serieus genomen, maar er lijkt serieus na de dood van Steve een andere wind door Apple te waaien qua development. En het falen daarvan lijkt nu met iOS 11 geescaleerd te zijn. Dus nu eindelijk een pas op de plaats.

Dat Google ook die kant op gaat is alleen maar fijn. Ik ben een Apple gebruiker, dat betekent niet dat ik dan wil dat Android sterft, want concurrentie blijft ook wat mij betreft gewenst.
Ik dacht dat blueborne toch gewoon 1 lek was ? https://www.youtube.com/watch?v=Az-l90RCns8

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True