Qualcomm Snapdragon-socs zijn kwetsbaar voor wifiaanval

Tencent heeft kwetsbaarheden ontdekt in Qualcomm-socs die het mogelijk maken om via de wifichip de modem binnen te dringen en vanaf daar toegang tot de kernel te krijgen. In ieder geval de Snapdragon 835 en 845 zijn kwetsbaar en mogelijk veel meer socs.

Tencents beveiligingsafdeling Blade beschrijft de drie kwetsbaarheden in een eigen advisory: CVE-2019-10539 maakt het mogelijk om via wifi een doelwit binnen te dringen, CVE-2019-10540 gaat over een bufferoverflow die toegang tot de modem mogelijk maakt en CVE-2019-10538 maakt de sprong van de modem naar de kernel mogelijk, waarmee het apparaat goed en wel 'gepwned' zou zijn.

Blade geeft geen details over hoe de exploits precies werken, aangezien updates nog niet volledig verspreid zijn. Blade heeft de exploits getest op de Pixel 2 en Pixel 3, die respectievelijk de Qualcomm Snapdragon 835 en 845 aan boord hebben. De onderzoekers noemen de kwetsbaarheden QualPwn en ze gaan er deze week meer over vertellen in presentaties op BlackHat en Defcon.

Qualcomm zelf erkent de kwetsbaarheden, maar spreekt niet over CVE-2019-10538. Die valt onder de opensource-Linux-kernel. Daarover schrijft Google wel, maar daarbij worden geen kwetsbare chipsets genoemd. Over de overige twee kwetsbaarheden stelt Qualcomm wel dat ze aanwezig zijn in veel verschillende Snapdragon-chipsets uit de 600- 700- en 800-series. Daarmee gaat het om talloze smartphones en tablets.

Google heeft de kwetsbaarheden weggewerkt in de 2019-08-01 beveiligingsupdate voor Android, maar het is aan fabrikanten zelf om nu zo snel mogelijk deze updates mee te nemen in hun eigen varianten van het besturingssysteem. Hoe lang dat duurt, verschilt per fabrikant.

Door Mark Hendrikman

Redacteur

Feedback • 06-08-2019 14:16
64 • submitter: michielRB

06-08-2019 • 14:16

64 Linkedin

Submitter: michielRB

Lees meer

Google Pixel 3 XL

vanaf € 205,-

Score: 4.5

Alles over dit product

Google Pixel 2 XL

vanaf € 699,59

Score: 4.5

Alles over dit product

Qualcomm belooft vier jaar Android-updates te ondersteunen bij komende socs Nieuws van 17 december 2020
Google Pixel 2

vanaf € 216,-

Score: 4.5

Alles over dit product

Google Pixel 3

vanaf € 186,37

Score: 5

Alles over dit product

Conferenties Black Hat en Def Con worden dit jaar virtueel georganiseerd Nieuws van 10 mei 2020
Gerucht: Snapdragon 865 is 20 procent sneller dan Snapdragon 855 Nieuws van 12 november 2019
Rechter: Qualcomm mag voorlopig patentlicenties blijven bundelen met chipverkoop Nieuws van 25 augustus 2019
Logitech komt in augustus met firmware-update voor kwetsbare Unifying Receiver Nieuws van 30 juli 2019
Bugs in iOS maken aanval zonder tussenkomst van gebruiker mogelijk Nieuws van 30 juli 2019
'Lek in VLC' blijkt in verouderde externe library te zitten Nieuws van 25 juli 2019
Onderzoekers vinden lek in VLC dat remote code execution mogelijk maakt - update Nieuws van 22 juli 2019
ESET ontdekt zeroday in Windows 7 die tegen overheidsinstelling werd gebruikt Nieuws van 11 juli 2019
Mozilla dicht sandbox escape-zerodaylek in Firefox Nieuws van 21 juni 2019
Meer producten en artikelen
Networking en security Smartphones Tablets Smartwatches Google Qualcomm Pixel Snapdragon

Reacties (64)

-Moderatie-faq
64
63
17
2
0
42
Wijzig sortering
Sebazzz
6 augustus 2019 14:28
Is dit een probleem in de hardware wat nu gepatcht wordt in software of is dit een puur driverprobleem?
MicBenSte
@Sebazzz6 augustus 2019 14:33
Als ik de weinige informatie goed begrijp, is dit een gecombineerd probleem, maar is het niet compleet duidelijk. Zie de timeline van Blade:

2019-2-14 Find the Modem debug vulnerability on MSM8998
2019-3-24 Find the WLAN issue and report to Google
2019-3-28 Google forwards the issue to Qualcomm
2019-4-24 Google confirms the WLAN issue as Critical
2019-5-08 Find the WLAN into Linux Kernel issue and report to Google
2019-5-24 Google confirms the WLAN into Linux Kernel issue
2019-6-03 CVEs assigned by Qualcomm
2019-6-03 Qualcomm notifies and issues fixes to OEMs
2019-6-17 Submit the full exploit chain (OTA -> WLAN -> Kernel) to Google
2019-8-05 Both Qualcomm and Google Android release security bulletins including these issues
2019-8-08 Public disclosure of vulnerabilities by Tencent Blade Team at BlackHat conference

Lijkt erop dat er een foutje dus zit in hoe de debug functie aangeroepen wordt (kan blijkbaar misbruikt worden), en een fout in WLAN.

EDIT: #1: Hm, WLAN probleem is een buffer overflow probleem - https://www.qualcomm.com/company/product-security/bulletins. Pijnlijk omdat het gaat om 'length checks' (en 1 count check) die lijken te ontbreken, met mogelijke gevolgen van dien.

EDIT: #2: Voor degenen die er meer verstand van hebben, de commit-fix mbt 10538 die gemaakt is (fix voor de 'sprong naar kernel', zoals Tweakers het beschreef)

[Reactie gewijzigd door MicBenSte op 6 augustus 2019 15:17]

ViveUtVivas
@Sebazzz6 augustus 2019 14:34
Bij Qualcomm wordt het aangeschreven als Firmware (software/driver) gerelateerd:
https://www.qualcomm.com/company/product-security/bulletins

Hoop dat de updates er snel zijn.
markievk
@ViveUtVivas6 augustus 2019 16:06
Idd. Hopelijk kunnen ze dit verwerken in de maandelijkse patches die bijvoorbeeld bij samsung voorkomen. Weet niet of andere merken dit ook al doen.
Gelukkig heeft mijn telefoon android One dus kwa updates zit ik goed :)
ViveUtVivas
@markievk6 augustus 2019 16:07
Heb het redelijk heb een OnePlus ben er goed te spreken over om de maand updates. Hoop dat er dan deze maand deze inzit ipv de security update van vorige maand.
Boeshnl
@ViveUtVivas6 augustus 2019 19:13
Ik niet. Mijn oneplus 7 zit nog steeds op de juni update.
Mayonaise
@Boeshnl6 augustus 2019 20:04
Heb ook vorige week pas een patch voor juni ontvangen. OP doet dit ongeveer driemaandelijks met 1 maand achterstand.
ViveUtVivas
@Mayonaise7 augustus 2019 08:56
Heb jij een oudere one plus dan? Ik heb een 6 die loopt op Juni nu nog maar deze maand komt er weer een update de laatste was van 25-6-2019
Mayonaise
@ViveUtVivas7 augustus 2019 20:51
Inderdaad, ik heb de 5t.
Vincent Kikkert
@Boeshnl6 augustus 2019 20:09
De OnePlus 7 Pro heeft de augustus patch in de nieuwe OxygenOS 9.5.11 update.

Voor de Pro gebruikers, als je hem nog niet binnen kan halen, VPN naar Duitsland heeft het voor mij gedaan.
OriginalSjoerd
@Vincent Kikkert6 augustus 2019 20:53
Bij mij is ie al een (paar?) dagen binnen zonder VPN.
Vincent Kikkert
@OriginalSjoerd6 augustus 2019 21:36
Dat kan, de updates worden via een staged roll out gedaan, volgens mij is Duitsland altijd wel iets eerder met de updates dan Nederland.
Boeshnl
@Vincent Kikkert6 augustus 2019 23:18
Laten we hopen dat ze de juli overslaan en gelijk naar de augustus patch gaan voor de normale 7 gebruikers
RebelwaClue
@Vincent Kikkert7 augustus 2019 09:44
Of gewoon Oxygen updater gebruiken (al stopt de developer ermee).
CH4OS
@ViveUtVivas7 augustus 2019 08:06
Zoals in de tekst staat, de fix zit in de 2019-08-01 security update van Google.
ViveUtVivas
@CH4OS7 augustus 2019 08:56
Ja maar niet altijd krijg je van one plus de meest recente soms die van de maand ervoor.
bilgy_no1
@markievk6 augustus 2019 19:20
Sony XZ3 hier en iedere maand uiterlijk binnen 2-3 weken de laatste update. Nog sneller dan de Xiaomi Mi A1 (Android One) van hiervoor... 8-)

[EDIT] 7 augustus:
Update staat klaar voor de XZ3.

[Reactie gewijzigd door bilgy_no1 op 7 augustus 2019 07:17]

bbob
@Sebazzz6 augustus 2019 14:56
Google heeft de kwetsbaarheden weggewerkt in de 2019-08-01 beveiligingsupdate voor Android, maar het is aan fabrikanten zelf om nu zo snel mogelijk deze updates mee te nemen in hun eigen varianten van het besturingssysteem. Hoe lang dat duurt, verschilt per fabrikant.
Zal dus neem ik aan ook driver te maken hebben aangezien iedere fabrikant schijnbaar eigen variant heeft die het moet wijzigen.
watercoolertje
@bbob6 augustus 2019 16:20
Er staat niet dat ze het moeten wijzigen, er staat dat ze het mee moeten nemen in hun eigen versie van het OS.
MicBenSte
6 augustus 2019 14:29
Sinds wanneer is Tencent actief in de beveilingingsbusiness? Die nota heb ik gemist dan... En 'Qualpwn'? *facepalm* Dat.... is een bizar slechte naam, proberen ze edgy ofzo te zijn?

Hopelijk fixt Qualcomm het bij de volgende socs iig qua design dat deze vulnerabilities niet meer voorkomen. En eerlijk dat ze het niet alleen erkennen, maar ook aangeven dat het in meer socs voorkomt.
Tomino
@MicBenSte6 augustus 2019 14:36
Het is toch niet opzienbarend dat het derde grootste internetbedrijf ook zelf hunt naar kwetsbaarheden. Tencent maakt nota bene ook zelf hardware, software en consumentenproducten.

Het team heet overigens Tencent Blade:
Tencent Blade Team was founded in 2017 by Tencent Security Platform, focusing on security research in the frontier technologies such as artificial intelligence, Internet of Things, mobile Internet, cloud virtualization technology, and blockchain. We have reported more than 200 security vulnerabilities to companies such as Apple, Amazon, Google, Microsoft, and Adobe. In the past two years, team members have been on the stage of top security conferences such as BlackHat, DEFCON, CanSecWest, HITB, POC, XCon, CSS. At the same time, Tencent Blade Team has established close cooperation with Tencent’s major business teams to promote the security of Tencent products and create a safer Internet ecosystem.
Daarnaast is het gebruikelijk dat aan dergelijke kwetsbaarheden een naampje gehangen wordt. Goed voor de zichtbaarheid (zeker met oog op de BlackHat en Defcon(ferenties)).

Het moet nog blijken hoe de kwetsbaarheid in de werkelijkheid ook gebruikt kan gaan worden, zelf spreken ze over:
(2) What is the impact of this vulnerability?
In some circumstance, the Android Kernel could be compromised by attackers over-the-air.
dehardstyler
@MicBenSte6 augustus 2019 14:35
Sinds wanneer is Tencent actief in de beveilingingsbusiness? Die nota heb ik gemist dan...
Je kunt beter opnoemen waar ze niet in zitten. :P Het is een beetje de Google van China.
En 'Qualpwn'? *facepalm* Dat.... is een bizar slechte naam, proberen ze edgy ofzo te zijn?
Dit is de eerste keer dat je de naam van een hack ziet op internet?
MicBenSte
@dehardstyler6 augustus 2019 14:37
Nee, maar meeste 'exploits' krijgen nog een naam die enigzins 'toonbaar' is om het zo maar te zeggen wanneer ze bekend gemaakt worden. Qualpwn doet me denken aan l33ttaal, iets wat ik niet verwacht zomaar van professionele researchers maar eerder van grayhats en blackhatters.
Xtuv
@MicBenSte6 augustus 2019 16:01
Het geven van hippe namen aan kwestbaarheden is juist een trend die al jaren aan de gang is. Daar schreven we in 2017 nog een achtergrondartikel over: reviews: Krack, Venom, Ghost en Shellshock: de zin en onzin van 'branded bugs'

Een beetje 13375p34k is het wereldje ook niet vies van. De naam van de grootste jaarlijkse hackingcompetitie is Pwn2Own.

[Reactie gewijzigd door Xtuv op 6 augustus 2019 16:04]

Jeebus
6 augustus 2019 14:31
Ik vind het toch wel zo'n bullshit dat er weer gewacht moet worden op de fabrikanten. Waarom kan Google niet gewoon updates uitvoeren aan het basis-besturingssysteem. Laat de fabrikanten dan maar een eigen skin in de vorm van een launcher bouwen. Dit moet toch sneller kunnen lijkt mij.
motormuis
@Jeebus6 augustus 2019 14:33
De nokia 7.1 (android one) krijgt gewoon iedere maand updates, het kan dus wel. Moet je wel het goede toestel kiezen....
Finger
@motormuis6 augustus 2019 14:38
Heel veel merken doen dit al prima hoor, daar heb je geen One versie voor nodig. Op mijn op6 krijg ik ook maandelijks mijn updates en de huawei van mijn dochter ook.
Miglow
@Finger6 augustus 2019 14:53
Mijn 6T dan zo'n beetje om de maand :?
Finger
@Miglow6 augustus 2019 15:01
Ik krijg ze maandelijks en soms vaker maar misschien omdat ik de beta draai? Die keren dat ik ze vaker krijg zit er natuurlijk geen beveiliging update in.

[Reactie gewijzigd door Finger op 6 augustus 2019 15:02]

Randomguy369
@Finger6 augustus 2019 15:42
Vaak zitten de beveiligingsupdates er wel in hoor. Google brengt elke maand een nieuwe beveiligingsupdate uit. Als je niet in de beta zit krijg je de updates later of sla je een versie over.
Ethelind
@Miglow6 augustus 2019 15:12
Hier ook om de maand met de 6T, opzich best prima, ik ken fabrikanten die doen het om het half jaar.
Samsung bijvoorbeeld, of ja, Sony...
djack
@Jeebus6 augustus 2019 14:35
Dat is het idee achter Android One.
Gaat alleen nog een hele tijd duren voor alles en iedereen op Android One zit.
Tot op heden konden leveranciers zo wat doen wat ze wilde op Android. Dit zorgt er voor dat vaak Android telefoons niet up to date zijn omdat het meer dan alleen maar de skin is dat aangepast moet worden.
GekkePrutser
@djack6 augustus 2019 16:27
Het idee van Android One was niet dat elk toestel daar op gaat komen. Het idee is om 'schone' android te promoten als platform. En dat de voordelen hiervan gebruikers overtuigen zodat het steeds een groter ding wordt. De meeste fabrikanten hebben wel een Android One toestel in het assortiment maar echt superpopulair zijn ze niet.

Het probleem is dat de leveranciers hun aanpassingen juist als een toegevoegde waarde zien. Veel functies van bijvoorbeeld een samsung telefoon zijn een combinatie van hard- en software. Als ze dit uit handen geven dan kunnen ze alleen nog maar concurreren op hardware. Ik snap het ook wel een beetje: Als ik een Samsung S toestel in de MDM enrol als 'device owner' (COBO) mode dan verdwijnt alles wat het een Samsung maakt er vanaf en is het opeens een heel ander toestel.

Ik zou ook graag zien dat de leveranciers wat minder controle krijgen over het platform (denk aan dealtjes met apps die je niet kan verwijderen) maar echt snel zie ik het niet gebeuren. Ik denk dat dat pas met Fuchsia komt omdat Google daarmee terug naar de tekentafel kan en niet meer zo vast zit aan de status quo.

[Reactie gewijzigd door GekkePrutser op 6 augustus 2019 16:29]

jurroen
@Jeebus6 augustus 2019 14:50
Helaas is het in de praktijk niet zo eenvoudig. Google kan dit met Treble / Android One mogelijk aan de OS kant oplossen. Maar gezien de beschrijving van het probleem, kan het zijn dat er ook geupdate drivers/firmware nodig zijn. En juist dat maakt het enorm complex.

Google is de ontwikkelaar achter Android, maar levert ook zelf telefoons (voorheen de Nexus lijn, tegenwoordig de Pixels). Voor hun eigen telefoons kunnen ze redelijk eenvoudig de zogenaamde monthlies vrijgeven. Voor andere fabrikanten, zoals Samsung, HTC, Sony, etcetera, leveren ze de updates aan het OS. De fabrikant bundelt het vervolgens met de updates voor de drivers/firmware en pusht het naar haar gebruikers toe.

Technisch gezien is het enorm complex om dit gehele proces door Google te laten verzorgen. Die moeten ofwel heel veel ROMs bakken iedere maand, ofwel een mega-update vrijgeven met daarin alle mogelijke drivers/firmware updates. Dat kost onnodig veel bandbreedte en lijkt het aannemelijk dat het qua ruimte niet eens kan op de meeste telefoons.

En last but not least: chipbakkers als Qualcomm maken afspraken met de fabrikanten (Samsung, HTC, Sony, etc) over de support. Dat model zou ook helemaal op de schop moeten als Google de volledige baseline gaat verzorgen.

Het is interessant om te zien of de Librem 5 van Purism deze waanzinnig complexe realiteit kan gaan veranderen. Of daar in ieder geval een begin aan kan maken.
todhoward
@jurroen6 augustus 2019 15:44
Het is interessant om te zien of de Librem 5 van Purism deze waanzinnig complexe realiteit kan gaan veranderen. Of daar in ieder geval een begin aan kan maken.
Eerlijk gezegd heb ik weinig vertrouwen in Linux Smartphones, ik hou van de OS, gebruik bijna niks anders, dankzij DXVK is het beter als ooit te voren voor gaming, code schrijven is altijd al fantastisch geweest maar voor smartphones? We zijn hier al een paar keer geweest met weinig succes (Ubuntu heeft zelf hun Ubuntu Touch stopgezet).

Ergens denk ik meer dat de oplossing komt van Google hun Fuchsia Project, lekker eens iets anders dan monolethic/hybrid kernels van zowat elke OS op dit moment :P
K-aroq
@jurroen6 augustus 2019 15:00
Nu zie je meteen het voordeel dat Apple heeft doordat ze alles in-house ontwerpen. Open(er) systemen zijn leuk, maar er zitten ook wel nadelen aan. Zoals te veel openheid, die zorgt voor bijna oneindig veel mogelijke combinaties.
watercoolertje
@K-aroq6 augustus 2019 16:29
Draai het eens om:
Geslote(nere) systemen zijn leuk, maar er zitten ook wel nadelen aan. Zoals te veel geslotenheid, die zorgt voor maar enkele mogelijke combinaties (lees: keuzes).
De grap is dat door die vrijheid/openheid Samsung/Huawei bijv veel meer telefoons verkopen die hier geen eens last van hebben want die gebruiken die chips die er last van hebben juist niet (door de vrijheid). Problemen die alle telefoons met Android hebben komen juist omdat die onderdelen/code gemeen hebben met elkaar, en dus juist door het gebrek aan diversiteit :)

[Reactie gewijzigd door watercoolertje op 6 augustus 2019 16:32]

P. vd Loo
@watercoolertje7 augustus 2019 13:43
Sterker nog, als dit lek bij Huawei ontdekt zou zijn, dan is het een backdoor. Nu is het een lek.
pepsiblik
@K-aroq6 augustus 2019 15:27
Het beperkt alleen ook de keuze vrijheid. Je kunt kiezen uit een paar toestelen en je moet het maar net eens zijn met de keuzes die Apple maakt. Als je wat anders wilt dan wat Apple biedt, dan kan dat niet. Dan moet ik zeggen dat ik liever het Android eco-systeem heb dan dat van iOS.
MicBenSte
@Jeebus6 augustus 2019 14:35
Aangezien sommige fabrikanten dusdanig veel aanpassingen door voeren dat het basissysteem niet zomaar geupgrade kan worden (Samsung bv, helaas). Als daar iets fout gaat, kan het zomaar gebeuren dat een boel mensen nog steeds kwetsbaar zijn, terwijl wel de exploit bekend is. Daarom wacht je.
Bomberman71
@MicBenSte6 augustus 2019 14:42
En wat wachten we nou daadwerkelijk ?
2 jaar oude Samsung Note 8 en krijg nog vrijwel maandelijks security updates. Snel zat lijkt me en de eerste massale exploits op Android moet ik nog zien.

Beetje de Stagefright hype destijds, allemaal laboratoria hacks die in de praktijk niet echt uitvoerbaar zijn.
swhnld
@MicBenSte6 augustus 2019 14:44
Ik heb nu bijna 2 jaar een Samsung Note 8, en elke maand gewoon de security updates gehad en ook ook de versie upgrade naar Android 9. Van hun budget toestellen uit de J serie 2015 of zo weet ik dat het maar eens in de zo veel maanden was dat ze een update uitbrachten, maar mijn ervaring op dit moment is wel goed.
Loggedinasroot
@MicBenSte6 augustus 2019 14:58
Dit is met project Treble sinds Android 7 of 8 niet meer van toepassing toch?
MicBenSte
@Loggedinasroot6 augustus 2019 15:00
Zo goed hou ik het ook weer niet bij - maar er zijn nog genoeg Android 6 en lager telefoons 'in het wild' tot zover ik weet (vooral budget telefoons). Genoeg mensen blijven kwetsbaar.
GekkePrutser
@Loggedinasroot6 augustus 2019 16:32
Jawel.. Treble maakt het alleen makkelijker voor leveranciers om updates te releasen maar ze moeten er nog steeds werk voor doen. Het standaardiseert het een en ander maar het betekent niet dat je updates nu direct van Google komen ofzo.
theduke1989
@Jeebus6 augustus 2019 14:48
Maar dit is vanuit de hardware boer en niet software boer Google / Fabrikant.

Als een auto een "dieselpomp" speciale uitvoering niet 100% correct werkt omdat de firmware niet goed is. Dan kan je toch niet bij de dealer aankloppen he, doe gauw eens een auto update uitvoeren. Dat werkt niet zo.
fastedje
@Jeebus6 augustus 2019 19:32
Het grootste probleem zijn proprietary drivers icm de linux kernel. Helaas moeten drivers altijd samen met dezelfde kernel worden gebouwd en geleverd (ze moeten binary compatible zijn https://en.m.wikipedia.org/wiki/Binary-code_compatibility) Als fabrikanten die sources niet aan google willen leveren ivm intellectueel eigendom dan gaat een nieuwe kernel niet werken, iets wat heel jammer is maar volgens mij echt 0 prio heeft binnen de opensource linux kernel community.

Verder vraag heeft google ook niet goed over dit scenario nagedacht, al zoude alle drivers bij google beschikbaar zijn.

Dit probleem met proprietary drivers is helaas ook een bekend linux probleem
tweakkjoost
6 augustus 2019 15:08
OnePlus 7 pro met OxygenOS 9.5.11 heeft deze beveiligings patch al. Zeer vlot van OnePlus.
djmexxc
6 augustus 2019 14:30
Opvallend dat het een chinees bedrijf is die dit naar buiten brengt.
Moeten die dit niet eerst bij hun eigen overheid melden?

Om deze rede is het ongelimiteerde data abbo wel handig je hoeft nergens meer met wifi te verbinden.
dehardstyler
@djmexxc6 augustus 2019 14:37
Nou inderdaad ja! Misschien zijn ze er vanuit gegaan dat het een Amerikaanse backdoor is en het daarom expres naar buiten gebracht, zodat de VS die backdoor niet meer heeft?

*zet aluminiumhoedje weer af*
tapkcir
@dehardstyler6 augustus 2019 14:53
Dat zou best kunnen natuurlijk. Geen idee. Voor de gewone man niet uit te zoeken dus irrelevant. Voor de gewone man betekent het simpel 1 of meer partijen die op je telefoon lopen te klooien meer :).
todhoward
6 augustus 2019 14:55
Over de overige twee kwetsbaarheden stelt Qualcomm wel dat ze aanwezig zijn in veel verschillende Snapdragon-chipsets uit de 600- 700- en 800-series. Daarmee gaat het om talloze smartphones en tablets.
De 600 en 800 series bestaat al sinds 2013, er zullen dus wat apparaten tussen zitten die al lang EOL verklaard zijn en de minder technische mens die deze nog gebruikt zal van niets weten, hebben we geen EU Wet dat de manufacturers een push notificatie moeten sturen of dergelijke als ze geen updates meer doen op een apparaat dat een beveiligingsrisico kan vormen?
hoi1234
@todhoward6 augustus 2019 15:26
'T is de vraag of dat iets gaat helpen.
Ik zie twee mogelijkheden:
- persoon (vooral oudere) raakt in paniek, omdat er opeens -uit het niets- een melding komt

- persoon gaat rustig verder met het gebruiken van verouderde (en vooral onveilige) hardware, want wat kan er nou gebeuren? "Ze hebben toch niks te verbergen".

Misschien ook een derde optie, ze ondernemen actie, maar groep 1 en groep 2 zijn best groot.

Eigenlijk ook van de gekke dat we iedere 2-3 jaar een nieuwe telefoon nodig hebben, terwijl de oude nog prima werkt. De telefoon van m'n vader is 5 jaar oud of zo. Helaas kan hij hem niet meer gebruiken, doordat de ING android 5 vereist voor de applicatie. Accu werd inderdaad heel veel minder, maar voldeed nog wel. Verder was de telefoon perfect voor m'n vader. Tuurlijk, ergens moet een grens gelegd worden, maar 2-3 jaar is veel te kort. Op deze manier vervuilen we wel heel erg.

gelukkig heb ik een OP6 die eigenlijk altijd rond het midden van de maand de maandelijkse beveiligingsupdates krijgt.

[Reactie gewijzigd door hoi1234 op 6 augustus 2019 15:28]

todhoward
@hoi12346 augustus 2019 16:25
'T is de vraag of dat iets gaat helpen.
Ik zie twee mogelijkheden:
- persoon (vooral oudere) raakt in paniek, omdat er opeens -uit het niets- een melding komt

- persoon gaat rustig verder met het gebruiken van verouderde (en vooral onveilige) hardware, want wat kan er nou gebeuren? "Ze hebben toch niks te verbergen".

Misschien ook een derde optie, ze ondernemen actie, maar groep 1 en groep 2 zijn best groot.
Aan de andere kant weten ze nu gewoon van niks, liever paniek dat ze dan misschien nog iets doen (naar de winkel ermee ofzo) dan al die oude apparaatjes die kunnen misbruikt worden in een of ander botnet. (En die tweede groep moet het maar zelf weten :P)
Eigenlijk ook van de gekke dat we iedere 2-3 jaar een nieuwe telefoon nodig hebben, terwijl de oude nog prima werkt. De telefoon van m'n vader is 5 jaar oud of zo. Helaas kan hij hem niet meer gebruiken, doordat de ING android 5 vereist voor de applicatie. Accu werd inderdaad heel veel minder, maar voldeed nog wel. Verder was de telefoon perfect voor m'n vader. Tuurlijk, ergens moet een grens gelegd worden, maar 2-3 jaar is veel te kort. Op deze manier vervuilen we wel heel erg.
Erger nog, huidige smartphones laten je amper nog aan de batterij komen, en lithium ion degradeerd al over 2-3 jaar in gebruik of niet, sneller als je hem hevig gebruikt (maar tussen de 300-500 full charges, charge per dag en dat ding gaat nog geen 2 jaar mee).
Is inderdaad schandalig hoe snel die apparaten hun support verliezen, zeker gezien hoe de high end gsms van 3 jaar geleden nog even sterk in hun schoenen staan qua specs als de mid-range gsms van vandaag (spreken we zelf niet eens van low end gsms).
hoi1234
@todhoward6 augustus 2019 16:41
Dat de batterij niet vervangbaar is, is inderdaad erg jammer. Maar als je niet één of ander vaag merk koopt, kun je na een paar jaar deze nog laten repareren. Bij oneplus kun je zelfs een 5 jaar oude OP1 nog laten repareren. Daar kost een nieuwe batterij 15,10 excl. BTW.

Nou ja, heb bij student aan huis gewerkt. Daar kreeg je vaker van die paniekouderen... Het is niet alsof die toestellen dan vervangen worden. Want zelfs een budgettoestel uit 2011 werkt bij wijze van spreken nog prima volgens die oudjes... Het is alleen om X te doen en daar hebben ze naar hun eigen mening niks nieuws voor nodig. Ik heb ook weleens een winXP laptop gehad vorige zomer, of iets minder erg een Windows Vista computer, een paar maanden geleden. Ze weten dat het niet veilig is, maar doen er niks mee.
brammieman
@hoi12346 augustus 2019 22:20
Ik vind Windows een ander verhaal.
Op Android is tot nu toe met alle grote security issues nog nooit echt een groot probleem geweest. Geen hordes bejaarden waarvan de bankrekening geplunderd is, geen grote foto leaks van duizenden toestellen, enz.
Dus ja, security updates tijdig ontvangen is fijn voor het gevoel en vast in extreme situaties ook noodzakelijk. Voor opa Jan maakt het in de praktijk eigenlijk geen ruk uit.
Ruw ER
6 augustus 2019 15:50
Nu kijken welke fabrikanten te laks zijn om deze beveiligingsupdate naar haar maximaal 2.5 jaar oude telefoons te sturen (snapdragon 835), al zullen er vast meer chipsets kwetsbaar zijn. Ik zit iig nog niet op augustus (asus zenfone 6, snapdragon 855).
jqv
@Ruw ER6 augustus 2019 16:31
Aangezien het pas 6 augustus is, zullen de meeste toestellen nog niet bijgewerkt zijn als de fabrikant trouw is aan deze updates.
De Nokia van mijn zoon meestal rond 20 augustus en mijn Galaxy S8+ 1 a 2 dagen later pas.

Als heeft mijn telefoon geen Snapdragon...
Tusk
6 augustus 2019 16:29
Wat is het praktisch gevaar van deze kwetsbaarheid? Hoe en wat kan een kwaadwillende nou doen bij de desbetreffende telefoons?
jqv
6 augustus 2019 16:29
!
Hoe lang dat duurt, scheelt per fabrikant
Als het bij sommige toestellen al gebeurt. Dit gaat dus bij enkele fabrikanten en bij vele toestellen dus niet gebeuren.
space-diver
6 augustus 2019 17:55
Ah dat was de reden dat ik gisteren een update had voor mijn oneplus.
In de lognotes:update android security patch 2019.08.
Netjes die fabrikanten die de klant voorop hebben staan
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee