Google waarschuwt dat aanvallers zerodaykwetsbaarheid in Android misbruiken

Googles Project Zero-onderzoeksteam heeft aanwijzingen dat exploits voor een nog niet gedicht lek in Android actief misbruikt worden. De exploits werken op minstens achttien verschillende Android-toestellen, die er volledig mee overgenomen kunnen worden.

Het gaat om een privilege escalation-kwetsbaarheid met de aanduiding CVE-2019-2215 waarmee bepaalde Android-apparaten volledig over te nemen zijn. Google beschouwt de kwetsbaarheid als zeer ernstig en voor misbruik is enkel de installatie van een kwaadaardige app vereist. Ars Technica heeft aanvullende informatie.

Besmetting via websites is alleen mogelijk in combinatie met een andere exploit, die zich dan moet richten op Chromes renderer process. Niet elk Android-apparaat is vatbaar voor misbruik. De oorsprong ligt bij een use after free-kwetsbaarheid die begin 2018 in Linux-kernel 4.14 is gedicht. In de Android-kernels 3.18, 4.4, en 4.9 is de kwetsbaarheid vervolgens ook gedicht, maar de patches zijn om onbekende redenen geen onderdeel geworden van de beveiligingsupdates van Android.

Daardoor zijn bijvoorbeeld de Pixel 1 en 2 wel kwetsbaar, maar de Pixel 3 en 3a niet. Googles Project Zero stelt dat in ieder geval de Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, LG-smartphones met Android Oreo en de Samsung S7, S8 en S9 vatbaar zijn voor misbruik. Die lijst is niet uitputtend.

Het Project Zero-team heeft aanwijzingen gekregen van Googles Threat Analysis Group dat de NSO Group exploits levert die de kwetsbaarheid misbruiken. NSO is een Israëlisch bedrijf dat zich richt op de ontwikkeling van beveiligingstechnologie. Het bedrijf kwam in het verleden in opspraak door de ontwikkeling van Pegasus. Dit is malware die in 2016 werd ontdekt en die misbruik maakte van een zerodaykwetsbaarheid in iOS om iPhones leeg te kunnen trekken. Pegasus werd volgens Citizen Lab onder andere ingezet tegen mensenrechtenactivisten. In 2017 werd ook een Android-variant aangetroffen.

Van de nieuw aangetroffen exploit heeft Google nog geen sample, waardoor onduidelijk is hoe NSO deze inzet. Google dicht het lek in de Android-beveiligingsupdate van oktober, die waarschijnlijk ergens in de komende dagen uitkomt. Project Zero maakt het bestaan nu al bekend vanwege zijn exposurebeleid rond zerodaykwetsbaarheden. Zeven dagen na de melding aan in dit geval het Android-team gaat het beveiligingsteam over tot publicatie.

Lees meer

Reacties (75)

Anoniem: 100386
4 oktober 2019 10:50

Niet al de genoemde telefoons krijgen nog updates, de LG telefoons bijvoorbeeld niet. Kunnen eigenaren van die telefoons nog iets doen, behalve een nieuwe telefoon moeten gaan kopen?

En daarnaast; Ik lees dat de kwetsbaarheid wordt ingezet via Chrome. Als je firefox gebruikt, ben je dan ook vatbaar voor deze zeroday?

swhnld

@Anoniem: 100386 • 4 oktober 2019 11:13

2 vragen, 2 antwoorden:

- Als LG geen updates geeft, moet je of kijken of je over kunt op een alternatief als AOSP of Lineage waar wel updates voor komen. Of een nieuwe telefoon kopen die wel software ondersteuning nog krijgt.
- De Zero day loop via een lek in Chrome, dus Firefox (of een andere browser) kan een alternatief zijn, mits er in Firefox (of andere browser) geen ander lek zit wat misbruikt kan worden om bij deze Zero day te komen.

Finwe
@swhnld • 4 oktober 2019 13:01

Firefox helpt niet. Het lek zit niet in Chrome, maar in de binder IPC driver in de kernel. Iedere malicious lokale app kan dit exploiten. De volgende vraag is of een willekeurige malicious website deze exploit dan kan triggeren; in Chrome kan dat (mits je een renderer exploit hebt die je code execution geeft), maar in Firefox zeker ook: alle Android processen hebben toegang tot de binder driver waar dit probleem in zit.

Gondor
@Finwe • 5 oktober 2019 16:54

Wat je schrijft klopt niet helemaal.
Dit exploit kan alleen worden misbruikt door een kwaadaardige locale app.
Chrome bevat een ander exploit waarmee via een website dat eerste exploit kan worden misbruikt zonder een kwaadaardige locale app, dus Firefox gebruik zal wel helpen.
En dit heb ik gewoon hier gelezen.

Finwe
@Gondor • 5 oktober 2019 23:33

Waar is er meer informatie over die Chrome exploit dan? Het rapport van Project Zero praat er alleen over dat ze informatie hebben dat de
binder exploit via Chrome werd uitgebuit. Er staat nergens dat hij niet via Firefox uitgebuit werd. Wat ik eigenlijk probeer te zeggen: Firefox is niet inherent veiliger dan Chrome mbt deze bug: hij is net zo makkelijk uit te buiten met een renderer bug in Chrome als een renderer bug in Firefox, omdat alle Android processen toegang hebben tot de binder driver.

Als je gelooft dat Firefox minder renderer bugs heeft dan Chrome is dat een goede reden om Firefox te gebruiken, maar voor deze bug maakt het niets uit.

[Reactie gewijzigd door Finwe op 5 oktober 2019 23:34]

Gondor
@Finwe • 5 oktober 2019 23:50

Heb je dit nieuws artikel dan niet gelezen voordat je reageert? Staat in de derde paragraaf.

Finwe
@Gondor • 6 oktober 2019 13:10

Heb je de bron van dit artikel dan niet gelezen? De claim in de 3e paragraaf is onjuist. Iedere app met code execution heeft toegang tot binder. Of dit nou een local malicious app is, of via een Chrome renderer exploit, of via een Firefox renderer exploit.

[Reactie gewijzigd door Finwe op 6 oktober 2019 13:12]

Gondor
@Finwe • 6 oktober 2019 13:43

Ja, zo kan ik het ook, alle apps met een exploit kunnen worden misbruikt maar het gaat hier om dat het bij Chrome al bekend is welke en voor Firefox zou het ook kunnen gebeuren als een keer een exploit wordt gevonden. Dat maakt Firefox op dit moment veiliger dan Chrome voor dit specifieke geval.
.

Finwe
@Gondor • 6 oktober 2019 15:24

Als hij bij Chrome al bekend is kan je aannemen dat dat lek allang weer via een Play update gedicht is

Ik snap je punt, als er nog steeds een lek zit in Chrome dan is dat natuurlijk een attack vector voor deze bug, maar er kunnen net zo goed nog onbekende bugs in Firefox zitten die net zo goed daarvoor gebruikt kunnen worden. Ik vind het misleidend om te zeggen dat Firefox veiliger is alleen omdat Chrome ooit (?) gebruikt werd als attack vector voor deze bug. Renderer bugs komen helaas regelmatig in alle browsers voor.

dikkemuu
@Anoniem: 100386 • 4 oktober 2019 11:10

Een custom ROM flashen, hoewel dit voor de minder technisch aangelegde mensen wat lastiger zal zijn.

Johan9711

@dikkemuu • 4 oktober 2019 11:15

Custom kernel kan hier al voldoende zijn, kan je je stock rom behouden

dutchgio
@Johan9711 • 4 oktober 2019 13:31

Tegenwoordig is by default de bootloader gelocked, dus dat wordt voor een gemiddelde gebruiker echt wel een karwei.

Carharttguy
@dikkemuu • 4 oktober 2019 12:08

Die zijn echter niet voor alle toestellen beschikbaar. Zo loop ik hier ook nog met Android 7 die absoluut niet meer te upgraden is (Wileyfox Spark +)

EpicKip
@Carharttguy • 4 oktober 2019 12:57

Dat is echt een groot nadeel aan de onbekendere merken, die zijn vaak super voor de prijs maar niemand maakt hier custom roms voor dus is zelfs voor een tweaker de lifespan om te huilen. Ik zie dit ook met merken als Wiko, prima telefoons voor een prima prijs maar geen rom voor te vinden.

SpiceWorm
@dikkemuu • 4 oktober 2019 14:26

Zit je met custom roms niet met het punt dat dan geen automatische updates meer hebt (oké, uitgezonderd lineageOS).

dikkemuu
@SpiceWorm • 4 oktober 2019 16:31

Dat verschilt per developer en of ze het device ondersteunen. Een developer moet namelijk zijn eigen hosting opzetten om de updates OTA aan te leveren.

Tegenwoordig heb je ook OTA Update Center dat je gewoon kunt terugvinden in de Google Play store.

N8w8
@SpiceWorm • 4 oktober 2019 19:13

Als de fabrikant geen officiele update uitbrengt om dit probleem te verhelpen, zijn die automatische updates ook niet veel waard lijkt mij.

Kaasje123
@berchtold • 6 oktober 2019 16:05

Ja gelukkig hebben iPhone nooit ergens last van qua schandalig lang ongepatchte exploits waar al actief gebruik van wordt gemaakt.

nieuws: Kwetsbaarheden in iOS werden jarenlang gebruikt om iPhones te bespion...

The Zep Man

Google
Google Android
Beveiliging en antivirus

4 oktober 2019 10:45

De oorsprong ligt bij een use after free-kwetsbaarheid die begin 2018 in Linux-kernel 4.14 is gedicht.

Wat een reden is om van SoC fabrikanten te gaan eisen dat wat ze maken voor Linux onafhankelijk is van de gebruikte kernel versie. In de praktijk houdt dat in dat de broncode van de gebruikte kernel modules open-source moet zijn, want fabrikanten geven na een paar jaar (of eerder) al de brui eraan.

Zelfs als Android security updates ontvangt houdt dat niet in dat de gebruikte Linux kernel van een nieuwe versie voorzien wordt.

[Reactie gewijzigd door The Zep Man op 4 oktober 2019 10:47]

pepsiblik
@The Zep Man • 4 oktober 2019 11:12

Ik denk dat er weinig te eisen is. En al zou je dat lukken, dan gaat 90% van de gebruikers niet zelf een nieuwe kernel installeren.

The Zep Man

Google
Google Android
Beveiliging en antivirus

@pepsiblik • 4 oktober 2019 12:32

Ik denk dat er weinig te eisen is.

Ligt eraan. Als Google dat zou eisen, of fabrikanten van smartphones (door Google), dan is er best wel een kans.

En al zou je dat lukken, dan gaat 90% van de gebruikers niet zelf een nieuwe kernel installeren.

Klopt. Ik durf er zelfs 99 met heel wat negens na de komma van te maken.

Smartphone fabrikanten hebben dan echter wel de mogelijkheid om kernel updates uit te brengen, en kunnen niet meer naar de SoC bakker wijzen als excuus.

EpicKip
@The Zep Man • 4 oktober 2019 13:00

Google eist al wel dat de hardware aansturing van het OS gescheiden is als je een telefoon uitbrengt met 8.0 of hoger (vanaf release, dus als ze releasen met 7.0 en gelijk updaten naar 8.0 dan hoeft dit niet).

Dit heet Project Treble en hierdoor zou je AOSP op ieder Treble apparaat moeten kunnen installeren (dit zou dus ook de gemiddelde lifespan van devices moeten verbeteren).

--Andre--
@pepsiblik • 4 oktober 2019 11:15

Tenzij Google die pushed via de play store.

Ruw ER
@The Zep Man • 4 oktober 2019 11:41

Zelfs als Android security updates ontvangt houdt dat niet in dat de gebruikte Linux kernel van een nieuwe versie voorzien wordt.

Als Google de beveiliging serieus wil nemen, moeten ze het maar voor elkaar krijgen dat dit wel gebeurt.

slaay
4 oktober 2019 10:46

En nu wordt meteen de kwetsbaarheid van Android weer zichtbaar; veel toestellen krijgen geen of pas heel veel later een update.
Edit: ik bedoel dat je nu afhankelijk bent na het bekend worden van zo'n kwetsbaarheid of je überhaupt een update gaat krijgen voor je telefoon. Door het grote aantal merken en type Android toestellen is de kans klein dat een update snel uitgerold gaat worden.
Heb je bijvoorbeeld een Pixel, dan heb je geluk dat je vrij snel een patch krijgt.

[Reactie gewijzigd door slaay op 4 oktober 2019 10:56]

P1nGu1n

@slaay • 4 oktober 2019 10:47

Je reactie slaat nergens op. Dit betreft ook de Pixel 1 en 2 die op Android 10 zitten met de laatste security patch.

slaay
@P1nGu1n • 4 oktober 2019 10:52

Die toestellen hebben het voordeel dat ze vrij snel de patch krijgen. Maar heb je een toestel dat geen of niet zo snel een update krijgt dan ben je afhankelijk van hoe ernstig het lek is.

HellFury
@slaay • 4 oktober 2019 11:26

Bijna alle toestellen die Android draaien hebben iets dat Google Play Services heet. Deze kunnen dagelijks via de Play Store worden geupdate, en veel van dit soort security issues komen hierin terecht. Het feit dat al deze, niet-maandelijks up-to-date gemaakte apparaten lek zijn is dus niet per se waar.

Het updatebeleid van Android is niet perfect, maar het updatebeleid van Apple is soms ook raar. Waar bij Android zelfs het updaten gefragmenteerd is (alle apps gaan via de Play Store, Play Services, monthly security updates en dan de grote jaarlijkse update met zijn minor releaes), zou bij Apple nog wel eens mogen worden gekeken of bepaalde zaken ook buiten de OS-updates kunnen. Afgelopen week een update voor watchOS omdat een functie van één watchface niet goed werkt. Dat is dan ook wel weer echt 't andere uiterste.

Blokker_1999

Beveiliging en antivirus
Google

@P1nGu1n • 4 oktober 2019 12:02

En dan mag je gaan uitleggen waarom een bug die al sinds begin 2018 upstream is opgelost nog altijd in die toestellen aanwezig is. Alsook in toestellen die destijds wel, maar vandaag niet langer updates krijgen.

Anoniem: 315662
@slaay • 4 oktober 2019 11:03

Dat is inderdaad een beetje het nadeel van de keuze. Je bent vrij om een goedkopere telefoon te kopen, maar daarmee ook minder verzekerd van updates.

Maar ik ben nog steeds blij dat Android bestaat en we niet in een monopolie zitten. Begrijp me niet verkeerd, Apple verkoopt mooi spul, maar als Android niet zou bestaan zou het ongeveer een huis kosten en kon je de helft er mee van wat je nu kan.

Er zijn maar weinig mensen die het Android updatebeleid verdedigen denk ik, of in ieder geval met goede argumenten. Maar dat betekent niet dat het geen waarde heeft in de markt.

swhnld

@Anoniem: 315662 • 4 oktober 2019 11:23

Er zijn ook goedkope telefoons in de markt met een goed update beleid. Merken als Xiaomi en Nokia hebben voor al hun toestellen dat stukken beter op orde dan andere merken.

Verder werkt Google langzaam aan naar een steeds veiligere Android ontwikkeling door steeds meer los te koppelen wat fabrikanten doen en wat via updates via bijvoorbeeld de Play store kan.
Uitdaging hier, Android is open source, en iedereen kan er een eigen versie van maken zoals Amazon doet met hun Fire reeks, of Huawei nu doet voor de Mate 30 pro. Vanuit tech nieuws is het dan makkelijker om te praten over Android als ware het een systeem wat overal gelijk is, maar de werkelijkheid is gefragmenteerder. Spreken per fabrikant is ook lastig, want bijvoorbeeld Samsung heeft Android en Tizen telefoons.

En de realiteit is dat mensen er weinig om geven, naast mij zit een collega met een iPhone 4, die al lang geen beveiligingsupdates meer krijgt, maar zolang er op werkt wat hij wil.... en zo zijn er ook voorbeelden genoeg op Android telefoons te vinden. Er is namelijk nog steeds geen massale malware schade geweest die mensen bewust maakt van de risico's dat ze alles kwijt zijn dat ze lief is.

fapkonijntje
@swhnld • 4 oktober 2019 12:19

Goed om te weten dat de meerderheid van de Huawei en Honor toestellen op recentere kernels draaien, dus hier geen last van hebben.

CreatiXx
@Anoniem: 315662 • 4 oktober 2019 13:02

Waarom zou je bij een goedkoper toestel minder verzekerd moeten zijn op updates of dat maar moeten aannemen?

Of ik nu een 500€ laptop koop of één van 3.499€. Ik heb op beide toch 2 jaar garantie?

Of ik nu een smartphone koop van 79€ of één van 899€ of hoger, het zelfde verhaal toch?

Nee ik weet dat die updates niet mee in de garantie van je toestel zitten MAAR hier word wel bewezen dat ze de functionaliteit en beveiliging van je toestel zwaar beinvloeden en dit BINNEN de termijn waarbij de fabrikant functionaliteit moet kunnen garanderen.

Aankoop prijs van een toestel mag hierop toch geen invloed hebben imo.

jaenster
@CreatiXx • 4 oktober 2019 23:07

Je maakt de aanname dat updates onderdeel zijn van de een garantie? En vervolgens zelf je zelf ook dat het niet zo is.

Sorry, iedereen kan toch begrijpen dat als je het goedkoopste product pakt, er minder geld is voor service (in software land bekend als patches/updates)

Parrotmaster
@slaay • 4 oktober 2019 10:49

Je reactie was van toepassing als er niet ook toestellen met de laatste patches waren die last hebben van dit probleem.

MiesvanderLippe

@Parrotmaster • 4 oktober 2019 10:55

Dan laten we voor het gemak 'meteen' weg uit zijn reactie, en kijken we hier over een jaartje, misschien twee op terug.

Johan9711

@slaay • 4 oktober 2019 11:16

De beveiligingsupdates zijn bij de meeste Android devices wel op orde tegenwoordig. Feature updates daarentegen zijn wel een probleem.

Primal
@Johan9711 • 4 oktober 2019 23:47

Meen je dit nu serieus?

Het gebrek aan langdurige en consequente beveiligingsupdates is juíst een pijnpunt binnen het Android domein. Het overgrote deel van de fabrikanten geeft voor zijn low/midrange toestellen een jaar "updates" waarbij het in veel gevallen gaat om 1 óf 2 updates van het geheel en dan gaat de stekker eruit. Soms komen er zelfs helemaal géén updates. De highend toestellen worden in de regel een jaar langer voorzien van updates, maar dat is binnen de gebruikersmarkt een absolute niche. Heel veel mensen, en dan heb ik het dus níet over "tweakers" hebben een toestel van 3, 4, 5 jaar oud en die krijgen allang geen beveiligingsupdates meer. Hoe gaat dit dan opgelost worden? Of moet iedereen ieder jaar een nieuw toestel aanschaffen in de hoop dat ze er weer een jaartje tegenaan kunnen?

Tokkes
@slaay • 4 oktober 2019 15:00

Dit heeft niets met Android te maken, wel met fabrikanten als HTC, Samsung, LG, ... Die na een jaar soms pas, en heel soms gewoon helemaal geen updates uitbrengen. En die ene update in dat jaar is soms ook de enige die je krijgt. En dan gaan mensen afgeven op Apple met hun 'planned obsolescence' praktijken in de batterij?
Google doet tenminste nog moeite door security updates te scheiden van updates die de fabrikant moet uitbrengen maar ook dat zorgt weer voor enorme fragmentatie. Treble is hier weer een voortzetting van maar als je een paar miljard devices (/users) in lijn moet gaan krijgen krijg je dat ook niet op 3-4 jaar gedaan hoor.

Naafkap
4 oktober 2019 11:13

Hier wordt wel pijnlijk zichtbaar hoe de korte ondersteuningsduur van de meeste Androidtoestellen ervoor zorgt dat je binnen een jaar of twee je toestel kunt afschrijven. Uitzonderingen daar gelaten, maar over het algemeen is de ondersteuningsduur maximaal twee jaar.

Slechte zaak als je het mij vraagt. Of je telefoon na 2 jaar afschrijven of met gevaarlijke lekken rondlopen. Wat dat betreft heeft de concurrentie dat toch veel beter voor elkaar.

HellFury
@Naafkap • 4 oktober 2019 11:32

Ja, van die miljarden telefoons zitten er miljoenen tussen die niet veilig zijn. Je hoort dan ook dagelijks over inloggegevens die via Android worden buitgemaakt en ransomware op Android /sarcasme

Als dat probleem echt zo erg was geweest dan had je wel veel meer gehoord over deze problemen. Dit wordt waarschijnlijk deze week of volgende week gepatcht via Google Play Services of Play Protect zodat alle android-toestellen beschermd zijn.

Jay-v
@HellFury • 4 oktober 2019 12:17

Google play protect patched toch je kernel niet? Ik denk dat @Steven.w hier een punt heeft en dat je afhankelijk bent van de fabrikant om dit te dichten.

Finwe
@Jay-v • 4 oktober 2019 12:59

Google Play Protect kan echter wel apps scannen, en zien dat ze bepaalde handelingen uitvoeren die ongebruikelijk zijn. In dit geval is het een use-after-free in het binder IPC mechanisme, dat op een bijzondere manier aangeproken moet worden om te exploiten. Play Protect zou apps die binder op deze manier aanspreken in principe moeten kunnen detecteren.

Keypunchie
@HellFury • 4 oktober 2019 12:16

Dit wordt eerder gebruikt door inlichtingendiensten. Zoals met de iOS-lek eerder, die door Chinese overheid voor massa surveillance van Oeigoeren werd gebruikt.

DutchKevv
@Anoniem: 435630 • 4 oktober 2019 13:02

Nergens om maar Nederland heeft ook groot aandeel met het stuxnet verhaal

Bron:
nieuws: 'AIVD was met infiltratie cruciaal voor Stuxnet-sabotage Iraans kernp...

Met als moraal, dat happen weinig zin heeft want elk land heeft er voor & nadeel van.

Ook US gebruikt Android dus ook daar hebben ze last van een lek OS

[Reactie gewijzigd door DutchKevv op 4 oktober 2019 13:05]

kuurtjes
@Naafkap • 4 oktober 2019 12:30

Ik snap niet dat Google niet zo snel mogelijk een versie van Android heeft gemaakt die niet zelf door de fabricanten beheert hoeft te worden.

slogemann
@kuurtjes • 4 oktober 2019 12:44

Die bestaat en heet Android One.

Niet dat heel veel fabrikanten die gebruiken. Voornamelijk Nokia en sommige Xiaomi telefoons gebruiken het maar daar blijft het ook wel bij.

bilgy_no1
@slogemann • 4 oktober 2019 13:53

Motorola heeft er ook een aantal en daarnaast kleinere (lokale) fabrikanten als General Mobile en BQ. Er is best wat keuze, al lijkt alleen Nokia echte high end toestellen te maken met Android One.

Tonerider
@bilgy_no1 • 5 oktober 2019 09:58

Motorola One Vison en Nokia 8.1 hebben Android One.
Nokia 8.1 bevindt zich niet direct in het high end segment. Hij is momenteel te koop voor minder dan 300€.

EpicKip
@kuurtjes • 4 oktober 2019 12:55

Die is er al. OEMs willen alleen een eigen schil hebben (ipv. alleen een launcher willen ze van alles custom hebben), hierdoor moeten ze de patches mergen in hun eigen android variant.

Maar mocht een OEM gewoon stock android gebruiken dan zouden updates vele malen makkelijker moeten gaan. Helemaal als een device treble support heeft (hebben devices die met 8.0 uitkomen verplicht), dan is de hardware driver laag en het OS gescheiden en kun je dus "kale" AOSP updates op bijvoorbeeld een samsung apparaat installeren. Dit kan zonder dat je een custom rom nodig hebt waar ze eerst alle hardware aansturing in moeten bouwen.

derx666
4 oktober 2019 11:08

Ik hoop echt dat de Pixel 4 me gaat bevallen kwa toestel (en dat de prijs enigszins acceptabel is). Dat wordt dan zeker de vervanger voor mn S7.
Ik ben langzaam wel klaar met het altijd achter lopen met beveiligingsupdates. Ik kan helaas niet wennen aan IOS, anders was ik allang overgestapt naar een iPhone.

[Reactie gewijzigd door derx666 op 4 oktober 2019 11:09]

HellFury
4 oktober 2019 11:18

Ik kreeg vorige week ook ineens een melding dat de app Zedge (een app die ik al jaren op mijn telefoon heb staan voor ringtones) weleens kwalijke dingen kon doen. Nu is die app sowieso rommel, maar ik was in de veronderstelling dat apps van de Play Store zonder rare toestemmingen niet veel konden.

Vinnie2k

@HellFury • 4 oktober 2019 17:20

Oké, heb je een bron?

Erwin1967
4 oktober 2019 11:29

Hier wordt nogmaals duidelijk hoe belangrijk updates zijn voor een telefoon. Met een S7 ben je al gebonden aan kwartaalupdates die niet gegarandeerd zijn in de toekomst (de lijst met toestellen kan op elk moment door Samsung naar believen worden aangepast). Security updates moeten niet opgespaard worden tot een kwartaalupdate. Waarom gaat Google/Samsung niet over op hetzelfde systeem als bij Apple? Gewoon een complete update uitleveren zodat alle toestellen voor 5 jaar worden voorzien van de laatste software? Ik begrijp dat Samsung veel toestellen uitbrengt (keuze van Samsung) maar qua hardware features verandert de laatste paar jaar vrij weinig en een modulair opgebouwd OS moet dat makkelijk aankunnen. Nu krijgt de gebruiker een slecht ondersteund toestel en wordt gedwongen om steeds een nieuw toestel te kopen om maar veilig te kunnen werken.
Ik hoop vandaag of morgen nog een kwartaalupdate te krijgen (laatste was 1 juni 2019) waar deze kwetsbaarheid waarschijnlijk niet in zal zitten. Concreet moet ik dan wachten tot 1 januari 2020 (mits deze nog uitgerold gaat worden door Samsung).

ChAiNsAwII
@Erwin1967 • 4 oktober 2019 17:56

Is dat zo? Mijn s6 staat anders niet op de lijst maar google's eigen pixel phone wel

Dit toont eerder aan dat wat voor updates je wel of niet krijgt jezelf het meest verantwoordelijk bent voor je veiligheid en dat zomaar elke app erop en eraf gooien niet erg verstandig is omdat er altijd wel een exploit is die nog niet ontdekt is ongeacht welke versie android/ update je draait..

Jelledenkik
4 oktober 2019 11:07

Was er niet laatst nog een bericht waar Google met een grote vinger naar Apple wees omdat ze een "GIGANTISCH" lek hadden?

(OT: Nee ik ben geen Apple fanboy, gewoon heerlijk om te zien hoe er altijd zo wordt gewezen. Beide kampen mogen er zijn:) )

watercoolertje

Google
Google Android
Mobiele besturingssystemen

@Jelledenkik • 4 oktober 2019 11:26

En nu doen ze precies dat bij zichzelf?

Het is gewoon een onderzoeksteam die hun bevindingen deelt, je zoekt er dingen achter die er niet zijn...

Youssouf

@Jelledenkik • 4 oktober 2019 11:18

Eerlijk is eerlijk, Google wees niet met een grote vinger naar Apple. Ze publiceerden dat lek 'gewoon' zoals ze nu dit Androiddingetje ook doen.
Het grote wijzen kwam van sites, blogs en in forumreacties. Leuk om bij te houden nu hoe diezelfde mensen met het nieuwtje van vandaag omgaan.

Jelledenkik
@Youssouf • 4 oktober 2019 12:46

Oke fair point, ik had moeten zeggen "met een vergrote vinger".
Google gaf aan dat het lek "al jaren misbruikt werd" terwijl Apple aangaf dat dit "slechts" 2 maanden is geweest en bij een selecte groep personen.

(weer OT, grappig dat ik inmiddels al 15x een -1 heb gekregen, dit staat toch voor een "Flamebait, troll of belediging van een andere gebruiker?

)

bloq
@Jelledenkik • 4 oktober 2019 18:01

https://googleprojectzero...into-ios-exploit.html?m=1

Dit is de bron. Quote waar Google heeft gezegd dat het al jaren misbruikt werd. Ik zie het niet namelijk...

Wat ik zie is dat Google een aantal exploit-chains heeft gevonden waarmee de groep al sinds IOS10 de mogelijkheid had de iPhone te exploiten.
Apple komt volgens jouw bericht met de mededeling dat het een selecte groep was die kwetsbaar was en het lek maar voor 2 maanden misbruikt werd.

Beide kunnen gewoon kloppen en hoeven elkaar niet tegen te spreken. Uit het bericht haal ik ook dat het door Google gemeld is met een deadline, en dat Apple dit keurig gepatched heeft binnen deze deadline. Lijkt me een schone zaak?

De -1's ("ongewenst") zijn dus wel begrijpelijk. Dit is gewoon een onderzoeks team van Google welke dus naast IOS (en waarschijnlijk een rits andere systemen) ook kritisch naar eigen producten kijkt. De Apple-vs-Google discussie is dus niet echt gepast.

BarôZZa
@Jelledenkik • 4 oktober 2019 13:58

Dat klopt, Project Zero publiceert altijd over grote lekken. Bij het iOS lek waren er juist veel Apple-liefhebbers in de comments die eigenlijk vonden dat Project Zero daar niet over moest publiceren, met allemaal complottheorieën erbij dat het vooral was om Apple zwart te maken.

Nu blijkt wederom dat het lastig is om Project Zero van partijdigheid te betichten, omdat ze dus ook gewoon over Android lekken publiceren. Wat ook gewoon het juiste is om te doen. Het meest logische voor Google is om het Project Zero team alle vrijheid te geven om zoveel mogelijk lekken op te sporen. Als ze allemaal beperkingen zouden krijgen en een politiek spel moesten spelen, dan zou dat ze alleen maar tegenwerken.

Jorvs
4 oktober 2019 13:27

Het Project Zero-team heeft aanwijzingen gekregen van Googles Threat Analysis Group, die exploits levert aan de NSO Group. Dit is een Israëlisch bedrijf dat zich richt op de ontwikkeling van beveiligingstechnologie.

Wacht even. Project zero vindt aanwijzingen voor een exploit die door een andere tak van Google, de Threat Analysis Group verkocht wordt aan de Israëlische NSO group die Cyber intelligence tools maakt en verkoopt aan Intelligence agencies van praktisch elk land?
Dit klink mij een beetje als doelbewust vulnerabilties niet oplossen om deze eerst als zero day te verkopen.

BarôZZa
@Jorvs • 4 oktober 2019 14:02

Heel vreemd stukje inderdaad en volgens mij klopt het simpelweg niet.
Uit de originele bronnen duidt niets daarop:

https://arstechnica.com/i...ontrol-of-android-phones/
https://bugs.chromium.org...ero/issues/detail?id=1942

I received technical information from TAG and external parties about an Android exploit that is attributed to NSO group.

De exploit wordt verkocht door de NSO group, niet door TAG aan de NSO group. Dat zou totaal onlogisch zijn en tegen hun belangen ingaan. Google gaat natuurlijk geen Android exploits verkopen aan een partij die ze weer doorverkoopt.

Jorvs
@BarôZZa • 4 oktober 2019 14:25

Huh, is de tekst in het artikel nu aangepast? De zin is nu:

Het Project Zero-team heeft aanwijzingen gekregen van Googles Threat Analysis Group dat de NSO Group exploits levert die de kwetsbaarheid misbruiken.

Deze zin kan ook op 2 manieren geïnterpreteerd worden, mij leekt het dat TAG de exploits leverde. Maar ik neem aan dat de exploit verkocht wordt door NSO inderdaad. Dit zou inderdaad erg vreemd zijn anders.

Jerie

@Jorvs • 4 oktober 2019 14:00

Waaruit blijkt dat Google's Threat Analysis Group exploits levert aan de NSO Group?

J Z V
4 oktober 2019 12:42

Besmetting via websites is alleen mogelijk in combinatie met een andere exploit

Weten ze dan ook welke websites?
Als het anderstalige websites zijn hebben wij er misschien geen last van want wie surft naar een russische of chinese website?
En in combinatie met welke Exploit dan?

Kwaadaardige app??? Alle apps in de store hebbben toch een goedkeuring nodig?
De laatste jaren zijn er al vele problemen geweest met apps. Dure in app aankopen, privacyschending, enz.
De controle op Apps in alle appstores mogen ze ook wel eens gaan verbeteren.
Apple, Google, ... verbeter de wereld en begin met de appstores eens deftig op te kuisen.

[Reactie gewijzigd door J Z V op 4 oktober 2019 12:45]

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Google waarschuwt dat aanvallers zerodaykwetsbaarheid in Android misbruiken

Lees meer

Reacties (75)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden