Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Security-onderzoekers vinden out-of-the-boxkwetsbaarheden bij 29 Android-merken

Security-onderzoeksbedrijf Kryptowire heeft opnieuw een round-up gemaakt van kwetsbaarheden die out of the box aanwezig zijn in Android-telefoons. Het gaat om 146 cve's op toestellen van 29 verschillende fabrikanten.

De telefoons komen veelal van kleinere namen als Lava, Tecno en Coolpad, maar ook grote namen Asus, Samsung, Sony en Xiaomi staan in het lijstje. De kwetsbaarheden maken in een op de vijf gevallen het uitvoeren van commando's mogelijk en bijna een kwart maakt het installeren van apps mogelijk. Verder openen de kwetsbaarheden deuren voor audio-opname, het veranderen van instellingen met betrekking tot de radio en het aanpassen van systeeminstellingen.

Samsung heeft volgens Kryptowire 33 kwetsbaarheden, die voortkomen uit zes voorgeïnstalleerde applicaties. Twee van die zes applicaties worden door externe partijen ontwikkeld en Samsung wijst het bedrijf door naar die ontwikkelaars, zo schrijft Wired, dat met Kryptowire en Samsung sprak. Wat de overige vier betreft, stelt Samsung dat het Android Security Framework de kwetsbaarheden opvangt, maar Kryptowire houdt vol dat aanvallen door derden in de supply chain nog steeds mogelijk zijn.

Bij Asus is de nummer vijf populairste smartphone, de Zenfone 4 Max, betrokken, bij Samsung gaat het om de Galaxy S7 en veel modellen uit de J- en A-series, en Xiaomi's op een na populairste telefoon uit de Pricewatch, de Mi A3, is ook getroffen.

Het feit dat het om voorgeïnstalleerde apps gaat, betekent vaak dat deze niet zomaar te verwijderen zijn. Een tweaker zou nog wel weten hoe hij of zij een system app toch uit het systeem weet te krijgen, maar de gemiddelde Android-gebruiker zal dit niet gauw lukken.

Wired schrijft dat het onderzoek gefinancierd is door het Amerikaanse Department of Homeland Security. Het is niet de eerste keer dat Kryptowire hiermee naar buiten komt. Een jaar terug deed het hetzelfde, toen waren telefoons van LG en ZTE ook betrokken.

Door Mark Hendrikman

Nieuwsposter

17-11-2019 • 14:37

92 Linkedin Google+

Reacties (92)

Wijzig sortering
Ik vind het een goed idee dit te onderzoeken, maar Out of the box op een Samsung S7, wat is de status nu bijna 4 jaar later met die bugs qua updates, dan wel waren ze bekent toen het toestel uitkwam? En waarom is er niet gekeken naar de S10?
En waar vind ik een lijst met de geteste toestellen?

Daarbij, de Xiaomi Mi A3 wordt ook genoemd als onder risico out of the box, maar die heeft Android One, zou dat niet ondertussen allang gepatched moeten zijn?
De lijst staat gewoon in de link naar het artikel op Kryptowire: https://www.kryptowire.com/android-firmware-2019/
Het lijkt erop dat uit de S serie alleen de S7 getest is. Wel jammer, gezien het feit dat de 9 en 10 ondertussen (waarschijnlijk) meer gebruikt worden.

@hcQd het gaat niet om 33 geteste toestellen, maar om het aantal gevonden CVE's waar toestellen van Samsung kwetsbaar voor zijn (staat onder de tabel: number of CVEs). Model 1 is kwetsbaar voor 3 CVE's, model 2 voor 4: kom je uit op 7 voor merk X :)
@hcQd het gaat niet om 33 geteste toestellen, maar om het aantal gevonden CVE's waar toestellen van Samsung kwetsbaar voor zijn (staat onder de tabel: number of CVEs). Model 1 is kwetsbaar voor 3 CVE's, model 2 voor 4: kom je uit op 7 voor merk X :)
Dan nog, gaat het om specifieke toestellen die vatbaar zijn voor dit aantal bekende kwetsbaarheden, of is Samsung met alle geteste toestellen vatbaar voor 33 kwetsbaarheden in totaal? Nogal een verschil, als je het mij vraagt. Alhoewel daar de bron ook niet duidelijk over is. Stel 30 kwetsbaarheden zitten in oude toestellen die niet meer (actief) ondersteund worden (De S7 wordt immers niet meer van Android updates voorzien, dus wellicht krijgen de apps die ervoor zijn dat ook niet), is het toch ook niet zo heel raar, lijkt me.
Terechte vragen.
Als ik het artikel bekijk krijg ik steeds meer het gevoel dat het geschreven is om hun eigen tool te kunnen verkopen.
In het artikel staan de CVE's, en die zijn in mijn browser dichtgevouwen over meerdere pagina's verdeeld, en moet ik een voor een openvouwen om te zien welke CVE een risico is voor welk toestel. Ik kan dus niet snel kijken, is mijn toestel getest, is er wat gevonden, en wat kan ik er voor doen om mijzelf te beveiligen.

Terugkomend op de S7 die Tweakers aanhaalt, als het mis is bij aanschaf, is het dan nu nog mis, of zijn er updates geweest die het verhelpen?
Je opent ze van onder naar boven en gebruikt de zoekfunctie van je browser.
Daarbij, de Xiaomi Mi A3 wordt ook genoemd als onder risico out of the box, maar die heeft Android One, zou dat niet ondertussen allang gepatched moeten zijn?
Ik weet niet waarom men dit denkt, Android One is verre van ideaal, meer een tegemoetkoming als je te vaak een telefoon zonder toekomst koopt. Je krijgt rechtstreeks van Google je updates, dat is alleen interessant als je gewend bent dat toestellen zelden of nooit updates krijgen. En dat was voornamelijk aan de orde bij de grotere merken.

Wat ik ook ironisch vind is dat Xiaomi's lijst alleen maar local privilege escalation CVE's bevat. Tot op het moment dat Google de teugels aantrok en iedere vorm van maatwerk op Android verbood (met uitzondering van bloatware apps), had Xiaomi dit veel beter in de vingers. Beter nog, ze waren de eerste met een framework waarmee het OS aan de gebruiker vroeg of app X toegang mocht tot resource Y.

[Reactie gewijzigd door nst6ldr op 18 november 2019 07:58]

Eeuh wat :?
[...]
Ik weet niet waarom men dit denkt, Android One is verre van ideaal, meer een tegemoetkoming als je te vaak een telefoon zonder toekomst koopt. Je krijgt rechtstreeks van Google je updates, dat is alleen interessant als je gewend bent dat toestellen zelden of nooit updates krijgen. En dat was voornamelijk aan de orde bij de grotere merken.
Android One is super ideaal. Je krijgt een veelal bloat vrije Android ervaring en altijd op tijd je security updates.
...had Xiaomi dit veel beter in de vingers. Beter nog, ze waren de eerste met een framework waarmee het OS aan de gebruiker vroeg of app X toegang mocht tot resource Y.
Dit was niet Xiaomi maar gewoon Android zelf vanaf Android 6.

Xiaomi phones (en vele andere Chinese phones) doen constant aan home calling richting China Telecom. Iedere keer als je je phone aanzet op het gsm netwerk dan stuurt je phone je IMEI, je nummer en locatie gegevens door naar China Telecom. Dit is verplicht ingesteld door de Chinese overheid voor alle Chinese telefoons. Voor mij de reden om niet voor een China phone te gaan.
Android One is super ideaal. Je krijgt een veelal bloat vrije Android ervaring en altijd op tijd je security updates.
Goed verkooppraatje, lekker kort. Alleen, je krijgt de updates van Google, maar ook ondanks Google. Men wil nog wel eens vergeten dat Android een open source initiatief zou moeten zijn, en dat is vakkundig de das omgedaan. Tevens hadden fabrikanten zelf de vrijheid om hun telefoons bij te houden (iets met drivers enzo), en daar hebben met name de grote fabrikanten geen reet aan gedaan. Dat zou reden moeten zijn om de modellen van de grotere fabrikanten niet te kopen, maar zo werkt de markt helaas niet.
Dit was niet Xiaomi maar gewoon Android zelf vanaf Android 6.
Nope, MIUI vanaf Android 2.
Xiaomi phones (en vele andere Chinese phones) doen constant aan home calling richting China Telecom. Iedere keer als je je phone aanzet op het gsm netwerk dan stuurt je phone je IMEI, je nummer en locatie gegevens door naar China Telecom. Dit is verplicht ingesteld door de Chinese overheid voor alle Chinese telefoons. Voor mij de reden om niet voor een China phone te gaan.
Ook dit klopt lang niet, want de EU modellen van Xiaomi zijn hiervoor onterecht beticht omdat het verkeer wat was ontdekt gewoon de synchronisatie naar de cloud dienst was. Men wist alleen niet waar ze naar keken omdat deze dienst afweek van Google's inferieure variant.
Ik zie hier geen Huawei tussen staan althans niet in de lijst, toch vreemd dacht dat een onveilig toestel was omdat het van China is en de VS vertelde dit aan mij :)
[...]
Je krijgt rechtstreeks van Google je updates,
Nee, dat is niet correct. Android One updates krijg je alsnog van de fabrikant. Het enige is dat er een overeenkomst is met Google dat de fabrikant die updates maandelijks levert met hulp van Google.
https://www.androidplanet.nl/spotlight/android-one/
Hoe werkt updaten bij Android One?

Updaten van een Android One-toestel, werkt net als elke andere smartphone. Via het instellingenmenu kun je zoeken naar updates. Als die beschikbaar is, is het een kwestie van downloaden en installeren maar. Updates voor Android en qua security worden door Google verspreid. Fabrikanten kunnen deze vervolgens aanpassen en naar hun gebruikers sturen.

Dat betekent dus niet dat je als Android One-gebruiker net als bij een Google Pixel-smartphone, direct updates krijgt. Wel krijg je elke maand een update voor de beveiliging en ook een Androidupdate komt vrij snel binnen. Wel kan het dus zo zijn dat jouw Nokia-toestel een bepaalde update al wel heeft, terwijl een Motorola met Android One die nog niet binnen krijgt.
Klopt, vind het ook maar een rare test maar het gaat dus om het uit de winkels nemen van toestellen en die kijken op wat misbruikt kan worden. Waar je dus alle last van hebt als je hem niet bijwerkt en meteen gepakt wordt. Vrij irrelevant imo
Bloatware op Samsung telefoons zijn vaak te deactiveren m.b.v. Package Disabler Pro voor Samsung. Die kost wel enkele euro's, maar voorkomt dat je je toestel moet rooten.

https://play.google.com/s...ls?id=com.kinder.pksafety

Ik heb alles kunnen disablen - wat via Android zelf lang niet altijd gaat. Zelfs Bixby staat uit. Werkt het niet met je toestel, kun je altijd je geld terug vragen.
Je kunt anders aardig wat disablen. Je moet verder een hekel aan apps hebben om ze uit te schakelen, want de meesten zullen ook niks doen als je ze niet opstart en geen rechten geeft. Het is niet alsof Android resources laat gebruiken door apps die je nooit gebruikt. En om een app te misbruiken om iets te laten downloaden, moet ie wel de rechten hebben om dat ook op te slaan. Ergo: voor de meeste mensen irrelevant.
Bixby, Galaxy Store .. allemaal troep die zich niet laat uitschakelen maar wel steeds updates installeert.
Enkele componenten van Samsung worden via de Galaxy Store bijgewerkt en Bixby is wellicht irritant, maar zit in diverse apps verwoven dat ik dat wel kan begrijpen. Maar zolang je hem geen rechten en geen profiel geeft, kan ie ook verder niks. Dus dat is alsnog moeite voor 0 winst
Onbegrijpelijk dat mensen die verplichte, ongevraagde meegeleverde rommel blijven verdedigen.
Een programma kan toch op de achtergrond draaien maar een service of zo?
Jah, dat kan. Maar als je een app nog nooit hebt opgestart, heeft deze geen rechten om "iets" te doen. Als een app iets wil downloaden, heeft ie toegang nodig tot het filesystem. Moet je met een pompt akkoord geven.

Als een voor geïnstalleerde app, die je nooit hebt opgestart, kwetsbaar is, maakt dat in die zin nog niks uit. Immers kan deze niks opslaan, omdat je nog geen akkoord hebt gegeven voor toegang tot het bestandssysteem.
Ook niet als het een systeemprogramma is? Als ik op mijn telefoon kijk draaien er allerlei services van LG en Google die ik bij mijn weten nooit opgestart heb? En ook van b.v. Qualcomm.

[Reactie gewijzigd door Cerberus_tm op 18 november 2019 03:28]

Misschien zit ik er helemaal naast dus excuus daar voor als dat zo is, maar naast het automatisch opstarten, kunnen app ( / processen) ook gestart worden bij verschillende activiteiten, van bluetooth of wifi aanzetten of verbindingen opzetten tot het unlocken van je scherm.
Ik heb een hekel aan niet-verwijderbare bloatware, zeker als het volledig optionele troep is zoals Facebook.
Dat je alsnog extra moet op richten en betalen om bloatware tegen te gaan is belachelijk.
Klopt, ik heb ook nooit anders beweerd. Het is symptoombestrijding, maar beter dan niks.
Tja, installeer dan een custom ROM, dan hou je nog ruimte over ook. :) En dat kost helemaal niets.
Kan ook gewoon allemaal met bijvoorbeeld Ccleaner for Android. Is helemaal geen betaalde onzin app die alleen Samsung ondersteunt voor nodig.
Hoe zit het met merken/modellen die hier niet tussen staan, zoals bijvoorbeeld Huawei? Mag ik er dan vanuit gaan dat die geen van deze kwetsbaarheden hebben, of zijn die merken/modellen gewoonweg niet getest?
Eerste wat ik mij ook afvroeg. Dat terwijl Huawei de grootste na Samsung is dacht ik wat betreft Android telefoons?
Er is in de VS getest, daar is Huawei niet welkom meer...
Het is een roundup. Niet door de onderzoekers vermelde toestellen zijn niet getest in dit onderzoek.
Hoe zit het met merken/modellen die hier niet tussen staan, zoals bijvoorbeeld Huawei? Mag ik er dan vanuit gaan dat die geen van deze kwetsbaarheden hebben, of zijn die merken/modellen gewoonweg niet getest?
Niet getest. Maar de moraal van het verhaal: als een telefoon bloatware heeft, kun je er vanuit gaan dat hij zo lek is als een mandje.

Dan wordt de vraag: heeft Huawei (niet verwijderbare) bloatware op hun telefoons in de standaard image?
Hoe zit het met Android one?
Het gaat niet om Android zelf, maar om de diverse merken die voorgeïnstalleerde APPS meeleveren (en die APPS-ellende is vaak niet te verwijderen) waar kwetsbaarheden in zitten.
Zijn wel degelijk te verwijderen, zonder root access. Google maar even 'adb remove bloatware'.
Ga dat maar eens uitleggen aan alle soorten en smaken kopers die Android-powered hardware kopen. En dan ook meteen hoe je dat dan doet als de enige computer in huis de telefoon is...
Zijn wel degelijk te verwijderen, zonder root access. Google maar even 'adb remove bloatware'.
Werkt niet voor Google apps (op Blackberry KEY2, staat niet in de lijst geteste telefoons). Google apps vallen ook onder bloatware en daar kunnen ook lekken in zitten. Dus nee, zijn niet te verwijderen zonder root op sommige (of de meeste?) telefoons.

pm uninstall -k --user 0 com.google.android.youtube
Failure [DELETE_FAILED_INTERNAL_ERROR]

Bij veel Chinese merken (zoals Xiaomi) dien je eerst in te loggen (MIUI) om ADB debug access aan te kunnen zetten. En dat inloggen gaat via de Xiaomi MIUI bloatware zelf (die ongetwijfeld ook zo lek is als een mandje). Die bloatware kun je er ook niet afhalen, is onderdeel van de image.

Dus, meh. Nee. Android :'(

Verder is Xiaomi wel een mooi merk voor als je als leek je volledige privé leven niet alleen wilt inleveren bij de Amerikanen maar ook bij de Chinezen. :+

[Reactie gewijzigd door GeoBeo op 18 november 2019 12:35]

Het gaat om out of the box toestellen. De kwetsbaarheden kunnen daarbij ook in het OS zitten tenzij men dat specifiek buiten scope plaatst.
Dan moet je die apps wel gebruiken. De meesten kun je sowieso uitschakelen, maar als je ze niet eens opstart, zullen ze ook geen rechten hebben.
De term "apps" is een afkorting...
De kwetsbaarheden kunnen in dat soort apps zitten, maar zulke kwetsbaarheden kunnen alleen werken als je de apps permissies geeft. Onder Android kun je de permissies van elke app configureren.

[Reactie gewijzigd door Ablaze op 17 november 2019 20:29]

De term "apps" is geen afkorting...
Wel, een app is een afkorting van application.

[Reactie gewijzigd door bok001 op 17 november 2019 19:27]

Is een afkorting, excuses.
Geen noodzaak om het met hoofdletters te schrijven.
Dat is inderdaad wel een puntje.
Nokia staat blijkbaar niet in het lijstje :3
Maar installeert wel een paar Nokia Apps met Facebook ingebouwd.. toch best een stukje malware.
(je toestel probeert graph.facebook.com te vinden by de Nokia support app.)

Bij mijn weten is Nokia nog steeds geen dochter bedrijf van Facebook. Dus FB heeft ook helemaal geen recht op info over mij zonder mijn toestemming.

[Reactie gewijzigd door tweaknico op 17 november 2019 19:43]

de mi A3 heeft volgens my Android One
Heeft idd android one. De schil is volgens mij stock of bijna stock. Er stond één xiaomi app op, die ik heb verwijderd
En ook MIUI? Of andere Xiaomi software?
volgens my licht aangepast Android One (weet ik niet zeker maar denk hun back up/account software)
Eigenlijk gooit Google zijn goeie naam te grabbel door iedere fabrikant maar aan te modderen met Android.

Ikzelf ben al jaren IOS gebruiker maar ben best wel onder de indruk van stock android. Jammers dat Google de teugels niet aantrekt.
Ben zelf iOS dev met occasional Android dev de laatste 10 jaar.

Zo'n mooi platform en sinds de komst van Kotlin is het ontwikkelen ook een plezier. Maar ik blijf een iOS toestel als main gebruiken, puur voor gemak. 2x een sprong gemaakt maar Android, maar het moeten "opruimen" van de stock software die wordt meegeleverd, het mijnenveld dat de Play store is en constante performance issues die ik had op (toen) meest high-end toestellen van Samsung hebben me toch weer teruggeduwd....

Zal geen 3e poging komen om mijn main device te switchen; ik zit inmiddels ook een beetje vast aan het Apple ecosysteem 🙂
Geen idee wat je bedoelt met opruimen, dat is al vele jaren niet nodig. Ja je kunt het doen, maar de winst is minimaal en bij veel "tips" wordt het toestel ook minder comfortabel in gebruik (zoals mensen die hun wifi of 4g constant wisselen). Play Store is ook prima te doen en als je wilt kun je apps (veel antivirusbedrijven hebben mobiele apps) laten scannen. Wbt mijnenveld (ik neem aan dat je bedoelt dat apps je gegevens misbruiken of onnodige toegang toe-eigenen) is dat weinig anders dan op iOS volgens mij. Gewoon bij de officiële kanalen blijven en je loopt eigenlijk geen risico. Je hebt nu ook minder snel root nodig, dus wat dat betreft neem je zo ook een behoorlijk risico weg.

Bij Android 4.x was het inderdaad geen pretje, maar sinds 6.x is het allemaal wel prima imo.
En toch.....

De vriendelijke prijs van een Nokia maakt mij altijd weer aan het twijfelen, zou Apple ooit 350 voor een nieuw toestel gaan vragen....
iPhone SE en de opvolger daarvan die in 2020 komt :)
When hell freeses over......

Apple is overprised en niet zo'n beetje ook.
Eens... Apple is enorm overpriced voor wat je krijgt. Als het niet belastingsaftrekbaar voor me was... who knows
Dat is toch maar relatief voor mij. Ik heb een iPhone 11 Pro Max en daarvoor een Xs Max en daarvoor een 7. Allemaal doen en deden ze precies wat ik voor ogen had.
Elke dag geen geklooi en alle Apps doen wat ze moeten doen.
Vroeger was een telefoon een telefoon en later een telefoon met mail erop .Mijn PC was belangrijker. Nu gebruik ik de telefoon voor alles. Telefonie, mail, bankzaken, nieuws lezen beheer van sommige IT apparatuur etc. etc.
Het telefoneren is bijzaak geworden.

Dus investeer ik meer in mijn telefoon dan in mijn PC.
En dat betaald zich terug.
Voor de iPhone 7 heb ik 10-tallen modellen telefoon gehad en ook Android en Windows Mobile.
Windows was wat mij betreft het fijnste OS, maar helaas wat betreft apps uiteindelijk een verliezer.

Nu ik iPhone heb vindt ik met name apps beter en stabieler en vaak ook beter uitgewerk dan bij Android. Ook heb ik geen problemen met updates en werkt de meeste randappararuur goed out of the box.
Ik zeg niet dat Android niet goed is, dat niet, maar iPhone iOS is het mij waard om meer uit te geven dan ik ooit aan een Android toestel zou doen.
Ben ik deels met je eens. Maar doordat Google android te grabbel gooit is mijn keuze voor een clean OS toch op ios gevallen.

Ik heb een tijdje een Nokia 3.2 gehad. Een mooi toestel met een groot scherm. Maar de gebruikers ervaring werd snel negatief door het gebrek aan werkgeheugen, opslag en mijn gevoel dat Google Drive niet het zelfde werkt als iCloud Drive.

Kortom, naar mijn mening is €350,- voor een gsm meer dan voldoende, daar wil ik dan wel een toestel zonder bloatware. En dan ook echt zonder bloatware. Dus een kale android of ios.
Dan noem je ook gelijk een instapmodel.
Een toestel uit 2019 zou toch om z’n minst een betere user experience mogen hebben als een iPhone 6s.
Ik word stil van. Wat ergernis en frustratie. Waarom toch?
Probleem daarbij is dat fabrikanten ook Android moeten willen gebruiken.
Android heeft nu een enorm marktaandeel, blijkbaar doen ze toch iets goed ondanks alles.
Zou Google te streng worden, dan wordt het aantrekkelijk voor hen een ander OS te gebruiken.
Bijvoorbeeld Tizen/Sailfish, of een AOSP fork zoals Harmony/Miui, waarbij Google nog minder te eisen heeft.
Met het risico dat Google users verliest (waar ikzelf geen probleem mee zou hebben overigens).

Maar als users een OS willen dat dichter bij Google's ideaal zit, dan kunnen ze ook nu al een Pixel of Android One nemen. Toch een mooie tussenoplossing, waarbij fabrikanten en users zelf voor strengere eisen kunnen kiezen, ipv dat het verplicht wordt met (voor iig Google) mogelijk onwenselijke bijwerkingen.

[Reactie gewijzigd door N8w8 op 17 november 2019 19:36]

Android heeft nu een enorm marktaandeel, blijkbaar doen ze toch iets goed ondanks alles.
Prijs. Voor minder dan 100 euro een prima smartphone.

De "vlaggeschepen" van de fabrikanten betalen voor de ontwikkeling, en de "budget" series zorgen vervolgens voor de grote inkomsten. Dat werkt niet alleen bij telefoons zo.
Met Android heb je een volledige computer tot je beschikking. Vergelijk het met een Windows laptop en een Chromebook.
Je hebt geen hardware-console zoals bij een PC. Daarom heb je een high-level user-level UI nodig. Voor die tijd heb je behalve voor het ROM-bootmenu geen gebruikers I/O. De grote truuk van "ecosystemen"...

[Reactie gewijzigd door blorf op 17 november 2019 22:55]

Ben ook idd benieuwd naar ' niet vermeldingen' . Wel schokkend (blij dat ik die niet mee heb) dat zo'n grote speler als Samsung zo slecht scoort. Never again for me. Motorola of Nokia for me😁
Hoe groter, hoe aantrekkelijker het doelwit
In dit geval heeft het daar niks mee te maken.
Als je doorklikt zie je een iets ander plaatje. De Samsung telefoons hebben inderdaad een lek in een meegeleverde systeem app, maar die kan alleen door een meegeleverde systeem app misbruikt worden. Bij andere toestellen die getest zijn, zijn de lekken ook door andere apps te misbruiken.

Daarbij zit ook de Xiaomi mi A3, welke Android One heeft wat ook op de Nokia's staat, en Motorola is ook niet perfect kaal geleverd. Ik zeg niet dt de Nokia's of Motorola een probleem hebben, maar een kale Android zegt niet alles, beperkt slechts het risico.
Verrassend...veel voor geïnstalleerde zijn gewoon slecht dit is al meerdere keren naar voren gekomen.

Dit is dus niet direct een Android issue maar die van fabrikanten.

Wel raar dat bijvoorbeeld de Galaxy S7 getest is out of the box en niet meest recente software naast dat het toestel zelf flink verouderd is.

Jammer dat Huawei & Nokia/HMD niet zijn meegenomen.

[Reactie gewijzigd door Jonathan-458 op 17 november 2019 15:03]

Klopt, maar je kan het de distributeurs wel aanrekenen dat ze deze devices voorgeinstalleerd (hoogstwaarschijnlijk voor een mooi financieel contract met die partij) meeleveren. Wat Samsung doet met doorverwijzen naar die 3rd party ontwikkelaars vind ik dan ook wat te makkelijk. Ik snap dat ze die applicaties niet kunnen fixen maar daar heeft de klant geen boodschap aan. Niet meer toestaan tot het is gefixt (of bij voorkeur helemaal niet preloaden).

Ik heb sinds mijn oude Galaxy S6 geen Android meer gehad; ben een beetje out of touch, is er nog goed merk dat zowel een redelijk device alswel geen preloaded 3rd party apps aanlevert?
Hangt van je wensen af, denk ik. OnePlus als je makkelijk custom Rom's wilt draaien. De telefoons van Google zelf als je steeds up to date wil zijn zonder extra apps van andere partijen.

Zelf ga ik volgende keer voor een iPhone.
Het staafdiagram is nogal misleidend. Zo gaat het bij Samsung voornamelijk om themecenter, maar met 33 toestellen die getest zijn lijkt het zo veel erger.
Probleem is niet direct de security issues, maar het mitigeren ervan. Dat duurt vaak nogal even bij de genoemde merken.
Waarom zijn de security issues volgens jou dan niet zo zeer het probleem? Als die niet bestonden was mitigeren niet nodig en als mitigeren achter blijft is het risico nog steeds die security issues.
Het is niet duidelijk of deze kwetsbaarheden nieuw zijn. In mei 2019 verscheen al een publicatie over een jaar aan onderzoek naar 1742 verschillende firmware van 214 vendors. Veel van de kwetsbaarheden in de meegeleverde apps lijken toen al onderkend te zijn. De onderzoekers zijn toen zelfs nog een stuk verder gegaan door ook het gedrag van de apps te analyseren. Helaas lijkt het er op dat de onderzoekers toen alleen contact hebben gehad met Google voor feedback maar hebben ze geen kwetsbaarheden laten registreren. De onderzoekers van Kryptowire hebben daarmee in ieder geval gezorgd voor extra aandacht voor de kwetsbaarheden om ze hopelijk ook opgelost te krijgen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True