Let's Encrypt heeft workaround voor dreigende siteproblemen oude Android-versies

Let's Encrypt heeft een oplossing gereed om te zorgen dat oudere Android-versies volgend jaar sites met verlopen LE-certificaten kunnen blijven bezoeken. Let's Encrypt verlengt de periode van ondertekening van de betreffende certificaten, ondanks het verlopen ervan.

De workaround garandeert volgens Let's Encrypt dat gebruikers met Android 7.1.1 of ouder vanaf september volgend jaar sites met Let's Encrypt-certificaten zonder problemen of waarschuwingen kunnen blijven bezoeken, ook al gaat het officieel om verlopen certificaten. Certificaatautoriteit IdenTrust stemt in met een verlenging van de ondertekening van het ISRG Root X1-certificaat van Let's Encrypt vanaf zijn DST Root CA X3-certificaat. Die cross-signing geldt voor een nieuwe periode van drie jaar.

Let's Encrypt DST Root X3Nog steeds is het zo dat het DST Root X3-certificaat van IdenTrust op 1 september 2021 verloopt, maar Android handhaaft niet actief de verloopdata van certificaten die gebruikt worden als trust anchors. Wel is het zo dat oudere Android-versies nu het ISRG Root X1-certificaat als extra tussenstap in de certificaatketen ophalen voor het opzetten van de beveiligde verbinding, wat de TLS-handshake minder efficiënt maakt. Volgens Let's Encrypt is dat het waard gezien de extra compatibiliteit. Overigens benadrukt de organisatie dat eindgebruikers zelf niets hoeven te doen.

Let's Encrypt verwacht de nieuwe certificaatketen eind januari of begin februari in te voeren. Dat maakt dat de eerdere plannen van de organisatie om op 11 januari van keten te wisselen geen doorgang meer vinden. Voordat de nieuwe periode voor cross-signing afloopt, dat zal begin 2024 het geval zijn, zal Let's Encrypt alsnog deze stap nemen, mogelijk al in juni 2021. Gebruikers kunnen er dan met een speciaal verzoek voor kiezen DST Root CA X3 te blijven gebruiken.

De problemen werden vanaf november aangekaart door Let's Encrypt. Om snel ondersteuning op te bouwen voor Windows, Firefox, macOS, Android, iOS en Linux maakte Let's Encrypt in zijn begintijd gebruik van cross-signing via DST Root X3. Dat certificaat verloopt op 21 september 2021. Android-versies ouder dan versie 7.1.1 worden echter niet meer bijgewerkt en blijven vertrouwen op DST Root X3. Meer dan 30 procent van alle Android-apparaten gebruikt nog zo'n oude Android-versie en dreigde dus certificaatwaarschuwingen te krijgen als ze vanaf 1 september 2021 sites zouden openen die met een https-certificaat van Let's Encrypt werken.

Update, woensdag 11.00: Verduidelijkt dat Android-gebruikers niets hoeven te doen en passage verwijderd over de stap die Let's Encrypt in januari wilde zetten omdat deze onduidelijk was. Met dank aan Sleutelman.

Door Olaf van Miltenburg

Nieuwscoördinator

22-12-2020 • 10:54

102

Reacties (102)

102
97
56
6
1
29
Wijzig sortering
Slechte zaak dit.

Oudere Android versies moeten verbannen worden. max 2 versies terug dus nu Android 9.
Akkoord op voorwaarde dat fabrikanten dan verplicht worden om langer updates aan te bieden.
Het is inderdaad zo dat oudere, niet-gepatchte, smartphones een gevaar zijn voor het hele internet. Dat wil niet zeggen dat de hardware moet weggegooid worden.
Het is inderdaad zo dat oudere, niet-gepatchte, smartphones een gevaar zijn voor het hele internet.
Kun je dit eens onderbouwen en dan met name het gevaar voor het hele internet? Aub met een aantal voorbeelden van hoe deze apparaten in het recente verleden het internet in gevaar hebben gebracht.
Goed. Komtie:

Botnet aanval ter grootte van 70.000 apparaten op piek, met een totale netwerk grootte van 130-150K telefoons: https://www.androidplanet...droid-botnet-aanval-2017/
nieuws: Google verwijdert 300 apps uit Play Store die deel uitmaakten van And...

In 2012 is er ook al een onderzoek over gepubliceerd: https://www.sciencedirect...abs/pii/S1353485812700582

En wat meer algemeen in een artikel van dit jaar: https://www.hellotech.com...ck-for-malware-on-android

Gaat dan om StageFright, BlueFrag, Joker.

BlueFrag is wel een interessante, zeker nu Bleutooth een methode is voor contact tracing.
https://insinuator.net/20...-zero-click-rce-bluefrag/

een artikel van engadget geeft wat meer achtergrond over de status mbt updates:
https://www.engadget.com/...uefrag-security-flaw.html
The problem, as you might imagine, is that many of the affected devices have either lost software updates or don't receive them consistently. Google only requires popular phone makers to provide security updates for two years, and that policy appears to have been enforced at the start of 2019. Given that Android 8 is easily past that two year mark, you might never get a BlueFrag fix if your phone is old enough. The requirements also let vendors go up to 90 days before patching a flaw. That could leave users vulnerable for months even if they are slated to get security updates. When most Android users are historically likely to be running a version of Android earlier than 10, that could leave many people exposed for years to come.
Joker is direct kassa als je die hebt. Je wordt via SMS ingeschreven op dure abo diensten. Niet direct gevaarlijk voor "het internet", maar wel voor je eigen portemonnee.
https://datanews.knack.be...article-news-1647255.html
https://arstechnica.com/i...s-floods-android-markets/

Dit zijn voorbeelden van malware die al jaren de ronde doen en steeds opnieuw opduiken vooral bij oudere apparaten. Hoewel ik het een sympathiek idee vind van Let's encrypt ben ik er geen voorstander van. @Verwijderd en @zenlord hebben dan ook absoluut gelijk dat android 8 en ouder dus absoluut verbannen moeten worden.

edit: oh en voor je komt met ja maar google verwijdert dit soort apps uit de store en heeft een controle:
Though Google removed the apps in question, the company continues to face a challenge from the Joker malware as it keeps evolving to evade the Google Play Protect security built into the app store. As such, Android owners have to take their own precautions to protect themselves against malware.
De manieren waarop dit soort malware gedeployed worden zijn bizar. Momenteel is alleen Apple een partij die tegen dit soort apps op kan treden gezien het feit dat zij ook op functionaliteit controles doen en een veel geavanceerder permission systeem hebben. Een app die om SMS permissions vraagt, maar daar in de code niks mee doet/ cq geen nuttige functionaliteit voor heeft, wordt als het goed is dan ook direct afgekeurd voor het in de store komt, waarbij dit bij google helemaal niet het geval is.

Dit soort malware gebruikt meerdere lagen van droppers. Stukjes software die extern nieuwe software ophalen. Joker maakt gebruik van minstens 2 van dit soort mechanieken om URL obfuscation te kunnen toepassen. Een beetje zoals EPIC heeft gedaan met Fortnite. Dit was dan ook een reden om de app te verbannen. Dergelijk gebruik van droppers is niet toegestaan. Voor assets en content is het goed om dat te doen, maar voor daadwerkelijke code een no go.

[Reactie gewijzigd door supersnathan94 op 22 juli 2024 16:03]

Bedankt voor de cijfers en links, zeer informatief!

Maar om nu te relativeren:
- 150.000 telefoons in een botnet is eigenlijk peanuts op totale aantal Android toestellen.
- ik zie volgens de tabel in het 3e of 4e artikel eigenlijk weinig verschil qua bescherming tussen Android 6 en 8. BlueFright en Joker ben je toch kwetsbaar voor. Nog genoeg toestellen die nu nog verkocht worden met Android 8.

Voor mij is niet het probleem oudere toestellen, maar dat je kennelijk slecht nieuwe Android versies kan krijgen en dat oudere versies niet gepatcht worden. Meer electronica afval lijkt me ook niet de oplossing.
150.000 telefoons in een botnet is eigenlijk peanuts op totale aantal Android toestellen.
Tuurlijk, maar dit gebeurd dus vaker en meer. dit is slechts 1 zo'n botnet, maar het feit dat er dus meerdere artikelen en onderzoeken over zijn geeft aan dat het veel vaker gebeurd.
ik zie volgens de tabel in het 3e of 4e artikel eigenlijk weinig verschil qua bescherming tussen Android 6 en 8. BlueFright en Joker ben je toch kwetsbaar voor. Nog genoeg toestellen die nu nog verkocht worden met Android 8.
Klopt. Echter zijn er voor BlueFrag dus wel patches gemaakt (februari 2020) voor android 8.
Voor mij is niet het probleem oudere toestellen, maar dat je kennelijk slecht nieuwe Android versies kan krijgen en dat oudere versies niet gepatcht worden.
Hardware is het probleem inderdaad ook niet. Het gaat om de software. Dus had die android versies maar lekker laten vallen dan hadden fabrikant misschien nog iets van incentive gehad om updates uit te brengen.
Wat is erger:
- Een of meerde botnets worden deels in stand gehouden (er zijn heel erg veel andere botnetten).
Of:
- Misschien wel een miljard mensen kan van de ene dag op de andere hun telefoon niet meer normaal gebruiken.

Een miljard telefoons wordt misschien weggegooid. Die telefoons worden vast niet gerecycled. Misschien wel honderden miljoenen arme mensen in de derde wereld kunnen opeens niet meer normaal Internetten, verliezen misschien hun toegang tot het systeem waarmee ze de bonen van hun akker verkopen, kunnen geen nieuwe telefoon betalen, enz. Als je je bonen niet meer kunt verkopen, en de stad is twee weken lopen, wat moet je dan? Als je geen inkomsten meer hebt, niet meer kunt communiceren, moet je dan in een krottenwijk gaan wonen? Je dochter verkopen? Okee, het zal niet voor iedereen zo erg zijn, maar van die miljard telefoons zullen er vast heel veel zijn die belangrijk zijn voor mensen.

Het zou wel een heel hardvochtig besluit zijn. Slecht voor de mensheid, zou ik zeggen, terwijl we er ook weer niet zo enorm veel beter van worden, met een botnetje of wat minder.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 16:03]

Ja dat zal allemaal wel en klopt ook keurig, maar je legt nu de laksheid van de fabrikant neer bij alles en iedereen.

Alle dingen waar we hier voor waarschuwen (phishing, malware, cryptolockersfraude)! Heb je dus liever dan fabrikanten op hun verantwoordelijkheden wijzen.

Zoals in het artikel staat heeft alles en iedereen tot 2024 een minder efficiënte HTTPS handshake bij lets encrypt websites. Onverantwoordelijkheid van een paar fabrikanten wordt nu dus neergelegd bij de totale wereldbevolking met zowel de gevolgen van ongepatchte software en minder efficiëntie op het web. Nee lekker dan.
Ik zou zeker die fabrikanten niet willen vrijpleiten. Maar de oplossing lijkt mij niet een maatregel die zo veel leed kan veroorzaken toch?
Maar ff serieus. Dit:
Een miljard telefoons wordt misschien weggegooid. Die telefoons worden vast niet gerecycled. Misschien wel honderden miljoenen arme mensen in de derde wereld kunnen opeens niet meer normaal Internetten, verliezen misschien hun toegang tot het systeem waarmee ze de bonen van hun akker verkopen, kunnen geen nieuwe telefoon betalen, enz. Als je je bonen niet meer kunt verkopen, en de stad is twee weken lopen, wat moet je dan? Als je geen inkomsten meer hebt, niet meer kunt communiceren, moet je dan in een krottenwijk gaan wonen? Je dochter verkopen?
Is wel erg ver gezocht. En het verhaal klopt wel, maar geeft alleen een mogelijk issue aan, wat in eerste instantie absoluut niet miljarden personen aangaat. Want even serieus. Ik denk niet dat die website om bonen mee te verkopen überhaupt met ssl draait.
Maar de oplossing lijkt mij niet een maatregel die zo veel leed kan veroorzaken toch?
Maar de andere kant (dus het laten bestaan van botnets en mogelijkheden voor hacking) van het gebeuren veroorzaakt ook veel leed. Mensen die hun hele spaarrekening kwijt zijn en geen pensioen meer hebben.

Maar ik zie niet zo goed wat nu het probleem is. De oplossing die jij zo erg vind heeft er niet zoveel mee te maken. We kunnen prima de software verbannen zonder dat de hardware weggegooid moet worden. Dat heet updaten.

Again manufacturer is to blame.
Waarom zouden die dingen vergezocht zijn? In arme landen hebben mensen oude telefoons en zijn die hun enige toegang tot het Internet. Geldt trouwens ook voor best wat arme mensen in Europa. Die bonensite kan heel goed op basis van een bestaande oplossing met SSL gebouwd zijn, lijkt me logischer dan dat iemand zomaar wat in elkaar flanst. Het gaat om belangrijke gegevens, en je kunt er inloggen.

"Het laten bestaan van botnets": er zijn gigantische veel botnets, en het verbannen van al die telefoons gaat dat probleem toch niet oplossen? Een paar botnets minder versus de enorme schade die aangericht zou worden door al die telefoons onbruikbaar te maken.

"De software verbannen zonder dat de hardware weggegooid moet worden": zonder de mogelijkheid om normaal te Internetten wordt al die hardware half of geheel onbruikbaar voor die mensen.

Mijn centrale punt: computermensen gaan vaak wat makkelijk om met het belemmeren van praktisch gebruik door gewone mensen. Soms is iets noodzakelijk, maar soms is het middel veel erger dan de kwaal.
@Emin3m en @zenlord hebben dan ook absoluut gelijk dat android 8 en ouder dus absoluut verbannen moeten worden.
Helaas lijken ze maar wat te blaten met de natte vinger.

'ns eventjes een onderzoekje doen.

https://en.wikipedia.org/wiki/Android_Oreo

Da's Android 8.1. Eens even kijken:
Latest release 8.1.0_r83[2] / December 7, 2020; 13 days ago

Support status
Supported [3]
Android 8.1 Oreo wordt dus nog ondersteunt.

Android 7.x tree niet meer. De laatste versie is 7.1.2 (die valt buiten dit gehele probleem). De laatste patch voor dat OS is een jaar geleden.

Bovenstaande 2 minuten werk en ik heb stellige argument al kunnen nuanceren.

Notabene je eigen gelinkte bron:

https://source.android.com/security/bulletin/2020-02-01

Noemt netjes dan Android 8 gepatched is...
Notabene je eigen gelinkte bron:

https://source.android.com/security/bulletin/2020-02-01

Noemt netjes dan Android 8 gepatched is...
Het probleem is dan ook niet dat er geen patches zijn (hoewel het hier in eerste instantie gaat om 7 en 8 er door ander bij werd getrokken), maar het dat die patches bijna niet gedistribueerd worden door fabrikanten of dat het maanden duurt. Dat haalde ik ook al aan. Engadget heeft dan ook een goed stuk over geschreven waar de knelpunten zitten en dat is vooral bij de fabrikanten en de eisen van google mbt ondersteuning. Het wordt wel beter, maar daarom is het dus belangrijk snel afscheid te nemen van oudere versies.

Edit patch quote

[Reactie gewijzigd door supersnathan94 op 22 juli 2024 16:03]

Vrijwel elke hack wordt veroorzaakt door systemen dit niet up-to-date zijn. Slecht een minuscuul deel misbruikt zero-days omdat die veel tijd en geld kosten om te vinden. Wanneer je er een hebt gevonden gebruik je die alleen als er meer uit haalt dan je er in hebt gestopt.
Botnets, hacken van persoonlijke data
En nu met harde getallen qua infecties en impact.

Punt is namelijk dat de paar botnets voor Android vooral zijn toe te schrijven aan gebruik van 3rd party app stores danwel fabrikanten die ADB debug poorten open hadden laten staan. Niet aan (drive by) exploiteren van ongepatchte vulnerabilities.

Natuurlijk komt ongepatchte software met risico's, maar ongenuanceerde claims en napraten helpen daarbij niet. Nu oude smartphones buiten gebruik stellen terwijl deze een beperkt theoretisch en in de praktijk klein risico vormen is het paard achter de wagen spannen.
Dit is ook wezenlijk anders dan oude Windows versies die (met name in bedrijfsnetwerken) zowel theoretisch als in de praktijk een hoog risico vormen.
Het probleem met botnets en cijfers hiervan is dat dit pas berekend kan worden op moment dat een infectie vastgesteld is, en dan is het niet makkelijk om een inschatting te maken hoeveel andere "zombies" er zijn.
De meeste botnets waarvan aantallen bekend zijn is omdat ze ondertussen opgerold zijn of controle overgenomen is over de C&C servers, waardoor er MOGELIJK vele 100.000'en zo niet miljoenen geinfecteerde apparaten zijn, maar waarvan het bestaan nog niet bekend is.

Het is natuurlijk wel zo dat oude androidversies veel meer security vulnerabilities hebben, en daarmee is ook de kans dat ze geinfecteerd zijn/raken enorm veel groter dan een recente android versie.
Wijs er dan 5 aan, of 3... of 1 met een serieus aantal infecties.

Punt is dat Android met elke nieuwe versie een betere security architecture heeft gekregen. De consequentie is dat er typisch een combinatie van exploits nodig zijn welke en een primaire infectiemethode. Dat kan prima, maar het vergt een flinke investering die hoger is dan alternatieven (waarbij de fragmentatie van Android zich ook nog eens tegen de aanvaller keert) om tot een botnet van Android smartphones te komen. Dat leidt in elk geval niet tot een risico analyse om met een actie nu alle apparaten met Android <= 7 buiten gebruik te stellen. Monitoring van de situatie in combinatie met zo min mogelijk nieuwe unsupported apparaten toevoegen lijkt een geeigender aanpak vanuit risicobeheersing als het gaat om 'gevaar voor het internet' zoals hierboven ongenuanceerd betoogd.
Ik heb na 4 jaar een LineageOS ROM op mijn telefoon gezet. Ben ik weer helemaal up to date en kan ik nog zeker 2 jaar door. Doe het niet voor het milieu in eerste instantie, maar het helpt. En het scheelt nog geld ook. Win/win.
Zeker niet, dat zou betekenen een enorme toename van waste op de wereld!
Hardware afdanken vanwege ontbreken van software updates, dat lijkt me totaal de verkeerde wereld.
Vooropgesteld. De softwarematige ondersteuning van smartphone kan en moet veel beter, vooral in Android land is het bij veel fabrikanten behoorlijk dramatisch met de ondersteuning op middellange termijn.
Zeker de budgetmodellen.
En dat is ook redelijk makkelijk op te lossen door gewoon eens te stoppen met die binding van software aan de hardware en Smartphones meer te laten functioneren als PC's waar je arbitrair een OS op kan installeren.

Maar ik vind de suggestie dat mensen hun telefoon langer gebruiken omdat hun software een langere houdbaarheid kent op zich ook wel grappig.
De meeste mensen gaan toch gewoon voor 't laatste speeltje elke twee jaar en dat genereert toch de meeste productie en dus afval.
De realiteit is ook wel dat accu's na een jaar of twee dagelijks gebruik op raken en het is niet zondermeer economisch of zelfs mogelijk om die te verversen.
Ik vind het ijdele hoop dat zo'n telefoon überhaupt veel langer dan 2~3 jaar mee gaat.

Apple doet dat een stuk beter, het is ook bijna altijd nog rendabel om daar een accu van te vervangen door de verkoopwaarde, maar die telefoons zijn (veel) duurder en ik ken er niet zo veel die zo'n iPhone kopen en er inderdaad mee rondlopen tot EOL.

[Reactie gewijzigd door Polderviking op 22 juli 2024 16:03]

Blijkbaar gaat ruim 30% op android niet voor het laatste speeltje elke twee jaar. Want die zitten nog op android 7 of lager.
Het verschil tussen iPhone en Android zit in het verdienmodel. Apple verdient aan de verkoop van telefoons, maar ook aan het gebruik er van. Denk aan apps via de appstore, abonnementen afgesloten via apps. Daarmee loont het voor Apple om telefoons bij te werken en zo de levensduur te verlengen. De mensen die iedere twee jaar het nieuwste speeltje kopen geven de oude telefoon door die nog een paar jaar meekan en inkomsten voor Apple blijft genereren.

Bij Android verdient de fabrikant alleen aan de verkoop van telefoons. Google verdient aan het gebruik ervan. Er is vanuit de fabrikanten dus geen enkele incentive om toestellen actueel te houden. De enige manier waarop dit zal veranderen is óf door een rigoureuze wijziging van het verdienmodel óf een model á la Windows waarbij de hardware en het OS redelijk losgekoppeld zijn
Tiens, ik lees dit toch echt op een 6 jaar oude tablet met Android 4.4 waar ik eigenlijk niets op mis.
En nee, mijn tablet is ook niet gehackt. Zit hier allemaal goed achter firewall en ublock.
Ik zou wel eens willen upgraden want de batterij is niet geweldig meer, maar spijtig wil men enkel 16/9 tablets verkopen, of er de hoofdprijs ervoor vragen. In 2014 kon ik voor 240€ een chinese ipad air kloon kopen (Teclast X98 Air II) in Belgische shop. Nu wil niemand nog een Android 4/3 tablet aanbieden met die resolutie onder de 600€. Snap ik allemaal niet goed, maar ja. Dan moeten ze ook niet ferwachten mijn geld te krijgen...
Maar dus echt niet iedere 2 jaar iets anders hier. Niet dat ik niet van nieuwe speeltjes hou, maar milieu is ook niet onbelangrijk.
Mijn moeder gebruikt mijn iPad Mini 2 uit 2015 nog, oude hardware FTW _/-\o_
En nee, mijn tablet is ook niet gehackt. Zit hier allemaal goed achter firewall en ublock.
Was het maar zo eenvoudig. Van zodra je met die tablet verbinding maakt met het boze internet, zal je firewall of adblocker bitter weinig uithalen. Lees er maar even security blogs op na - gisteren nog werd bekend dat de iPhone van tientallen journalisten van Al Jazeera was gehackt zonder dat zij zelf enige handeling moesten stellen... En die bug is pas verholpen met de allerlaatste versie van iOS.

Het is inderdaad uit den boze dat goed werkende hardware buiten werking zou gesteld moeten worden, maar je hebt geen enkele garantie dat jouw tablet niet misbruikt wordt om spam te verzenden of ddos attacks uit te voeren (was je batterij niet snel leeg? ;)).

(ook al zijn analogiën gevaarlijk, waag ik er mij toch aan) Stel dat je auto na de garantietermijn niet zomaar zou 'stoppen met werken' op een bepaald ogenblik, maar een rijdende tijdbom zou worden waarbij je niet alleen jouw eigen leven, maar ook dat van andere weggebruikers zou riskeren... Zou je dan niet ook aandringen dat alle auto's buiten garantie uit roulatie worden genomen?

BTW: Android 4.4 heeft 216 gekende CVE's: https://www.cvedetails.co...7/Google-Android-4.4.html

[Reactie gewijzigd door zenlord op 22 juli 2024 16:03]

Dus:
- iOS is ook niet veilig. Bug is pas gefixt in de allerlaatste versie, waarschijnlijk na de hack van die journalisten.
- Android is zeker niet beter. Ik heb even die lijst van 216 CVE's bekeken en de rode eruit gehaald. Blijkt dat het merendeel daarvan ook op 8.0 nog een probleem was.

Conclusie: overschakelen op de laatste versie helpt niet altijd veel, zit ook nog vol met fouten. Men fixt wel wat, maar introduceert ook weer nieuwe fouten.
Beveiliging werkt niet binair. Alles draait rond risico-inschatting en risico-beheer. Wil je absoluut veilig gebruik maken van een computer? Zorg er dan voor dat die niet met internet verbonden is, en nooit is geweest (en verifieer de integriteit van de installatie-cd/usb eerst even)

Met de laatste nieuwe versie van eender welk OS ben je relatief veilig. Je kan *nooit* uitsluiten dat er zich toch iemand toegang tot jouw apparaat zal verschaffen, maar je kan wel je verdomde best doen.
Met een Android versie die EOL is en waarin 216 CVE's bekend zijn, ben je gewoon loslopend wild op het internet. Je bent daarbij niet alleen gevaarlijk voor jezelf, maar ook voor andere gebruikers.

Iedereen die een apparaat heeft dat verbonden is met het internet zou persoonlijk aansprakelijk moeten gesteld worden voor het voldoende beveiligen van het toestel.

Trouwens, voor alle duidelijkheid: Android zit op versie 11. Versie 8 waar je het over hebt is intussen alweer bijna 3.5 jaar oud.
Dat beveiliging niet binair is is net mijn punt.
Met firewall, ublock en gezond verstand kom je al heel ver!

Gewoon een nieuw toestel kopen voor een nieuwe Android versie helpt ook niet. Android 4.4 was van 2013.
2017: Android 8.0 komt uit: joepie! Allemaal updaten, zoveel veiliger! Of toch niet? 383 vulnerabilities!! Waarvan vele dezelfde als in 4.4, dus al lang gekend. https://www.cvedetails.co...-19997/version_id-223494/
2020: Android 11 komt uit: joepie! Of nee... 266 vulnerabilities
https://www.cvedetails.co...-19997/version_id-333544/

Echt, oude spul moet er uit, nieuwe is zoveel veiliger. Niet dus.
Met firewall, ublock en gezond verstand kom je al heel ver!
Volledig akkoord, mits toevoeging 'en een volledig en continu gepatcht systeem'.
Toen SP2 voor Win XP uitkwam, was het absoluut noodzakelijk om dit SP in de installatiebestanden van Windows XP te slipstreamen zodat je een volledige offline installatie kon uitvoeren. Als je dat niet deed, was jouw pc gegarandeerd binnen de 10 minuten gekaapt door ILOVEYOU, zonder enige gebruikersactie.

Zoiets kan je nooit uitsluiten, maar het helpt wel om je devices up to date te houden, en dat is een verantwoordelijkheid die ieder voor zich draagt.
Je argument is voornamelijk accu, dat klopt deels, maar dat is iets wat je in veel gevallen goed kan vervangen voor een paar tientjes (ten opzichte van 100en of misschien 1000en euros voor een nieuwe telefoon).

Maar als de hardware echt niet meer toereikend is voor je doel, uiteraard is het logisch dat je dan een nieuw toestel neemt. Maar omdat de software niet meer geupdate wordt vind ik zelf te bizar voor woorden en in geen geval neemt in dat opzicht een producent zijn verantwoordelijkheid nemen voor het verminderen van e-waste.
Nee dat is een heel ander verhaal. Als een android ook gewoon 5 jaar updates krijg is er niets aan de hand.
De Samsung G S7 serie, draaiend op 8.0, heeft nog de Sept Security Updates ontvangen rond Oktober-November. Dus helemaal out-dated hoeft een toestel draaiend op < 9.0.0 niet te zijn.

Uiteraard zal uiteindelijk een nieuwere Android versie wel gewenst zijn, al heb ik niet direct een inzicht in hoeveel veiliger 9.0 is t.o.v. 8.0. Zeker aangezien de Google Play system updates ook gewoon zijdelings geïnstalleerd worden.
Hoe zo is dat een ander verhaal?
Het maakt me niet zoveel uit of het Android, iOS of Windows OS is.. Zolang de hardware nog toereikend is moet de fabrikant zorgen dat de telefoon nog gebruikt kan worden.
Het maakt mij niet uit hoe oud de hardware is, zolang het maar updates krijg.

Ik heb het over de ondersteuning van de hardware, niet hoe oud de hardware zelf is, daarom vind ik dat een ander verhaal.
Ik heb werkelijk geen idee wat dit nu anders maakt...
"Zeker niet, dat zou betekenen een enorme toename van waste op de wereld!"

Dat komt pas als je telkens een nieuwe telefoon moet kopen omdat je fabrikant geen updates levert, stel dat word wel 5 jaar gedaan heb je niet veel waste.

En dat maakt het verhaal dus anders!
Dat is toch ook mijn hele punt?
Je gaat voor het gemak even geheel voorbij aan het gebruik van mobiele telefoons in ontwikkelingslanden, bijvoorbeeld in Afrika. Ik weet uit ervaring dat daar heel veel smartphones worden gebruikt die hier in het westen zijn afgedankt. Zolang het Facebook, Whatsapp en hun internet bankieren app draait (en dat laatste gaat in die landen nog vaak via sms) is het voor hen een prima telefoon. Zaken als privacy, security en de risico's die bijvoorbeeld @supersnathan94 aan haalt in zijn reactie zijn ze daar totaal niet me bezig, hoe legitiem die issues ook zijn.

Juist in die landen zijn er veel kleinschalige initiatieven om meer online te doen en Let's Encrypt is een prima manier om er voor te zorgen dat deze dingen ook nog enigszins veilig gebeuren. Zorg dragen dat dit blijft werken op oudere Android smartphones is voor daar dus een goede zaak.

[Reactie gewijzigd door rbr320 op 22 juli 2024 16:03]

Oudere versies zouden verbannen moeten worden zeg je... Maar wat nu als er nog een apparaat gebruik maakt van zo'n oude versie wat niet meer doet dan een simpele functie. Denk bijvoorbeeld aan een raspberry pi 1 die al jaren zonder problemen draait en waar voor het niet nodig is om die te upgraden naar een pi4 om dat die functie waar voor het gebruik wordt die extra opslag, geheugen en processor kracht niet nodig heeft.
De PI zelf is misschien nog wel te doen, maar de software had je gewoon bij kunnen houden.
Imho voor een lokaal apparaat wat niet aan het internet hangt (dus aparte vlan of iets zonder internet) is dat niet super belangrijk. Maar voor een apparaat wat wel aan het internet hangt is het belangrijk om up to date te zijn. En dat iets goed werkt is geen reden, de software zelf kan een gatenkaas zijn maar toch goed werken, is niet echt veilig.
De software op een PI1 is heel goed up to date te houden. Kun je gewoon nieuwste versie van raspberry PI OS op draaien toch?

Je gaat toch geen RPI1 open aan het internet hangen met software van 4 jaar terug zonder updates? Dan hangt ie binnen no-time in een botnet.

Je hoeft daar echt geen hardware upgrade voor uit te brengen.
Een simpele functie geen probleem. Zal dan ook niet op websites hoeven, waarbij het certificaat verlopen is waar het artikel over gaat.
Onzin, hardware en software fabrikanten moeten hun spul langer ondersteunen dan 2 jaar.

Het voornaamste probleem met het bijna volledige gesloten Android/smartphone ecosysteem is dat hardware en chip fabrikanten hun hardware maar voor een korte tijd ondersteunen.

Niks weerhoud de SoC fabrikant er van om een de firmware opnieuw te bouwen voor de nieuwste Linux kernel, maar doen ze niet omdat ze willen dat je een nieuw apparaat koopt. Dus je zit vast met een oude versie van Android gezien de firmware niet compatible is nieuwere versies. Deze proprietary zooi bestaat alleen maar om ons als klanten te verneuken.

De fabrikanten van de telefoon zelf zijn net zo schuldig als de SoC fabrikanten. Locked bootloaders, systemen zonder root toegang, jij als gebruiker staat machteloos wanneer zij er de stekker uittrekken.
Ze hoeven niet verbannen te worden, zolan de fabrikant, in dit geval Google (en de betreffende telefoonfabrikanten), het nog ondersteund. Google ondersteund op dit moment nog Android 8 en hoger. Naar mijn mening zouden andere bedrijven dit moeten volgen en daarmee dus geen workarounds voor de, door de fabrikant niet-ondersteunde apparaten, moeten maken.

Ik vind het persoonlijk ook raar dat een organisatie die veiligheid op het netvlies heeft niet-ondersteunde besturingssystemen gaat ondersteunen en sterker nog, workarounds voor gaat creëeren. Ze hoeven het van mij niet perse te blokkeren, maar ze moeten er zeker geen moeite voor doen.
Dus iedereen moet maar nieuwe telefoons blijven kopen ofzo?
Android 7.1.1 wordt al 14 maanden niet meer ondersteund door Google. Dit betekend dus dat er al 14 maanden geen beveiligingsupdates voor uitkomen. Dat iemand er voor kiest om een telefoon wil gebruiken die steeds lekker wordt die persoon zelf weten. Maar het is breder dan dat. Hoe meer apparaten op 7.1.1 blijven draaien, hoe groter een potentieel botnet wordt.
So much for planned obsolescence ;(
Dat is makkelijk gezegd. Natuurlijk zou het zo moeten zijn dat fabrikanten hun toestellen langer ondersteunen en updaten dan de 2 jaar die nu gemiddeld gangbaar is. Helaas is dat niet de realiteit, hoe graag ik het ook zou willen.

Een niche waar ik zelf dagelijks tegenaan loop is die van muziekspelers (DAP). De nieuwste FiiO M11 muziekspeler is van eind 2019, kost 650 euro en geeft een geluidsbeleving van de bioscoop onderweg. Maar die heeft een Exynos-soc die alleen met Android 7 werkt.

Ik heb zelf de FiiO X7 mkII uit 2018, die heeft Android 5.1. Ik ben blij dat ik die van Let's Encrypt nog iets langer kan gebruiken.

[Reactie gewijzigd door roland83 op 22 juli 2024 16:03]

Kitkat gebruiker hier. Beste versie ooit. Dark mode standaard. Kan nieuwste android nog wat van leren.
En ik vind het een slechte zaak om verder prima werkende hardware weg te gooien vanwege suffe veel te korte softwareondersteuning. Weg met de wegwerpmaatschappij. We zijn in een rap tempo onze aarde aan het opbranden. En voor wat? Telefoontjes? |:(
Slechte zaak dit.

Oudere Android versies moeten verbannen worden. max 2 versies terug dus nu Android 9.
Ik ben geen Android gebruiker, maar staat de versie van Android niet los van beveiligingspatches? In andere woorden: als Android 12 uit komt, is het dan over met Android 11, of komen daar dan nog x tijd patches voor uit? En wie zorgt voor het patchen? Gaat dat via de Playstore of moet iedere fabrikant die door zijn eigen QA proces trekken? In het laatste geval kan het dus zijn dat je een gloednieuwe telefoon koopt met de allernieuwste Android versie, die vervolgens nooit meer een update krijgt...
The Force Awakens? Two Factor Authentication? Trifluorazijnzuur? Wat is TFA?
The Force Awakens?
:+
Het artikel gaat over Android <7.1.1 en niet Android 9? Daarnaast lijkt het me een beetje extreem om voor een bug alle oudere telefoons weg te mikken.
De telefoon kan nog wel goed zijn... Maar iemand had (vond ik) moeite er in moeten steken om android bij te werken naar een recente versie. Op zijn minst de certificate store (en security bugs). Nu moet LE (Lets Encrypt) door een brandende hoepel springen en andere nare computeronterende kunstjes doen omdat iemand anders een probleem gemaakt heeft.
Let's Encrypt heeft her zelf voor gekozen om een root certificate van een externe partij te gebruiken om zo sneller beschikbaar te zijn verschillende platforms (zie TFA). Daarnaast zie ik nogsteeds niet waarom alles onder A9 (Android 9) verbannen zou moeten worden als het hier om <7.1.1 gaat?
Ja, zo, android 9. Niet geheel met je oneens. Toch wordt android 9 ondertussen al wel oud, en zijn er geen updates meer voor. Zo gaat alles weer achter lopen.

Als androis (eigenlijk: Alle platformen) nu wel netjes updates voor de CA-store uitbrengen is er niks aan de hand, dan kan LE kiezen welk root-CA ze willen.
Het is alleen jammer dat vernieuwing/updates niet altijd geweldig zijn. Ik heb vaak genoeg gezien dat updates de telefoon trager maken. En niet alleen dat. Updates kunnen extra functies toevoegen die ik misschien niet handig vind maar vaak genoeg ook niet uit kan zetten. Dit is niet alleen met updates van de telefoon maar ook apps. Daarom ben ik voorzichtig met updates installeren terwijl dit wel veiliger is. Dit bespaart me wel een hoop stress en ergenis.

Nieuwere telefoons vind ik niet fijn werken omdat het fullscreen is. Dan heb je dus geen vaste back knop/home knop (ik heb het liefst hardwarematig al kan softwarematig ook). Als je games speelt verdwijnt die altijd (tenzij dat dit ondertussen ooit een keer toegevoegd is). Ik heb van het werk een Samsung galaxy A50 gekregen maar ik gebruik nog steeds me A5 2017 vanwege deze knoppen.

En niet iedereen heeft het geld natuurlijk om elke 2 jaar een nieuwe telefoon te kopen.
Het gaat mij dus niet om de telefoon, maar om de updates van de software. Dat de fabrikant dat niet wil is het schandalige punt.
Ik begrijp dat je grijze haren krijgt van software die steeds dikker en onhandiger wordt. Het zou reden moten zijn om een alternatief te zoeken, en niet om dan maar geen beveiligingsupdates te installeren.

(Niet dat ik nou zo'n taalvirtuoos ben, maar het zou 'mijn A5 2017' moeten zijn, en niet 'me'.)
Helaas bied een andere telefoon ook geen garantie dat alles hetzelfde blijft. Ook die krijgen updates waardoor alles kan veranderen.

Ook kan je natuurlijk de software niet van te voren testen of het bevalt. Als je geluk heb staan er een paar telefoons aan in de winkel die je kan testen. Maar ze gaan echt geen 10 telefoons aanzetten omdat ik de software wil proberen of ik het fijn vind.

(Niet dat ik nou zo'n taalvirtuoos ben, maar het zou 'moeten' moeten zijn, en niet 'moten'.) ;)
Ok, jij komt mijn TV-sticks (2 stuks) en mijn tablets (3 stuks) die nooit verder dan 4.4 geraakt zijn gratis vervangen ?
TV Sticks met android op, ja. En ik zie niet in waarom ik die tablets weg zou moeten gooien als ze nog goed werken, voor wat er maar gedaan mee word.
Wat pas triest is, is dat Samsung tablets heeft verkocht met android 5 tot een jaar (of 2) terug.
Die krijgen geen updates meer en dus ook dat niet. (Denk aan de Galaxy Tab A 7", 2016)

Nu kan je beargumenteren dat het ouwe zooi is, maar als het nieuw wordt verkocht is het op zijn minst opmerkelijk te noemen.
De EU zou veel stricter moeten zijn met updates voor hardware forceren bij fabrikanten.
Daarnaast zouden CA cetificaten los downloadbaar moeten zijn, dan heb je dit probleem ook niet.
Even voor mijn begrip. Leunt de workaround eigenlijk niet op een beperking van de oude Android versies? Of heb ik het verkeerd begrepen dan?
Correct inderdaad. Je zou kunnen stellen dat het eigenlijk een bug of onvolledige implementatie is. (En nu is het een feature ;) ).

[Reactie gewijzigd door Noxious op 22 juli 2024 16:03]

Je zou ook kunnen zeggen dat een root certificaat een gekozen trust anchor is, en dat daarvoor een einddatum helemaal niet zo logisch is.

Je mag aannemen dat de key van een root certificaat heel veilig opgeslagen is, en dat alleen de keys van intermediates online zijn om certificaten mee te signen.

De root key wordt dus alleen van stal gehaald om een nieuwe intermediate mee te (cross-)signen en daarna weer veilig offline opgeborgen. Ik neem zelfs aan dat dit hele proces offline gebeurt, en de key nooit het internet ziet.

Ik mag ook aannemen dat een root key geen kleintje zal zijn.
In theorie klopt dat natuurlijk, maar vervaldatums zijn er niet voor niets.

Er lekken ook wel eens oude root keys uit, wat geen groot probleem is daar ze al vervallen zijn (of als je software CRLs controleerd) - behalve als je software dat niet respecteerd.

[Reactie gewijzigd door Noxious op 22 juli 2024 16:03]

Heel mooi initiatief. Ik ondersteun nog een een webapp dat onder andere ook draait op ELO schermen (kiosk style touchscreens) bij een aantal klanten, welke zijn aangeschaft in 2017 en deze draaien nog nog Android 4.1.1... Heb toen ook nog flink wat gedoe gehad om alles weer werkend te krijgen toen we een certificaat vernieuwde na de Heartbleed bug en de oude rootstore van deze kloteschermen dit dus niet herkende.
Zijn die oude devices niet een ongelofelijk beveiligingsrisico?
Het zou je verbazen hoe sommige mensen met dat soort dingen willen om gaan. Voormalig bedrijf waar ik werkte bouwde narrowcasting software en leverde daar ook kleine clients voor mee.

Windows 7, oude versie van chrome, alles qua updates en firewall uit, teamviewer er op voor het gemak.
Later wel op Windows 10 overgegaan en was het iets beter. Maar nog steeds staan er honderden van die dingen door heel Nederland bij MKB bedrijfjes. Allemaal verbonden met 1 teamviewer account met een wachtwoord waar je nachtmerries van krijgt.
En terecht natuurlijk. Never change a running system. Veel mensen zijn zuinig op hun apparaten en waarom zou je dan iedere 4 jaren nieuwe hardware moeten kopen als de oude nog voldoet? Dat de leveranciers van die hardware er maar voor zorgen dat de boel softwarematig ook blijft werken en anders heb ik er geen moeite mee dat de boel in een botnet meedraait. Stel je voor dat dit bij iedere soort apparaten het geval zou zijn, dan zou je om de 4 jaren een nieuwe koelkast, wasmachine, vaatwasser, magnetron, elektrische oven/gasfornuis, airco, TV, PC, mobiel, auto nodig hebben terwijl die misschien nog allemaal gewoon werken en voldoen. Naast dat het veel centen kost moeten we maar eens ophouden met die wegwerpmaatschappij en de aarde ontlasten van het ontginnen van al die belangrijke grondstoffen omdat we perse om de 2 jaren uitgekeken zijn op onze spullen.
(...) met een wachtwoord waar je nachtmerries van krijgt.
"p3nnyw1s3" :+
Ongetwijfeld. Maar die dingen doen verder niet heel veel interessants, en tot nu toe lijkt het goed te gaan volgens mij. Ze komen zelfs standaard vanuit ELO met ES File Explorer, waar ooit eens malware in heeft gezeten, maar dit is geloof ik ook een antieke versie voor dat gedoe. Er zit geen Play store op en de apps kunnen ook niet automatisch updaten.
Toch gek dat ze de root store niet gewoon op een andere manier up-to-date kunnen houden.

Dit zou eigenlijk gewoon centraal (via bijv. W3C) georganiseerd moeten worden. Deze pool wordt dan door elk apparaat één keer in de maand ofzo geüpdatet vanuit de centrale store, zonder updates nodig te hebben vanuit de fabrikant of iets.
Ik vermoed dat dit deels de reden is dat Firefox al een poosje niet meer de stores van het OS gebruikt maar enkel de eigen interne. Erg vervelend vanuit netwerkbeheerdersperspectief (wel te omzeilen gelukkig).
Al een poosje? Firefox heeft sinds jaar en dag een eigen certificate store in NSS zitten. Sterker nog, nagenoeg elke linux distributie trekt de certificaten uit Mozilla NSS en serveert die als system store in een ca-certificates pakket.
Ah, ik dacht dat FF vroeger de Windows certificate store wel respecteerde, maar kan nu ook niet vinden of dat het geval was. In ieder geval is er sinds versie 49 een optie om dat in te schakelen (security.enterprise_roots.enabled).
En daarmee kan dan W3C nieuwe root-certificaten op mijn apparaten zetten. Begrijp je niet dat je daarmee een enorme attack-surface introduceert voor alle apparaten?
Vrijwel ieder apparaat heeft mogelijkheden om nieuwe certificaten toe te voegen. Anders zou zelf signed spul nooooit werken.
Ja door de gebruiker zélf, niet iedere maand automatisch door iemand uit Zwitserland. Dat is de suggestie die @Polderdijk deed.
Niet per se uit zwitserland alleen, maar certificate revocation lists worden dagelijks geupdate. Zelfde geldt voor certifcate stores die bijvoorbeeld Firefox meelevert. Wordt door Mozilla geupdate. Android wordt door Google gedaan. Het enige verschil is dat er meerdere partijen zijn die het nu doen i.p.v. 1.
Nou, niet op mij bekende systemen, daar zitten de root certs gewoon in het OS, en niet in de applicatie. Volgens mij is dat tegenwoordig ook op Windows het geval, maar dat weet ik niet zeker.

OS upgrades kunnen inderdaad ook cert updates bevatten, maar daarbij geldt dat er geen nieuwe attack vector ontstaat. Als je een Android update kunt manipuleren (bijvoorbeeld MitM of door compromise van Google servers) heb je het device al namelijk.

Crl's revoken natuurlijk alleen maar, dat is waarom je die wél zomaar van internet kunt trekken zonder extra consequenties in veiligheid.

Crl's zijn trouwens niet heel erg nuttig. Niet voor de certificaathouder omdat je niet zeker weet of de client die leest, en niet voor de client omdat je toch iets moet als je de list niet kunt downloaden, ook introduceert het een nieuw point of failure in de infrastructuur.
Firefox heeft pas later ondersteuning voor OS certificaten toegevoegd: https://mike.kaply.com/20...es-in-firefox-on-windows/

Lange tijd is de enige mogelijkheid voor FF gebruikers handmatig het certificaat toevoegen geweest.
Best wel annoying in managed omgevingen met bijvoorbeeld HTTPS SSL stripping in enterprise networks.

Ook bij bijvoorbeeld Java wordt er en eigen truststore gebruikt. Je kunt de JVM wel vertellen de OS store te gebruiken, maar default is dat niet het geval. Voor Java onder mac gebruik je dan dit: '-Djavax.net.ssl.trustStoreType=KeychainStore'

Het is dus totaal niet vanzelfsprekend dat het OS de certificaten regelt voor alle applicaties. dat ligt er maar net aan. Zeker in enterprise omgevingen is dit nog wel eens een ding.

Oh en ff FYI. Chrome komt binnenkort waarschijnlijk ook met zijn eigen store: https://www.zdnet.com/art...d-certificate-root-store/
Ik denk dat automatisch voor de meeste mensen wel beter zou zijn. Ik krijg nu al vragen of iemand een telefoon/app mag updaten. Laat staan dat ze iets moeten updaten waar ze nog nooit van gehoord hebben.
Nu ben je ook afhankelijk van één partij, namelijk je OS (of browser) leverancier. Ik zie hierin dan ook weinig verschil tussen één private partij, of één public partij.

En de W3C was zomaar een voorstel, dit kan net zo goed bij een andere partij liggen. Kijk hoe bijvoorbeeld DNS SEC werkt. Kan op vele manieren opgepakt worden en W3C was hierin zomaar een eerste idee wat te binnen schoot.

Dan zou ik persoonlijk liever hebben dat de root beheert wordt door een onafhankelijke 3e partij onder toezicht van vele, dan één private partij als je me het vraagt.
Mja dit zou buiten de Android-updates om moeten gaan imo. Maar aan de andere kant, hele oude devices gebruiken die toch al geen security updates meer krijgen is in principe ook gewoon een beveiligingsrisico.
Dit probleem was er niet voor mensen die firefox gebruikte toch? Ik had begrepen dat daar die updates binnen de browser gebeuren. Als ik eerdere berichten hierover goed heb begrepen kan het op app niveau worden opgelost als het niet op OS niveau gedaan wordt.
Dat klopt inderdaad, maar dat gaat enkel over websites bezoeken.

Heel veel apps communiceren met API backends waarvan er veel ook gebruik maken van Let's Encrypt - zeker bij de kleinere partijen.

Edit: En denk ook aan bijv. een preview van een pagina in WhatsApp, Telegram, enz.

[Reactie gewijzigd door Noxious op 22 juli 2024 16:03]

Au, 30% is wel veel
Voor iedereen die, net als ik, na het lezen van het artikel dacht "huh?", de diagram in het bronartikel maakt het een stuk duidelijker: https://letsencrypt.org/2...ndroid-compatibility.html

Edit: de afbeelding lijkt opgenomen te zijn in het artikel :)

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 16:03]

Jammer. Nu gaat eigenlijk de partij die niet verantwoordelijk is voor deze schandelijke ondersteuningspraktijken van Android-fabrikanten door allerlei hoepels springen. Wanneer houden we die partijen gewoon eens verantwoordelijk voor een apparaat leveren die dus gewoon half onbruikbaar kunnen worden na een bepaalde deadline? Dit kan om apparaten gaan die 4 jaar geleden nog verkocht zijn.
Ik zie dat de Fairphone 2 met de hakken over de sloot voldoet aan de voorwaarde om geen last te krijgen van genoemde site-problemen, met Android versie 7.1.2. Fairphone OS gebaseerd op Android 9 is in de maak, maar kost veel tijd omdat Fairphone het meeste zelf moet doen omdat Qualcomm geen support geeft voor de betreffende SoC voorbij Android 7.
Er zijn wel lineage os-builds beschikbaar voor de FP2 :-)
Ik ben gecharmeerd van het kennisniveau binnen de tweakersclub. Dank je voor het delen van de informatie in dit artikel. Kudo's for tweakers.net.

Op dit item kan niet meer gereageerd worden.