Android-telefoons bevatten lek dat remotecode-execution mogelijk maakt

Google heeft een ernstig lek in Android ontdekt dat hackers in staat stelt om op afstand code uit te voeren. Het beveiligingslek, aangeduid als CVE-2024-40673, treft Android-versies 12, 12L, 13 en 14.

In de oktoberupdate heeft het bedrijf patches uitgebracht voor 28 kwetsbaarheden, waarvan CVE-2024-40673 als kritiekst wordt beschouwd. Opmerkelijk is dat een aanvaller geen speciale rechten nodig heeft om misbruik te maken van dit lek, dat betrekking heeft op het systeemonderdeel van Android. Hoewel Google de ernst als 'hoog' heeft geclassificeerd, zijn details over de kwetsbaarheid niet vrijgegeven. De update is beschikbaar voor Android-versies tot en met 15, maar de daadwerkelijke uitrol hangt af van de smartphonefabrikanten. Android-gebruikers wordt aangeraden hun toestel zo snel mogelijk bij te werken naar de nieuwste versie van Android om potentiële beveiligingsrisico's te minimaliseren.

Reacties (106)

sdziscool 8 oktober 2024 14:08

Aiai, dat is wel zweten als ik hier zit met mijn telefoon die al een jaartje geen update heeft gehad!

Anonymoussaurus

Google Android
Google

@sdziscool • 8 oktober 2024 14:12

Dat hoeft niet per se; CVE-2024-40673 (waar het in het artikel over gaat) wordt gefikst met een Google Play System update: https://source.android.co...oogle-Play-system-updates

CC: @Ruw ER Dat maakt dus niet per se uit. Voor de meest ernstige kwetsbaarheden rolt Google ook vaak een Google Play System update uit zonder tussenkomst van de OEM (dat is het hele doel van Project Mainline).

[Reactie gewijzigd door Anonymoussaurus op 8 oktober 2024 14:29]

sprankel @Anonymoussaurus • 8 oktober 2024 14:32

Alleen jammer dat de Playstore system updates (mainline) niet automatisch installeren, hij komt zelfs niet zeggen dat ze beschikbaar zijn. (ervaring over verschillende Android toestellen)

Je moet eerst zelf maar naar updates gaan, daar play store updates klikken en zelf zoeken waarop hij doodleuk meld update gevonden, wilt u hem nu installeren?

Enkel de algemene system updates meld hij indien die beschikbaar zijn.

Amiga3000 @sprankel • 8 oktober 2024 14:52

Kijk hier even hoe dit geinstalleerd kan worden

https://support.google.com/android/answer/7680439?hl=en

Mijn samsung was helemaal up to date maar de Google play security dus niet.
Wel vreemd is dus als je nu update, is de datum augustus 2024.

Edit: even h voor de link

Nu dag verder krijg ook ik de update binnen die 1 september aangeeft.

[Reactie gewijzigd door Amiga3000 op 9 oktober 2024 08:53]

Edgar Wagt @Amiga3000 • 8 oktober 2024 15:17

Die van mij staat op augustus 2024, maar geeft wel aan dat ik moet herstarten om de update uit te voeren

venomcs @Amiga3000 • 8 oktober 2024 16:35

Bij mij was het probleem dat het op wifi niet wilde downloaden en altijd een error gaf, heb het op data geprobeerd en het werkte, heb nu de 1 september 2024 patch.

(Op AOSP afgeleide roms zoals Paranoid Android en PixelOS: Security and privacy > System and updates > Google Play system update)

[Reactie gewijzigd door venomcs op 8 oktober 2024 16:40]

arnoud_h @venomcs • 8 oktober 2024 18:51

Hier in eerste instantie ook niet. Weet niet of pihole de server blokkeerde, maar na die tijdelijk uitgezet te hebben en een paar keer opnieuw proberen kwam hij ineens toch over wifi binnen.

Blijft raar dat dit soort updates niet automatisch voorbij komen?

segil @Amiga3000 • 8 oktober 2024 17:00

bij mij is de datum 1 sept 2024, na 2x reboot. (samsung S23)

Der Rudi 2 @segil • 8 oktober 2024 20:46

Idem dito voor S23U - 1x herstarten - dan 68 MB downloaden - 2de x herstarten -
eindresultaat (via 5G gedownload)
Android-versie: 14
Google Play - systeemupdate: 1 september 2024

Pe Nis @segil • 8 oktober 2024 18:50

Same here op S24+. Stond op juni, na eerste update en restart op augustus, toen een 56MB patch geüpdatet en na restart op september.

TheTeek @Amiga3000 • 8 oktober 2024 15:56

Dank voor de tip.
Na controle zoals in het artikel, staat Google Play-systeemupdate: 1 augustus 2024.
Maar, als ik er dan vervolgens op druk, krijg ik wel een verzoek om te herstarten ivm updates.
Daarna staat er nog steeds 1 augustus, maar krijg ik niet meer het verzoek te herstarten

Railgunner

@TheTeek • 8 oktober 2024 16:30

Met datum 1 augustus zit je goed:

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2024-08-01' of '2024-08-05' als patchniveau hebben.

Bron: https://www.security.nl/p...+execution+mogelijk+maakt

TheodoorDG

@Railgunner • 8 oktober 2024 17:18

Dit lijkt me een kopieerfout van security.nl, dit moeten 2024-10-01 of 2024-10-05 zijn voor de oktoberupdate.

Raven @Amiga3000 • 8 oktober 2024 17:27

Bedankt voor het (niet goed werkende

) linkje

, mijn S20 FE 5g had 2 update rondes nodig. Stond blijkbaar op januari, na update op augustus en daarna nog een keer om tot september te komen.

Straks de Reno Z van moeders eens bekijken.

Amiga3000 @Raven • 9 oktober 2024 08:54

Haha was de h vergeten voor de link, inmiddels aangepast.

Raven @Amiga3000 • 9 oktober 2024 17:34

Wel jammer dat de info van die link niet van toepassing lijkt te zijn op mams Oppo Reno Z met Android 11, zie niet hoe ik daar die update kan krijgen, als die al voor dat toestel is uitgebracht. Reguliere Android updates zijn 3½ jaar terug gestopt.

SuperDre @sprankel • 8 oktober 2024 14:55

Ja, dat klopt, zeer irritant dat die ineens vanaf een bepaald moment geen autoupdate meer doet, bij mij komt dan 1x per week dat er tich updates klaar staan, dat gelukkig dan wel.

GertMenkel

Google
Google Android
Beveiliging en antivirus

@SuperDre • 8 oktober 2024 21:57

Dat gebeurt meestal als de Play Store in slaap is gezet door het OS en maar periodiek wakker wordt gemaakt. Hoe meer duimpjes omlaag je telefoonmerk heeft op https://dontkillmyapp.com/, hoe erger dat probleem is. Het vervelendste is dat het ook met andere apps kan gebeuren die je niet vaak opent en wel achtergronddingen doen, waardoor er nog wel eens meldingen missen of veel te laat verschijnen.

De Google Play system update staat hier echter los van, dat is een los mechanisme dat niet direct met de Play Store samenwerkt en in de Google Play Services zit ingebakken, en die draaien op de meeste Android-telefoons bijna continu. Ik geloof dat Google die updates niet al te snel uitrolt omdat ze een reboot vereisen en mensen niet lastig wil vallen met meerdere updates vlak na elkaar (bijvoorbeeld één van Samsung gevolgd door één van Google).

Mijn Samsung-tablet wil bijvoorbeeld nog wel eens automatisch rebooten vanwege deze updates, maar niet per se op de dag dat zo'n update online verschijnt.

[Reactie gewijzigd door GertMenkel op 8 oktober 2024 21:58]

Brummetje

@sprankel • 8 oktober 2024 14:48

Dat zou betekenen dat mijn toestel updates zou hebben. Echter is deze gewoon netjes up-to-date bij de Playstore system update (S24).

3raser @Anonymoussaurus • 8 oktober 2024 14:57

Als deze update via Google Play binnen komt, waarom zegt Google dan dat de daadwerkelijke uitrol afhangt van de smartphonefabrikanten?

Anonymoussaurus

Google Android
Google

@3raser • 8 oktober 2024 14:58

Dat verschilt natuurlijk per CVE. Sommige CVE's kunnen gefikst worden door middel van een security patch (afhankelijk van OEM) en andere vulnerabilities kunnen gefikst worden door middel van een Google Play System update.

Aldy @Anonymoussaurus • 9 oktober 2024 15:05

Ik kreeg vanmorgen een update voor mijn Xiaomi 13T en ik denk dat deze rechtstreeks van Google kwam, want over het algemeen zijn fabrikanten niet zo snel.

Anonymoussaurus

Google Android
Google

@Aldy • 9 oktober 2024 15:36

Ik kreeg gisteren de september update qua Google Play System update.

me44 @sdziscool • 8 oktober 2024 15:32

Heb een oude samsung galaxy note 10 plus en die heb ik nu bijgewerkt met deze update, Was wel even zoeken hoe dit gedaan moest worden. Via normale manier geeft die natuurlijk aan dat er geen firmware update is gezien samsung geen meer uitrolt sinds juni 2023. Updaten gaat via "biometrie en beveiliging -> google play systeemupdate op android 12"

dehardstyler @me44 • 8 oktober 2024 16:03

Maar ik heb een S23 Ultra, en heb nog geen Play Store update. Wat is jou patchlevel voor Play Store, welke maand zeg maar?

oef! @dehardstyler • 8 oktober 2024 16:37

Op mijn S23 ging ik naar Instellingen > Info telefoon > Softwaregegevens > Google Play systeemupdate.

De telefoon vond een update en herstartte. Het patchniveau na de update is Google Play-systeemupdate: 1 augustus.

-Colossalman- @oef! • 8 oktober 2024 17:15

s22 hier en mijn patchniveau was 1 augustus maar werd 1 september na de update

veloce @oef! • 8 oktober 2024 19:02

Mijn S24 plus ging zo van 1 augustus naar 1 september.

twamdu @oef! • 9 oktober 2024 16:10

Dank je voor een nauwkeurige procedure. Ik kon eerst niet vinden waar het zat.
Overigens - daarna nog een keer updaten en het wordt 1 september, de goede versie!

[Reactie gewijzigd door twamdu op 9 oktober 2024 16:36]

brobro @me44 • 9 oktober 2024 09:31

Lost een Google Play update dit op? Dan krijgen uiteindelijk de meeste telefoons deze patch wel lijkt me. Maar niet alles wordt geüpdate via Google Play toch?

Omer @me44 • 8 oktober 2024 16:26

Hmm.. Huawei Mate 20X met Android 10 hier (Ja ja, ik weet het, ben al een tijdje aan 't kijken voor een geschikte nieuwe telefoon).. [Google Play system update: 1 May 2023] zie ik. Maar géén update beschikbaar.

reinouts @Omer • 8 oktober 2024 22:48

Ook voor de Sony Xperia 10 III geen updates meer. Maar custom ROMs zijn er ook niet. 😐

Erwin1967 @me44 • 8 oktober 2024 20:39

Ik kwam daar ook toevallig achter. Waarom deze niet via een melding niet eerder getoond is mij een raadsel. De gewone update van mijn s20 gaf aan dat er geen updates waren.

CH4OS @sdziscool • 8 oktober 2024 14:16

Als je een beetje handig bent, kun je bijvoorbeeld LineageOS op de telefoon installeren, dan heb je weliswaar een community backed OS op de telefoon, maar krijg je tenminste nog wel updates.

xenn99 @CH4OS • 8 oktober 2024 14:27

Met zo'n custom OS krijg je toch allerlei gedonder dat apps niet meer werken omdat de telefoon geroot is ofzo? Het is al een paar jaar geleden dat ik het voor het laatst heb gebruikt maar ik ben toen uiteindelijk maar weer terug gegaan naar mijn oude officiële firmware hierdoor.

GertMenkel

Google
Google Android
Beveiliging en antivirus

@xenn99 • 8 oktober 2024 22:08

Ik heb hier zelf een (ongeroote) telefoon met een custom ROM. De Google Wallet deed bij een update moeilijk omdat de ROM devs iets geks probeerden uit te halen met de systeemvalidatie, maar dat is de volgende update weer opgelost.

Wat wel jammer is, is dat Netflix en Amazon mijn telefoon nu op 480p limiteren, maar om die reden download ik gewoon de Netflix- en Amazon-shows in full HD van het internet, ze kunnen de pot op met hun stomme DRM-beperkingen die klaarblijkelijk toch niet werken. De codecs doen het allemaal prima, de software kiest ervoor om mijn kijkervaring te verminderen.

Ik heb voor mijn telefoon de keuze uit Android 11 (november 2021, patch-datum van een paar maanden daarvoor) en een custom ROM van vorige maand. Voor mij was de keuze in elk geval snel gemaakt, ook al kost dit mij misschien wat gemakken. De Android 11-versie die op mijn telefoon stond zou mijn telefoon kwetsbaar maken voor remote code execution door simpelweg mijn Bluetooth aan te hebben staan, dat is Netflix op HD niet waard.

Dat gezegd hebbende: dit probleem kan via een Google Play system update worden verholpen bij veel fabrikanten, ook nadat die zelf geen updates meer uitbrengen. Nadat fabrikanten er elke keer een potje van maakten heeft Google bepaalde componenten van het OS naar zichzelf toegetrokken, zoals gedeeltes van de WiFi- en Bluetooth-stack, en kan daar apparaat-onafhankelijke updates voor verspreiden mits de fabrikanten daarmee akkoord gaan. Als Google dat kan, kunnen die fabrikanten dat natuurlijk ook, maar dat blijkt voor veel telefoons te veel gevraagd na een paar jaar.

Check dus in je instellingen of je niet toch nog een Google Play update kan krijgen voor je je hele ROM omgooit hiervoor. Er is een kans dat je je hier tegen kan beschermen zonder drastische maatregelen zelfs als de fabrikant van je telefoon je in de steek gelaten heeft.

Anonymoussaurus

Google Android
Google

@xenn99 • 8 oktober 2024 14:28

Je hoeft je telefoon niet te rooten voor en custom ROM. Maar ja, vaak passed SafetyNet niet (McDonald's app en sommige bank-apps werken dan niet) omdat je bootloader ontgrendeld is. Dan kán je rooten om dat te omzeilen, maar dat is ook niet zonder risico.

[Reactie gewijzigd door Anonymoussaurus op 8 oktober 2024 14:28]

vedercy @Anonymoussaurus • 8 oktober 2024 14:34

De McDonald's app heeft betere root / tamper detectie dan wat ik ooit heb gezien in mijn 5 jaar LineageOS gebruik. Bij banken, Google Play, Intune oid was er wel voorbij te komen, maar McDonald's om de een of andere reden niet.

Dacuuu @vedercy • 8 oktober 2024 15:01

Mcdonalds app werkt gewoon hoor icm root, ja je moet er wat voor doen, maar het werkt.

vedercy @Dacuuu • 8 oktober 2024 15:25

Hmm, misschien is er iets veranderd. Kreeg zelf steeds de melding dat de ''beveiligingscontrole'' was mislukt. Ook in combinatie met een hidden lygisk / CTS profile / Magiskhide / shamiko etc.

Llopigat

Google
Beveiliging en antivirus

@vedercy • 8 oktober 2024 15:28

Dat is idd ziekelijk wat die doet

Ik heb een Samsung telefoon met standaard firmware en Google Play services gewoon geinstalleerd. Maar ik log niet in op een Google account en installeer de apps dus via Aurora Store, zodat ik google niet al te veel informatie hoef te geven (helemaal Lineage is helaas geen optie ivm werk).

Maar dat vertikt die McDonald's app dus ook niet "Deze app werkt alleen als hij is geinstalleerd via de Play store". En waarom ze dat vereisen?? Geen idee want het slaat nergens op. Die app gaat niet eens met geld om, je kan er alleen een bestelling in voorbereiden.

De enige andere app die zo irritant doet is ChatGPT. Die weigert dus ook dienst zelfs als Google Play geinstalleerd is (maar niet ingelogd). Idioot dat ze een account vereisen bij een bedrijf dat nota bene hun directe concurrent is op het gebied van AI.

[Reactie gewijzigd door Llopigat op 8 oktober 2024 15:28]

DigitalExorcist @Llopigat • 9 oktober 2024 08:53

Je kan punten verzamelen met je McD's account en daarmee (flink!) korting krijgen. Dat kost hun geld..

Anoniem: 718943 @Anonymoussaurus • 8 oktober 2024 15:04

Het hebben van een foon waarbij je dan achteraf de bootloader weer kunt locken helpt ook.

Mijn fp4 met e/os zonder google draait alke apps (nou ja, de bank apps iig, ik weet niet waar ik een mcdonalds app voor nodig heb).

asing @xenn99 • 8 oktober 2024 14:44

Nou, ik draai al tijden LineageOS op mijn OnePlus 6T. OnePlus stopte jaren geleden met updates. Overigens waren die updates ook sporadisch.

Anyway, LineageOS erop en iedere derde week van de maand installeer ik de updates. Dat is de update waar ook de AOSP updates van het begin van de maand in zitten. Met andere woorden, ik ben 2-3 weken kwetsbaar en dan kan ik bijwerken. Probeer dat eens met een standaard ROM.

Wat je veel ziet is dat DRM (Widevine) ofzo ontbreekt wat bepaalde dingen onmogelijk maakt. Ik heb daar met LineageOS totaal geen last van. De grootste nag is dat de camera af en toe moeilijk doet. Maar dat kan aan mijn toestel liggen, of aan de camera app.

xenn99 @asing • 8 oktober 2024 17:32

Dat het goed werkt en dat de updates prima zijn weet ik, maar mij gaat het erom dat apps niet meer werken zoals bank apps en die van de mcdonalds.
Ik dacht dat het aan root zou liggen maar blijkbaar gaat het ook om een unlocked bootloader?
Destijds moest ik allemaal rommelen met magisk en dat werkte eigenlijk nooit goed.

Werken deze apps bij jou wel gewoon?

Ik heb een LG Velvet en die wordt niet meer geupdate sinds LG gestopt is met mobiele telefoons.
Dus een geupdate OS zou wel erg fijn zijn.
Maar als allerlei apps dan niet meer werken heb ik er niks aan.

asing @xenn99 • 8 oktober 2024 19:25

Ik kan niets zeggen over de McDonalds app, maar de app van de Rabobank heeft in ieder geval nooit problemen gegeven.

Het ligt overigens aan SafetyNet (of diens opvolger) dat de McDonalds app zal weigeren. Je mag zelf de keuze maken wat je belangrijker vind. Een up-to-date ROM en geen McDonalds app of een ROM die sinds 2021 niet meer is bijgewerkt maar wel toegang tot de McDonalds app.

* McDonalds app geïnstalleerd en die doet het inderdaad niet. Geeft een error waar je niks mee kan.

[Reactie gewijzigd door asing op 8 oktober 2024 19:30]

xenn99 @asing • 8 oktober 2024 22:11

Als het alleen de McDonalds app zou zijn dan was het nog niet het einde van de wereld, maar elke app die gebruik maakt van dat SafetyNet werkt niet meer (goed).
Dat was voor mij inderdaad reden genoeg om terug te gaan naar de originele ROM.
Echt schandelijk dat Google het op deze manier heeft uitgevoerd maarja wat doe je er tegen.

asing @xenn99 • 8 oktober 2024 23:50

Ik heb toevallig nog een SafetyNet app erop staan.

Basic Integrity : PASS
CTS Profile Match : FAIL
Advice: Lock Bootloader

Doe ermee wat je wilt, voor een deel van de checks werkt het gewoon. Vanwege de ROM is mijn bootloader unlocked dus die faal die hou ik.

FitTiv @asing • 8 oktober 2024 14:51

tip, kijk eens naar Gcam hacks: https://www.celsoazevedo....roid/p/gcam-oneplus-6-6t/

CH4OS @xenn99 • 8 oktober 2024 14:29

Tegenwoordig is een custom ROM niet standaard meer met root, LineageOS althans niet in elk geval. Je kunt het allemaal zo mooi en uitgebreid maken als je dat wilt. Maar root rechten is an sich niet per se meer nodig en Android is gewoon Android natuurlijk.

[Reactie gewijzigd door CH4OS op 8 oktober 2024 14:30]

Honytawk @xenn99 • 8 oktober 2024 21:30

Heb gewoon een bankrekening bij een andere bank geopend die dat nog wel ondersteund.
Mijn bank gaat niet beslissen of mijn gsm geroot mag zijn of niet.

Dumpert @sdziscool • 8 oktober 2024 16:38

Hoe zit het eigenlijk met oudere versies van Android vallen die ook ten prooi aan dit of gaat met maximaal tot 12 terug?

vraag dit voor een vriend

Tonne2016 @sdziscool • 8 oktober 2024 16:05

Eigenlijk is het wel een beetje raar. Mijn Samsung A50 heeft al anderhalf jaar geen update meer ontvangen.
Nu weten wij hier op Tweakers wel dat dat niet zo geweldig is.
Echter, bij "Software update" staat na controle dat het toestel "Up to date" is.
Zou de gemiddelde Nederlander dan niet kunnen denken dat alles in orde moet zijn?

Misschien net een trapje verder dan de "Bolknop". Immers, "Up to date" zou je zomaar kunnen laten denken dat je de nieuwste software hebt.
Of denk ik nu te krom?

leuk_he @sdziscool • 8 oktober 2024 21:26

Misschien pre Android 12?

Ruw ER 8 oktober 2024 14:08

Dit soort zaken is wel de reden dat ik mensen die een android telefoon zoeken Pixels en Samsungs aanraad. Dan weet je in ieder geval zeker dat je updates gaat krijgen.

Alxndr

@Ruw ER • 8 oktober 2024 14:19

Dit bericht is alweer ruim 6 jaar oud:

Google verplicht fabrikanten Android-smartphones 2 jaar updates uit te brengen

Volgens mij bieden (bijna) alle fabrikanten nu al veel langer updates uit?

Mijn Fairphone 3 van ruim vier jaar oud krijgt nog steeds updates, tot 2026 geloof ik.

Ruw ER @Alxndr • 8 oktober 2024 14:41

Fairphone is ook absoluut een goede qua updates. Wat ik bedoel te zeggen is: als je 100% update garantie wilt voor een lange periode (minimaal 5 jaar bijvoorbeeld) dan blijven er maar weinig merken over in android smartphoneland.

Alxndr

@Ruw ER • 8 oktober 2024 18:51

Minimaal 5 jaar, bedoel je dat serieus?

Ik zal blij (en trots) zijn als mijne de 5 jaar - totdat hopelijk de FP6 uitkomt - vol maakt. Na 5 jaar is een telefoon volgens mij echt wel op, hardwarematig gesproken. (zeker een Fairphone die sowieso niet high-end is.)

Wat betreft updates zijn Google en Samsung Fairphone ondertussen al (ruim) voorbij toch? Ik let er niet echt op, want ik ben te merktrouw, maar ik meen iets van 8 jaar voorbij te hebben zien komen?

Loller1 @Alxndr • 8 oktober 2024 14:36

Alleen wordt dat amper daadwerkelijk bekrachtigt. Veel toestellen krijgen maar ieder kwartaal een update (of zelfs maar iedere 6 maanden) en dan durven die ook nog eens uit te lopen. Ongeacht, dat Google überhaupt 3 maanden al contractueel zou toestaan is alsnog best problematisch voor ernstige kwetsbaarheden.

Een toestel dat zich aan bovenstaande voorwaarde perfect zou voldoen zou er met 8 updates vanaf kunnen komen. Samsung en Google geven je in die tijd minstens 24 updates...

Dat gezegd hebbende is deze hele discussie vrij irrelevant, want deze kwetsbaarheid wordt opgelost via een Google Play Service update, niet een Android systeem update.

Bose321 @Ruw ER • 8 oktober 2024 14:59

Als je een telefoon met Android 11 of lager hebt ben je ook veilig voor deze kwetsbaarheid. Dus dan is gene updates hebben weer een voordeel.

N8w8 @Bose321 • 8 oktober 2024 19:38

Android security bulletins zeggen doorgaans niks over versies die niet meer supported zijn.
Ook in dit geval neem ik aan dat er niks over Android 11 staat, omdat die niet meer supported is.
Enige wat er eigenlijk staat is dat Android 12/13/14 er _wel_ last van hebben.
Dus niet dat Android 11 er _geen_ last van heeft.
Zelf ga ik er voorlopig maar vanuit dat Android 11 er ook last van heeft.
(ook @Dumpert)

Whdr 8 oktober 2024 14:18

In alle eerlijkheid , Er zij zoveel miljarden Android gebruikers (Al nemen we alleen maar de Chinese markt) dus denk dat dit lek ook snel gedicht wordt.

Apple en Windows lopen ook tegen dit probleem op, dus dit is niet nieuws. Dit hoort bij de ICT een spel van kat en muis.

Loller1 @Whdr • 8 oktober 2024 14:42

In tegenstelling tot Android krijgen Apple en Windows gebruikers echter beveiligingsupdates direct binnen. Bij Android ben je afhankelijke van de OEM voor systeemsoftware updates. In dit geval gaat het nu toevallig om een Google Play Service update die wel in handen van Google is, maar dit is belange na niet altijd het geval.

watercoolertje

Google
Google Android

@Loller1 • 8 oktober 2024 14:54

In tegenstelling tot Android krijgen Apple en Windows gebruikers echter beveiligingsupdates direct binnen.

Owja? MS wacht niet (tot) een maand? Wikipedia: Patch Tuesday

En Apple, die zegt gewoon pas dat er een update is als die er is. Google had ook niks kunnen zeggen en pas als alle fabrikanten de update klaar hebben staan kunnen zeggen dat er een update is. Dan lijkt het ook of er geen tijd tussen zit

Loller1 @watercoolertje • 8 oktober 2024 16:05

Wat Google nu heeft gedaan is het equivalent van wat Apple doet wanneer ze een update uitbrengen en wat Microsoft maandelijks (en vaak nog regelmatiger) doen. Bij Google krijgt niemand die update direct op Pixel gebruikers na. Het is nu voor ieder toestel afwachten wanneer en of de Oktober 2024 update uit komt. Bij Microsoft en Apple zijn die updates direct voor 100% van de toestellen beschikbaar. Iedere ondersteunde Windows machine krijgt bij release direct toegang tot de update. Iedere iPhone, iPad en Mac krijgt bij Apple direct toegang tot de update.

De vergelijking die je maakt slaat absoluut nergens op, om nog maar te zwijgen over het feit dat het overduidelijk is dat "lek gedicht en direct uitrollen" totaal niet is waar het hier over gaat.

[Reactie gewijzigd door Loller1 op 8 oktober 2024 16:07]

Struykie @Loller1 • 8 oktober 2024 16:44

Pixel 7a hier, laatste update: Android 14, 05 september.

Meemzeh 8 oktober 2024 14:09

Dit is nogal wat. Je zou verwachten dat je vandaag dan ook nog deze update zou ontvangen. Hier nog niks ontvangen in ieder geval.

Anoniem: 454358 @Meemzeh • 8 oktober 2024 14:16

mijn verwachting is dat de meeste android telefoon helemaal geen update gaan krijgen. Enkel wat moderne pixel en samsung toestellen wellicht,

Pieter_621 @Meemzeh • 8 oktober 2024 14:17

Ik moest op mijn google pixel even handmatig controleren op updates, maar die van oktober stond er netjes bij. Andere fabrikanten kunnen wel eens langzamer zijn met updates uitrollen - sommige telefoons krijgen bijvoorbeeld maar een keer per drie of zes maanden een beveiligingsupdate.

CH4OS @Meemzeh • 8 oktober 2024 14:24

Omdat de fix in de Oktober (security) fixes van Android komt. Het moet daarna ook nog naar de fabrikanten die de ROMs voor de toestellen updaten. Het kan dus best wel november, december of zelfs 2025 worden wanneer fabrikanten met de fix voor dit issue naar hun toestellen/devices komen.

Zie verderop in de thread, het blijkt dat de update via Google Play system geupdate gaat worden.

[Reactie gewijzigd door CH4OS op 8 oktober 2024 15:03]

Falco

@CH4OS • 8 oktober 2024 14:52

Hmmm, dan kan het dus gaan gebeuren dat de Oneplus 5 met Lineage OS van mijn kinderen eerder een security fix gaat ontvangen, dan mijn eigen Samsung S21FE.....

CH4OS @Falco • 8 oktober 2024 15:02

Dat gaat meevallen, de update komt via een Google Play system update uit. Zie ook magatsu in 'Android-telefoons bevatten lek dat remotecode-execution mogelijk maakt'. Maar kan het uiteraard nog wel een gefaseerde roll-out zijn.

[Reactie gewijzigd door CH4OS op 8 oktober 2024 15:03]

magatsu @Meemzeh • 8 oktober 2024 14:53

Deze komen automatisch via Google Play System Updates binnen: https://source.android.co...oogle-Play-system-updates

Hoef je dus niets voor te doen want Google stuurt het zelf uit.

DaFeliX Developer 8 oktober 2024 14:10

Als ik naar de changelog kijk, zie ik inderdaad CVE-2024-40673 vermeld, met een link naar de commit; deze diff bekijkende lijkt het om de headers te gaan van zip files.

CSB 8 oktober 2024 14:10

Je zou denken dat Google zijn Pixel serie als eerste zou patchen dan. Echter is die Security update van Oktober nog niet binnen hier (*Pixel 6).

Anonymoussaurus

Google Android
Google

@CSB • 8 oktober 2024 14:14

Gefaseerde roll-outs zijn een ding.

mrhp @Anonymoussaurus • 8 oktober 2024 14:43

Volgens mij is de update tot op heden nog uitgebleven omdat later deze maand Android 15 wordt uitgerold? Of zou dat er niet mee te maken hebben?

Anonymoussaurus

Google Android
Google

@mrhp • 8 oktober 2024 14:45

Neuh, dit soort dingen gebeurt al langer. Kan soms maanden duren.

mrhp @Anonymoussaurus • 8 oktober 2024 14:55

CSB heeft het hier wel over specifiek de Pixel serie, die krijgt maandelijks (security)updates. Deze ontvang ik op mijn 8 Pro altijd keurig in de eerste week van de maand, of in ieder geval kort nadat ze de patch notes/changelogs posten. Ik vermoed dat vanwege de release van Android 15 (wat 15 okt zou plaatsvinden volgens bronnen) de update van deze maand uit de pas loopt. Dat het maanden kan duren voordat een maandelijkse Pixel update binnenkomt klinkt niet logisch.

Is een ander verhaal indien je een Xiaomi of OnePlus hebt uiteraard.

Anonymoussaurus

Google Android
Google

@mrhp • 8 oktober 2024 14:56

Nee, jij hebt het nu over security patches. Dat is wat anders dan Google Play System updates. Eerstgenoemde ontvang je maandelijks als Pixel-gebruiker ja, Google Play System updates niet per se.

mrhp @Anonymoussaurus • 8 oktober 2024 15:02

Klopt, ik heb het over de security patch, omdat CSB daarover begon in zijn comment. Ik plaatste de opmerking dat de release daarvan nu wat anders verloopt ivm A15.

Dat dit los staat van Play System begrijp ik, maar dat is niet waar ik op inhaakte

Simkin 8 oktober 2024 15:58

Betreft dit enkel telefoons of ook Android TV?

Auredium 8 oktober 2024 14:11

Android-gebruikers wordt aangeraden hun toestel zo snel mogelijk bij te werken naar de nieuwste versie van Android om potentiële beveiligingsrisico's te minimaliseren.

In veel gevallen is dus het advies om een nieuwe telefoon te kopen als ik het zo lees. Het is best frustrerend dat je zo afhankelijk bent van derde partijen voor het updaten van je foon.

stimpyMGS

@Auredium • 8 oktober 2024 14:27

nah, zie de comment van @Anonymoussaurus :
"Dat hoeft niet per se; CVE-2024-40673 (waar het in het artikel over gaat) komt met een Google Play System update: https://source.android.co...oogle-Play-system-updates :)"

[Reactie gewijzigd door stimpyMGS op 8 oktober 2024 14:28]

Alxndr

@Auredium • 8 oktober 2024 14:23

Volgens mij gaat het gewoon over de beveiligingsupdate, niet een update van Android zelf.

Hoeveel % van de nieuwe telefoons wordt niet eens met Android 15 geleverd?

Loller1 @Alxndr • 8 oktober 2024 14:40

100% momenteel. Er is nog geen enkel nieuw toestel uitgekomen dat Android 15 draait en nog geen enkel toestel heeft de update naar Android 15 gehad. Dit nu dik maand oud OS draait letterlijk op niks op dit moment, op enkele beta's na.

Bumpy_NL @Auredium • 8 oktober 2024 14:35

Hier draai ik sinds kort een custom ROM. Het was een gedoe om het werkend te krijgen, maar ik krijg nu vaak updates. Het zou niet zo moeten werken maar ik ben tevreden.

wiseger 8 oktober 2024 14:08

Had niet goed gekeken.

[Reactie gewijzigd door wiseger op 8 oktober 2024 14:12]

InZane @wiseger • 8 oktober 2024 14:12

Je hebt een typo. Het gaat om CVE-2024-40673.

Pieter_621 @wiseger • 8 oktober 2024 14:12

Het is CVE-2024-40637, je hebt de 6 in een 4 veranderd.

Te zien aan de link onder 'references' in de gelinkte security bulletin gaat dit over een remote code execution gerelateerd aan het afhandelen van zip-bestanden met ongeldige headers.

ACM Software Architect @wiseger • 8 oktober 2024 14:12

Ik denk dat jouw CVE-bron niet klopt.

Bij mitre.org (en NIST) staat ie iig nog op reserved.

De bug-reference van Google zelf zegt dit:

Do not accept zip files with invalid headers.

According to Section 4.3.6 in [1] non-empty zip file starts with
local file header. 4.3.1 allows empty files, and in such case
file starts with "end of central directory record".

This aligns ZipFile with libziparchive modulo empty zip files -
libziparchive rejects them.

Die zal wel expres ietwat obscuur zijn geformuleerd, maar het suggereert dat er iets met zipfiles en/of headers ervan mogelijk was.

air2

@wiseger • 8 oktober 2024 14:13

Dat is idd andere CVE Die niet in dit artikel of in het bron artikel genoemd worden.

Maar wel bijvoorbeeld:

CVE-2024-40673 | A-309938635 | RCE | High | 12, 12L, 13, 14

Vexxon @wiseger • 8 oktober 2024 14:15

Maar dat lijkt mij ook geen onderdeel van het OS lijkt mij

CH4OS @wiseger • 8 oktober 2024 14:17

Toch wordt het nummer ook genoemd in https://source.android.com/docs/security/bulletin/2024-10-01. Lijkt me niet dat zij het ook fout hebben, toch?

Volgens mij worden vaak nummers op voorhand al gemaakt en is er volgens mij geen vast stramien oid voor de nummering, bij de partijen die CVE-issues kunnen aanmaken. Ik zat te zoeken op het verkeerde CVE ID.

EDIT:
En volgens https://cve.mitre.org/cgi...e.cgi?name=CVE-2024-40673 (is Mitre niet de organisatie achter CVE's?

) is het issue zelfs nog leeg en 'gereserveerd'.

EDIT2:
En volgens Center for Internet Security is het weer wel een Android issue: https://www.cisecurity.or...e-code-execution_2024-110

[Reactie gewijzigd door CH4OS op 8 oktober 2024 14:36]

Geekomatic

8 oktober 2024 14:34

(was niet relevant)

[Reactie gewijzigd door Geekomatic op 8 oktober 2024 14:35]

Op dit item kan niet meer gereageerd worden.

Android-telefoons bevatten lek dat remotecode-execution mogelijk maakt

Lees meer

Reacties (106)

Sorteer op:

Weergave: