Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties

Een Britse beveiligingsexpert heeft details van een lek in Android bekendgemaakt. Thomas Cannon maakte de gegevens openbaar omdat hij vindt dat Google kwetsbaarheden in Android-telefoons niet snel genoeg kan oplossen.

Het door Cannon ontdekte lek maakt het mogelijk dat websites bestanden en gegevens van de sd-kaart lezen en uploaden naar een willekeurige server, zo schrijft de Brit op zijn blog. De exploit werkt via een bestand met Javascript: dat wordt automatisch gedownload, op de sd-kaart opgeslagen en geopend. Omdat het bestand lokaal is opgeslagen, geeft de browser geen waarschuwing als het wordt uitgevoerd. Vervolgens kunnen er bestanden van de sd-kaart mee worden gelezen en geüpload.

Het enige dat een gebruiker merkt, is dat de download van het script wordt weergegeven in de notificatiebalk: die is echter niet te stoppen, omdat de browser niet vraagt of het bestand gedownload moet worden. Er zijn een aantal manieren om datadiefstal op deze wijze te voorkomen: zo kan Javascript worden uitgezet, er kan een andere browser zoals Opera worden gebruikt en de sd-kaart kan worden ontkoppeld.

De beveiligingsexpert schrijft dat hij een lek als dit normaal gesproken niet zou hebben geopenbaard zolang de softwaremaker aan een oplossing werkt. Bij Android ligt dat echter anders, zegt Cannon. "Updates voor Android komen van fabrikanten en providers, die individuele toestellen moeten updaten. Dat gebeurt tot nu toe niet altijd snel. Daar zullen ongetwijfeld legitieme redenen voor zijn, maar uiteindelijk blijven veel toestellen langdurig of zelfs voor altijd kwetsbaar voor dit lek."

Google heeft inmiddels beloofd dat er na Android Gingerbread een kleine update uitkomt om het lek te dichten. Het is onduidelijk hoe Google in de toekomst zal omgaan met kritieke lekken in het OS of applicaties. Een mogelijke oplossing is dat applicaties, zoals de browser, apart via Android Market worden bijgewerkt. Dat kan nu al met mailapplicatie Gmail en videoprogramma Youtube.

Moderatie-faq Wijzig weergave

Reacties (106)

Why I'm not worried: The exploit likely is a one-off (at least as it's currently explained), meaning it has to be written explicitly for a known folder and file on your SD card. OK, so pictures are pretty easy to get at, but it's still one at a time, and you have to know the exact file name. Seeing as how I don't advertise the full path to the items on my SD card, I'm not too concerned about this one.

http://www.androidcentral...browser-exploit-uncovered

En ik vind de reden erg dom om dit vrij te geven.
zeggen dat je snapt dat er vast redenen zijn waarom een update niet snel kan worden verspreid.

en dan toch de bug bekend maken zodat iedereen weet wat de bug is en dat en niet gauw een oplossing is..

slim..
Deze exploit is misschien zo gemaakt dat deze moet weten wat waar te vinden is, maar ik gok dat er mensen zijn die in no-time een search naar bep. bestanden geschreven hebben en hoppa: al je docs en pics zijn te uploaden.

Ik zou me zeker wel zorgen maken om zo'n exploit.

Zoals veel mensen hierboven al melden: dit is ECHT het grootste probleem van Android, de fragmentatie van de distributie...
Ik heb het net even geprobeerd op mijn eigen Samsung Galaxy ("oldschool") met Android 1.5 en ik zie wel mogelijkheden inderdaad.

Als ik een URL open die de headers stuurt dat die moet downloaden (Content-Type: application/download) en een HTML-file name (Content-Disposition: attachment; filename="test.html") dan wordt die inderdaad automatisch gedownload. Bij mij krijg ik dan wel het downloads schermpje, met al m'n downloads erin (edit: in de Android 2.2 emulator staat er dan alleen even "Starting download..." in het scherm, maar verder download die gewoon automatisch op de achtergrond zonder verdere meldingen, net als in het filmpje).

Ook kan ik daarna dat bestand gewoon openen door te verwijzen naar "content://com.android.htmlfileprovider/sdcard/test.html". In test.html had ik een JavaScriptje gezet met enkel "window.alert('Test');".

Als ik dus met JavaScript eerst het bestand download (met gewoon window.location = ''), dan even wacht, en daarna op dezelfde manier de "lokale" test.html open, dan wordt er dus gewoon dat javascriptje uit test.html uitgevoerd.

Dat javascriptje kan ik nu natuurlijk uitbreiden dat die hetzelfde doet als die van de ontdekker, en gegevens verzamelt en opstuurt (helaas is mijn JavaScript kennis niet uitgebreid genoeg, dus ik weet persoonlijk niet hoe je uberhaupt een file kunt uitlezen om op te sturen naar een server).

Kwalijke zaak dit, maar het toont des te meer aan dat de manier waarop Android wordt gemaakt eigenlijk slecht is. De iPhone heeft met zijn IOS ťťn geÔntegreerd systeem, en er zijn maar een handvol verschillende devices. Deze kunnen allemaal gewoon goed geupdate worden om dit soort beveiligingsrisico's tegen te gaan, en dan weet je ook vrij goed welke versies van IOS op welke devices draaien (mits de gebruiker de updates niet op de een of andere manier blokkeert).

Met de versplintering van Android toestellen en versies kom je uiteindelijk dus terecht in een maintenance nightmare. Er zijn talloze devices en die draaien talloze versies van Android. En dan is de ene 2.0 versie zelfs de andere nog niet, omdat HTC zijn versie wel eens anders aangepast zou kunnen hebben dan Samsung.

Eigenlijk zouden gewoon alle applicaties op Android gelinkt moeten worden aan de Market, dus ook de browser en dergelijke (al dan niet "hidden", dat je ze bij normaal browsen in de Market niet tegenkomt). Dan kunnen deze applicaties gewoon afzonder geŁpdate worden.

Ook zou dan misschien zelfs de core van Android in de Market moeten komen, zodat als daar een probleem in ontdekt wordt deze ook gewoon geŁpdate kan worden.

De afhankelijkheid van steeds meer externe bedrijven voor het aanleveren van roms en updates werkt simpelweg niet (en ik merk daar zelf ook veel van, doordat mijn Samsung Galaxy dus enkel op 1.5 draait en ik nooit updates zal kunnen ontvangen, niet voor de kernel, maar ook niet voor de browser, de SMS-applicatie, etc, omdat Samsung maar even heeft besloten dat niet te ondersteunen).

[Reactie gewijzigd door 84969 op 25 november 2010 15:08]

Eigenlijk zouden gewoon alle applicaties op Android gelinkt moeten worden aan de Market, dus ook de browser en dergelijke (al dan niet "hidden", dat je ze bij normaal browsen in de Market niet tegenkomt). Dan kunnen deze applicaties gewoon afzonder geŁpdate worden.
Daar zijn ze ook mee bezig, de volgende apps van Google zijn al via de market te updaten:
Gmail*
Youtube*
Maps*
Goggles
Earth
Voice Search*
Sky Maps
Gesture Search
Google Voice*
Car Home*
Google Search*

Waarvan de met apps met sterretjes op de meeste toestellen standaard al staan :)
Met 2.3 zou die lijst zeer waarschijnlijk uitgebreid worden!
De browser bijvoorbeeld is een ander verhaal, omdat veel fabrikanten daar zelf zaken aan hebben aangepast. Dat kan je niet zomaar even updaten met een universele app, zoals dat bv wel met maps, en de gmailapp wel kan.
Dan ligt de verantwoordelijkheid dus bij de fabrikant!
Ja presies! en die willen zich dus zo veel mogelijk met 'telefoons verkopen' bezighouden en zo weinig mogelijk met support, updates en aftersales. Iedere cent die daar naar toe gaat krijg je niets voor terug.
Jawel hoor... je krijgt daar een goede naam voor terug, en dat is zeker niet onbelangrijk wanneer je op langere termijn denkt. Als je ziet hoe lang Apple updates blijft uitbrengen voor zijn iDevices, dan kan je moeilijk anders dan toegeven dat ze op dat vlak ťťn van de betere, zo niet de beste, zijn.

Mijn Milestone is een heel ander verhaal op dat vlak, en voor een tweaker is dat dan nog niet zo'n grote ramp, aangezien die met custom ROMs aan de slag kan (wat bij de milestone een beetje moeilijker ligt met de locked bootloader). Voor een gewone gebruiker wil dat gewoon zeggen dat na de beloofde 2.1 upgrade er waarschijnlijk niets meer uitkomt voor zijn toestel, wat toch jammer is.
en hoeveel heb je er geÔnstalleerd staan? Je gaat me niet zeggen dat die files de enige zijn. Geef nou gewoon eens toe dat Google ook iets fout kan doen
Ik kan Gmail en Youtube anders niet vinden via de market :| (Ik heb 2.1)
Ligt aan je visie op software. Is leuk hoor, dat argument dat er maar 4 verschillende iPhones zijn om een update voor te ontwikkelen. Maar dat betekend ook dat je maar keuze hebt uit 4 toestellen en 1 bedrijf.
Ik heb dan liever dit soort dingen, en dat dit soort hackers desnoods via publicatie bedrijven pushen tot het uitrollen van updates. Daar ligt namelijk gewoon het probleem. De onwil om telefoons te updaten. Zou op al die android devices niet zo moeilijk moeten zijn.

[Reactie gewijzigd door Alpha Bootis op 25 november 2010 15:30]

Een mogelijke oplossing is dat applicaties, zoals de browser, apart via Android Market worden bijgewerkt.
En laat het nou net zo zijn dat android market niet standaard op alle androidapparaten zitten..
Daar is het ook niet Google's verantwoordelijkheid :) Ze hebben niet voor niks geen toestemming om Google-apps aan te bieden...
Ja daar hebben kopers van zo'n apparaat echt veel aan. 'Sorry niet de verantwoordelijkheid van Google, dus helaas geen updates aan core-componenten van het OS voor u' 8)7
Dat zeg ik niet, maar Google maakt gewoon een update voor Android... Het is inderdaad aan de fabrikant om die update weer door te pushen op hun eigen manier :)

Lullig voor de consument, maar misschien leren ze dan ook is wat markt-onderzoek te doen, ik weet dit namelijk en zal dus niet snel wat kopen wat niet door Google ondersteund wordt :)

Android != Google en Google != Android denk dat je dat een beetje vergeet ook, is gewoon een bewust slim doordachte opzet natuurlijk om dit soort dingen inderdaad niet hun verantwoordelijkheid te laten zijn :)

Anyway, als er blijkt dat Linus Torvalds een verbeterde kernel heeft gemaakt door een foutje in de vorige, is het dan zijn verantwoordelijk dat alle linux based OSen die kernel krijgen... Dacht het niet, hier is het precies zo!

Er is iets open source uitgebracht, dat wordt gebruikt door een partij en die partij is daar dus weer verantwoordelijk voor (ook voor eventuele updates)! Niet de partij die het open source heeft gemaakt! Gelukkig niet zeg :D

[Reactie gewijzigd door watercoolertje op 25 november 2010 14:36]

Dus eigenlijk geef je al aan wat er volgens een hoop mensen mis is met het update model van Android: als je niet het juiste toestel, van de juiste frabrikant, en in sommige gevallen (vooral VS) ook nog eens bij de juiste carrier koopt, dan loop je een groot risico dat je buiten de boot valt bij updates? Wat bij OS upgrades al vervelend is maar bij veiligheidslekken zelfs een groot probleem kan opleveren. Voor de consument zit er maar 1 ding op en dat is van te voren helemaal uit te gaan pluizen welke fabrikanten hun (reeds verkochte) toestelllen goed ondersteunen en van updates voorzien.

Lijkt me nogal duidelijk dat dit er in het geval van mobieltjes toe leidt dat massa's mensen uiteindelijk met outdated en mogelijk onveilige toestellen eindigt, want praktisch geen mens houdt zich met mobiele OS'en en beveiliging bezig, ik denk dat misschien wel 90% van alle kopers gewoon het toestel kiezen dat ze het mooiste of het handigste vinden, en dat ze het makkelijkst voor een aantrekkelijke prijs bij het abbo kunnen krijgen. Voor featurephones en dumbphones nog wel te overzien, maar bij smartphones kan dit eigenlijk echt niet meer, want zoiets als een Android smartphone is praktisch een volwaardige computer met zoveel potentiele veiligheidsrisico's, dat security updates net zo'n must zijn als op Linux, Windows of OS X. Je noemt zelf updates van de Linux kernel als voorbeeld waarom het bij Android lang zo gek niet is hoe het met updates werkt, maar daarmee maak je onbedoeld precies mijn punt: kernel en security updates worden namelijk wel degelijk door elke distributie overgenomen (al dan niet als backport) en updates zijn bij alle grote besturingsystemen standaard automatisch en instantaan. Als Microsoft of Apple een security fix released, dan staat ie dezelfde dag nog op mijn systeem.

Ik blijf erbij dat dit soort problemen duidelijk de keerzeide van het Android model laten zien, het OS wordt veel te vaak door fabrikanten gebruikt als goedkope, makkelijke manier om zonder eigen inspanning aan een volwaardig en flexibel mobiel OS te komen, en Google doet weinig of niks om daar voorwaarden aan te verbinden. Wat er natuurlijk toe leidt dat veel telefoons gewoon na 1 jaar geen support meer krijgen omdat elke fabrikant jou veel liever een nieuw toestel verkoopt dan dat hij geld gaat investeren zodat jij je huidige telefoon 3 jaar netjes en up-to-date kan blijven gebruiken. Wat dat betreft doen Microsoft en Apple het toch echt veel slimmer: geen customization, strenge hardware eisen en een gecontroleerd update model voor het OS. Misschien iets minder flexibel en minder keuze voor gebruikers, maar uiteindelijk profiteer je er ook als consument van als je niet continu in update-nachtmerries terecht komt omdat je 'het verkeerde toestel' hebt gekocht.
Er is altijd een keerzijde, bij Google door de openheid, bij Apple bij de geslotenheid... Of wou je zeggen dat die 0,0 problemen hebben omdat het gesloten is :D Wat dacht je van mensen die het gewoon niet kopen omdat het gesloten is? Of is dat geen probleem?

Volledige controle/geslotenhed is niet goed, volledige openheid ook niet, is nooit beweerd overigens, persoonlijk geen ik wel om openheid :) Daarvoor bestaat Google (en Meggo en nog meer), wil je dichtgetimmerde telefoon? Prima dan koop je WP7 of een iPhone... Beide met eigen keerzeides, welke vind jij belangrijk is de vraag? (niet aan jouw gesteld maar aan iedereen voor zich zelf!)

[Reactie gewijzigd door watercoolertje op 25 november 2010 15:30]

Nou ik heb dus liever die geslotenheid dan treats die niet meteen als een update uitkomt gepatcht kunnen worden zonder te wachten. In de tussentijd bied jb uitkomst. Maarja dat is mijn mening, ik kan alles wat ik wil met mn iPod (incluis bellen en smsen trouwens).
Apple of andere met een gesloten systeem hebben net hetzelfde. Daar moet je ook op hun wachten of ze het probleem gaan oplossen en ondertussen ben je ook kwetsbaar voor misbruik.

Je moet je geen zorgen maken over de exploits die bekend raken. Je moet je zorgen maken over de exploits die niet bekend raken.
Hoe denk je Łberhaupt dat elke versie van iOS een of meerdere jailbreaks heeft? Een bug van Apple die wordt misbruikt. Net zoals niemand anders complexe software kan maken zonder bugs en net zoals niemand anders kan garanderen dat ze altijd alle bugs er in de toekomst zullen uithalen.
Klopt, alleen pushen die het dan meteen naar alle gebruikers van alle telefoons en andere iOS devices. Apple is ook lang niet zo traag als de gemiddelde provider.
Inderdaad, Apple doet toch vele malen netter. Ze brengen een update uit welke dan niet alleen voor de iPhone geschikt maar voor alle devices.
MS heeft dat ook ingezien en hanteert nu hetzelfde model met WP7.
Zelfs Nokia is hier volgens mij op overgestapt, mijn telefoon liep altijd vele versies achter waardoor ik tal van apps niet kon installeren.
Het voordeel van een open systeem is dat alle fabrikanten die de source gebruiken zelf toevoegingen of wijzigingen kunnen aanbrengen. Dit is tegelijkertijd een nadeel i.g.v. beveiligingslekken omdat de oplossing van een probleem een fuzzy aangelegenheid kan worden.
Ik prefereer dan een gesloten systeem omdat je dan weet dat er maar 1 partij is die de zaak moet patchen wat dan via geŽigende kanalen gedistribueerd kan worden.
Stel je eens voor dat bijv W7 opensource zou zijn en je een PC koopt waarop door de leverancier van die PC aanpassingen/aanvullingen op het OS zijn gedaan. Denk je dat een lek net zo eenvoudig opgelost kan worden als nu het geval is?
Wie zegt dat bij gesloten systemen de boel wordt gepatcht. Je zit nog steeds vast aan de fabrikanten die een update uit moet brengen.

Android is gewoon een framework waar fabrikanten hun OS op kunnen bouwen. Ze bouwen hun eigen OS, dus is het hun verantwoordelijkheid om de updates te brengen.

Dat ze dit niet doen ligt niet aan het feit dat ze een open source besturingssysteem gebruiken. Als zij een gesloten systeem zouden gebruiken, zouden ze nog steeds het systeem niet zo gauw updaten.
Android != Google en Google != Android denk dat je dat een beetje vergeet ook, is gewoon een bewust slim doordachte opzet natuurlijk om dit soort dingen inderdaad niet hun verantwoordelijkheid te laten zijn
Jep zo snel er wat aan de hand is kan Google zijn handen er vanaf trekken.
Jij ziet het als manco aan Android, ik aan de mensen Geeft niet is gewoon een mening al vond je het de schuld van de koningin had dat natuurlijk ook gemogen!
Dat is wel degelijk een fout van de opzet van Android. Maar dat maakt niet uit dat jij dat niet vind, Android is immers onfeilbaar.
Bekijk eens hoe android in elkaar zit. Het is gemaakt uit stukjes.
Ik durf te wedden dat deze bug niet werkt bij andere browsers die op android draait.

Wie verplicht je om deze browser te gebruiken? En ja het is fout om sommige programma's niet los updatebaar te maken. Hebben ze van geleerd.

Ze zijn nu bezig om alles los van elkaar update-baar te maken. Zodat zulke problemen niet meer voorkomen.

Deze fout is ongeveer te vergelijken met de PDF fout in de browser van iOS.

Beide zijn niet super. Ze hebben allebei wat. Moet soms zeggen dat ik de logica in de safari browser in iOS ook niet snap op de iphone. EfficiŽnt met ruimte omgaan op een klein schermpje denken ze niet aan met die rare balk.
Dat is wel degelijk een fout van de opzet van Android. Maar dat maakt niet uit dat jij dat niet vind, Android is immers onfeilbaar.
Is jou diezelfde mening niet toegedaan als we het over Apple hebbedingetjes hebben?
Wat consumenten dus nauwelijks doen en wat meteen dan ook het grote manco is van Android. Hoe je het ook wendt of keert, Android heeft last van wat een fabrikant bepaald, ondersteundt door Google of niet, de consument is er de dupe van. Dat bepaald weer het beeld wat men dan krijgt van Android, Google zou het gewoon niet moeten toestaan dat toestellen uitkomen die niet een betere support hebben via Google, maar ja... dat is weer te gesloten he.
Jij ziet het als manco aan Android, ik aan de mensen :) Geeft niet is gewoon een mening al vond je het de schuld van de koningin had dat natuurlijk ook gemogen!

En 'de consument' ik weet het niet maar we hebben nu dus een discussie over toestellen die dus GEEN ondersteuning krijgen van Google, die dus GEEN logotje hebben, hoeveel consumenten denk je dat we over praten? Voor zover ik weet zijn alle in NL verkochte toestellen met een Google logo verkocht DUS market dus is dat het andere verhaal, die overige 1% gaat echt niet het imago verneuken :D

Er zijn altijd lekken, zie ongeveer elke Android-versie die root-acces kan krijgen door bug/hacks en iPhones die per versie weer een andere of oude bug/hack kunnen gebruiken om te jailbraiken...

En als laatste is er nog geen 1 fabrikant die hier op heeft gereageerd die geen market/google logo heeft... Dus wie zegt Łberhaupt dat het daar niet opgelost wordt? Of is dat gewoon een aanname? (retorische vraag dus bespaar je de moeite)

[Reactie gewijzigd door watercoolertje op 25 november 2010 14:58]

"De mensen" ergens de schuld van geven is zo'n naief en elitair techneuten standpunt. Dit is gewoon duidelijk een manco van hoe android in de basis is opgezet . Namelijk dat er geen mechanisme is om dit soort kritische updates gelijk OTA naar alle toestellen te pushen. In plaats daarvan zit je (google ondersteuning of niet) gewoon belachelijk lang te wachten totdat gefragmenteerde partijen (HTC, SE, Samsung) eens van hun luie reet afkomen en hun energie gaan steken in het verbeteren van al verkochte produkten.

[Reactie gewijzigd door MrAngry op 25 november 2010 15:07]

Ik geef niemand de schuld, ik zeg enkel dat ik het hun eigen schuld vind, of iemand schuldig is of niet is aan een rechter te beslissen!

Een mechanisme ontbreekt helemaal niet, hoe kan Google nou weten wat iemand aan OPEN SOURCE code heeft aangepast om daar een gepaste patch voor te schrijven? Dat kan niet, dus kan je wel een mechanisme maken om updates te pushen maar heeft het nut als je niet weet wat je moet sturen? NEE

Zoals ik al zei als de linux foundation (of hoe ze ook heten) een patch uit brengt is dat ook niet aan hun om dat door te pushen, maar aan de partij die de OPEN SOURCE code heeft gebruikt :)

Bij closed source wordt het een heel ander verhaal inderdaad, maar dat is hier niet van toepassing dus niet relevant!

[Reactie gewijzigd door watercoolertje op 25 november 2010 15:15]

Je kan wel weer proberen recht te lullen wat krom is, zoals je in elke android thread doet (dat begint ook een beetje oud te worden, je bent de Breezahboy (apple fanboy) in de android comments).
Maar als je redenen aanvoert waarom een mechanisme ontbreekt, dan ben je het dus met me eens dat het ontbreekt. En wat daar ook de oorzaak voor is (het lijkt erop dat een van de oorzaken ook de succesfactor van android is), dat mechanisme ontbreekt nog steeds en dat is een zwak punt. En dat mag je best benoemen hoor. Dan kan je daarna nog steeds fan van Android zijn.

[Reactie gewijzigd door MrAngry op 25 november 2010 15:33]

Geloof me ik erken genoeg fouten, maar wat je nu zegt slaat nergens op, en duw me aub niet in een hokje daar zijn mensen niet voor bestemd (oke doe ik ook wel is naarmate ik gefrustreerder wordt :P) Hoe vaak moet ik nog zeggen dat ik niet in perfectie geloof, oftewel daar erken ik duidelijk mee dat ALLES fouten heeft ook Android en ook Google!

Ja het ontbreekt maar dat hoeft niet een slechte zaak te zijn, er ontbreekt ook een manier om je telefoon op afstand te laten ontploffen, is dat een gemis omdat het ontbreekt? Want zo redeneer je nu... Omdat JIJ vindt dat het er in moet zitten is het geen algemeen gemis! Daarbij is dat bij open source zo goed als onmogelijk, blijkbaar vind je open source nu slecht, so be it ;)

Ik reageer enkel omdat ik het er gewoon niet mee eens ben, heeft niks met fanboy's te maken, als er wordt geclaimd (zoals een stukje lager) dat de iPhone nog steeds via een webbrowser te jailbraiken is reageer ik daar ook op omdat ik heb vernomen dat dat opgelost/gefixed is! Ben ik nu een Apple en Android fanboy? Omdat ik graag dingen recht zet of nuanceer? Tja dat mijn karakter niet alledaags is heb ik al lang door hoor, ik ben duidelijk geen kuddeschaap en daar ben ik trots op, ik heb mijn eigen mening en visie! Dat ik dan weer meer van Android af weet omdat ik dat zelf hebt zorgt er wel voor dat ik meer in Android artikelen reageer inderdaad :) (voor de duidelijkheid ik had Android VOOR de kudde, vanaf dag 1 namelijk)

Maargoed gaat lekker vandaag dit is de 3de oneindige discussie, jij hebt je visie ik heb me visie, zo te merken zijn we beide niet bereid wat aan te nemen van de ander dus hierbij leg ik me er maar weer bij neer... Want voor andere is dit natuurlijk geen lezen :)

[Reactie gewijzigd door watercoolertje op 25 november 2010 16:00]

Met het grote verschil dat je telefoon op afstand laten ontploffen niet echt een alom gewaardeerde feature is, maar het kunnen updaten van je OS nogal. Dat is zeg maar standaard, voor computers, voor veel telefoons, voor iOS (altijd meteen vanuit de fabrikant) en uiteraard zeer belangrijk voor het dichten van lekken. Android mist de snelheid en soms zelfs de mogelijkheid, omdat de fabrikant er gezellig tussen zit. Dat is de allerdaagse realiteit. Of het nu open-source is en wordt aangepast door die fabrikanten (wat vaak alleen de fabrikant en wederom niet de consument helpt), het heet nog steeds Android.

Ik vind Android uiterst interessant, ben zeer benieuwd naar 3.0, maar dit specifieke manco houdt mij er zeker vanaf. Het brengt mij terug naar de tijd met WM waarbij ik gewoon altijd een nieuw toestel moest kopen omdat ik een OS upgrade wilde (en zie daar waarom fabrikanten zo blij zijn met het open-source karakter).

[Reactie gewijzigd door vgroenewold op 25 november 2010 16:16]

Met het grote verschil dat je telefoon op afstand laten ontploffen niet echt een alom gewaardeerde feature is, maar het kunnen updaten van je OS nogal.
Als ik dit even vertaal naar een desktop OS. Vergelijk het dan met Windows en de Linux Kernel. Alle software van MS kan je snel en makkelijk updaten via Microsoft Update. Bij de Linux Kernel ligt dat iets anders. Als er een nieuwe kernel of kernelpatch is welke een kritiek veiligheidslek dicht, moet je ook wachten tot je distro dit verwerkt in zijn update mechanisme. Je kunt ook zelf je kernel compileren (bij android kan je ook gebruik maken van een custom roms).

Zijn alle Linux distro's hierdoor ook slecht? Qua het updaten ben je, als gemiddelde gebruiker, (helaas) afhankelijk van de fabrikant van de telefoon.
wat zit jij nu te zeggen????

dat ik mijn droidje niet kan updaten??

zowel de apps (via market) worden automatisch geupdate als de systeemsoftware wordt automatisch geupdate ...


koop misschien eerst een android en werk er eens mee voordat je uit je nek ligt te zagen
Maar het is toch evident dat er een manier zou moeten zijn om dit soort lekken snel te fiksen? Het lijkt me niet dat ik de enige ben die dat vind. Sterker nog, als ik deze thread zo bekijk dan ben jij de enige die het open source karakter veel belangrijker vind dan het fiksen van lekken.

Nou is "het is nou eenmaal open source" an sich een slechte reden om niet zo'n mechanisme in te bouwen. Google zou best hier en daar wat restricties kunnen stellen aan wat wel en niet aanpasbaar is. Bijvoorbeeld de stock browser waarin dit probleem zich voordoet. Hang (zoals lager in de thread terecht genoemd) de browser (en alle andere stock apps) aan de market en een lek is binnen een dag te fiksen.

En dat is slechts een manier, je kan ook fabrikanten vragen om hun wijzigingen aan te melden bij google en je patch daar tegen testen en dan alsnog via de market verspreiden.
Het mechanisme is er in principe, alleen niet vanuit google. Dit soort updates komen via de telefoonfabrikanten, vŠn Google. De fabrikanten zijn dus verantwoordelijk, en daar moet je dus de schuld ook leggen. Hetgeen we 'Android' noemen kan namelijk (door Google) binnen een dag worden geupdate en zelfs beschikbaar worden gemaakt aan 'de wereld'. Hetgeen we echter als telefoon (de verzameling hard+software) gebruiken, wordt onderhouden door telefoonfabrikanten.

Het is dus aan de anderen om de updates door te voeren. Zo steekt het principe in elkaar, en eigenlijk is daar niets mis mee. Het zou namelijk helemaal niet 'snel updaten' in de weg hoeven te staan. Echter, de fabrikanten hebben veel minder interesse in updaten en patchen dan de consument, met als achterliggende reden natuurlijk: geld. Het kost geld om te patchen, geld om te programmeren, geld om te supporten en geld om te testen (et cetera).

Het is zaak om Android dit niet aan te rekenen, om de simpele reden dat de fout NIET bij android ligt, maar bij de fabrikanten. Als we dit namelijk wel bij Android neerleggen, krijgt Android erg snel een slechte naam, terwijl de veroorzakers van de problemen overstappen en dezelfde slechte dingen doen bij een ander systeem.. Wellicht dat Google een soort van 'verplichting' tot het verzorgen van updates moet opnemen wanneer ze een Android device 'goedkeuren', zodat er in ieder geval 2 jaar updates worden verzorgd.
Er is een manier om dat lek makkelijk te dichten, de fabrikant bij wie je het apparaat hebt gekocht is daar namelijk verantwoordelijk voor.

In de praktijk heeft deze bug 0,0 verschil met andere apparaten of besturingssystemen. De leverancier van het apparaat of OS is verantwoordelijk om de fout te herstellen en aan z'n klanten aan te bieden.
Dat dit niet bij iedereen gaat gebeuren is ook 0,0 verschil want in OS X, Windows, Linux, iOS, Symbian, ... (nee ik ga geen 39 pagina's opnoemen) zitten ook bugs waarvan vele pas na maanden worden opgelost en nog veel meer worden zelfs nooit gevonden door de fabrikant en dus ook niet opgelost.

Het enige kleine verschil is dat je het bij opensource zelf kan oplossen of een community kan zoeken waar mensen met de kunde zitten die het zelf oplossen.
Maar imo is het aantal gebruikers die deze oplossing gebruiken zo klein dat je over die 0,0 verschil in praktijk kan spreken. Misschien rond de 0.0001% Androidtelefoons die custom roms gebruiken?
Zoals ik al zei als de linux foundation (of hoe ze ook heten) een patch uit brengt is dat ook niet aan hun om dat door te pushen, maar aan de partij die de OPEN SOURCE code heeft gebruikt :)
Maar de partij die de opensource code gebruikt is meestal een distributie die zelf het probleem kan onderkennen. niet een 1 of andere hardware boer. Waar waarschijnlijk marketing de update tijden bepaald.

Daarbij Het manco is Google zij hebben een platform ontworpen wat generiek niet goed te beheren valt.

Denk je echt dat straks bij de Meego telefoon de security updates van de provider komen? providers hebben straks hun verantwoordelijkheid over de Meego App store. Het besturings systeem zelf wordt beheerd door de Linux foundation niemand anders. zeer duidelijk een auto fabrikant heeft andere visie over apps dan een telefoon provider.
geen enkele mogelijkheid om vingers te gaan wijzen. Veilig door ontwerp.

en gast....
hoe kan Google nou weten wat iemand aan OPEN SOURCE code heeft aangepast
omdat iemand die aangepaste open source code distribueert verplicht is de aanpassingen te melden/openbaar te maken.

[Reactie gewijzigd door daft_dutch op 26 november 2010 00:54]

Inderdaad!!

Je moet dan bij de fabrikant van het apparaat zijn en die vragen/dwingen om een fix. Deze kan dan wel door Google gemaakt zijn, maar voor de consument maakt het niet uit. Je hebt alleen een relatie met de fabrikant en niet met de toeleveranciers van die fabrikant!
Dat lijkt me nogal een rare interpretatie van ondersteuning. Als jij een auto koopt bij de dealer en de volgende dag werkt je electrische raam niet meer, ga jij dan naar de fabrikant van de motortjes in de ramen om het opgelost te krijgen?

Je koopt een mobiele telefoon, en niet 'een berg chips op een printplaatje met een schermpje en een batterij erin', dus dan mag je verwachten dat zowel de hardware als de software ondersteund worden door de fabrikant. Voor de meeste mensen is het onderscheid tussen de hardware en de software zelfs niet eens te maken, die kopen 'een telefoon' en zien dat als een magisch kastje waarmee je kunt bellen etc, niet als een combinatie van hardware en software. Hoe het werkt interesseert bijna niemand.

Edit: @watercoolertje:
Je hebt helemaal gelijk hoor, blijkbaar is het enige punt waarop we van mening verschillen hoe groot dit probleem is of kan worden en hoe het opgelost wordt. Zoals het nu gaat duurt het gewoon veel te lang voordat Android toestellen worden geupdate, en vallen er veel te veel toestellen tussen de wal en het schip, en vooralsnog doet Google weinig tot niks om dit op te lossen. Op basis daarvan zou je zelfs kunnen concluderen dat je maar beter helemaal geen Android telefoon meer kunt kopen totdat het update model flink is aangepakt, want op deze manier is het risico vast te zitten aan een slecht ondersteund toestel gewoon te groot.

[Reactie gewijzigd door johnbetonschaar op 25 november 2010 15:31]

Dat zegt ie dus, als je het bij de dealer koopt moet je bij de dealer klagen, niet bij de leverancier van electrische raam-motortjes, dat de dealer daar waarschijnlijk op zijn beurt weer heen gaat is inderdaad hoe het hoort!

Dus HTC, Samsung, Archos, LG flink zeueren bij Google :D Maar wij als consument gewoon lekker waar we onze telefoon vandaan hebben! Precies zo als het hoort inderdaad!
Inderdaad! Ik schrok als kerverse Android gebruiker (Milestone) beetje van dit bericht. Hoest je 430 eu op voor zoiets, kom je erachter dat in feite dat ding alleen maar onveiliger wordt naarmate de fabrikant 'zijn prioriteiten verschuift'. Een beetje Googlen leerde me dat het zelfs nog een tijdje twijfelachtig was of de Milestone uberhaupt 2.2 zou krijgen (en dan pas in Q1 :( ).

Ik baal wel een beetje nu, het ding is nog geen jaar oud (of iig nog geen jaar beschikbaar hier in NL), en het heeft er nu al een beetje de schijn dat de support gaat opdrogen.

Maar terugkomend op bovenstaand, ik heb gelijk ff gemaild naar Motorola en mn zorgen geuit. Het is in feite als consument het enige wat je kan doen (naast een ander toestel kopen). Ik verwacht er niet veel van, maar je kan in ieder geval laten merken dat het leeft onder het volk.
En hoeveel mensen zijn er op dit moment al in de problemen gekomen door deze bug? Ik denk niet zoveel. Mensen op dit forum doen net of de wereld vergaat door deze android-lek. Hoelang hebben mensen windows niet draaien op de pc met een zogenaamd lek.
De vergelijking met een auto moet je net iets anders maken.

Je koopt een auto (bijvoorbeeld een Peugeot) bij een autodealer. Als er iets aan die auto mankeert dan ga jij terug naar de dealer want dat is de partij waar jij zaken mee hebt gedaan en je gaat dus niet naar de fabrikant/producent Peugeot.

In geval van een telefoon is het zo dat je hem koopt in een winkel (of bij een telco), die hem ingekocht heeft van een GSM fabrikant (Samsung, SE, HTC, ....), die er een OS heeft ingestopt van een andere fabrikant (Google, MS, .....).

Nu is er iets mis het het OS maar dan is toch de winkelier jou aanspreekpunt en degene die jou de garantie service zou moeten verlenen. Dat die dat vervolgens doorspeelt naar een fabrikant is mogelijk maar de partij waar jij heet apparaat hebt aangeschaft blijft verantwoordelijk voor de garantie.
De market is toch een beetje de windows update van android.
Als bedrijven deze market uit de telefoon gaan zitten verwijderen wordt het toch een beetje de verantwoordelijkheid van dat bedrijf.
De market kan zelf geen onderdelen van Android zelf updaten maar alleen updates voor app's die via diezelfde market zijn gedownload.
Goede kans dat de browser straks via de market word aangeboden.
Die kans lijkt me juist klein. Fabrikanten hebben vaak de browser zelf aangepast met extra functies of een mooier uiterlijk. Er kan dus geen update gemaakt worden die werkt voor alle toestellen. Het is dus niet zoals de maps of gemail app waar alles 'one-app-fits-all' is.

[Reactie gewijzigd door Deem op 25 november 2010 15:53]

Als Google nu een browser app aanbied die deze bug fixed denk ik dat veel android gebruikers hem zullen downloaden.

Het is daarna aan de fabrikanten om een update uit te brengen voor hun eigen aanpassingen.

Ik denk niet dat telefoons niet meer zullen werken na install van een nieuwe browser app.

Dat zou wel een heel erg internet explorer tafareel zijn. :X
(browser zodanig geÔntegreerd dat je niet zonder kan)
Dat kan je ook stellen van illegale windows. Maar microsoft brengt toch patches uit omdat windows toch iets teveel gekoppeld wordt aan malware.
Ah logisch MS doet iets, nu moet Google dat ook doen... Vraag me nu toch af wie je het liefste hebt dat ze gaan kopiŽren, Apple of MS.. Bij het ene bericht moeten ze meer Apple's kant op bij de andere moeten ze weer MS na-apen...

Ze kunnen nog een 3de ding doen, wat ze ZELF van plan zijn ;) Mogen ze gewoon lekker hun zelf zijn en blijven! Dan kan ik er nog jaren met plezier gebruik van maken...

[Reactie gewijzigd door watercoolertje op 25 november 2010 14:45]

Wat zeik je nou man. Het gaat om verantwoordelijkheid over producten en niet een MSvsApplevsGoogle wat jij er probeert van te maken.

Google heeft android gemaakt. Mensen hebben een telefoon gekocht omdat het een androidtelefoon is.

Voor een gebruiker maakt het niks uit of waar de verantwoordelijkheid ligt. Fabrikant of google.
Wat die onthoudt is: "androidproblemen? you're on your own."
Ach ik las de titel en dacht "nu gaan we vast kmf en WTF! hun gebruikelijke lijntjes FUD zien spammen"

En zowaar, first post zelfs, hulde :p
Bij die first post zegt hij dan wel de waarheid, zonder daar verder een oordeel over te vellen. Veel zinniger dan jouw post dus...

Ik vind het zelf ook een nadeel dat ik soms (beter gezegd meestal met mijn milestone) wat langer moet wachten op updates, maar bij dit soort berichten is dat zelfs zorgwekkend te noemen. Als je weet wat het betekent als er een .js bestand gedownload wordt, dan kan je het snel onderbreken, maar toch is het niet zo proper.

Een systeem waarbij de core apps ook via de market geupdated kunnen worden zou dat soort problemen sneller oplosbaar maken, en dat is ook waar Android naartoe gaat, maar dan komt de first post weer met zijn terechte opmerking: niet elk android toestel heeft die mogelijkheid.
Okay, fijn, bedankt. Dit maakt 't nog lastiger om een goeie keuze te maken voor m'n nieuwe toestel. Precies als mijn abbo afloopt heb ik deze punten:

- iPhone 4 met de nodige problemen, ook irritant als linkshandige zoals ik;
- iPhone 4 is de jailbreaken via website. Nogal een flink lek imo;
- Microsoft zet een fatsoenlijke telefoon op de markt met Phone 7;
- Microsoft phone vertoont hardware gebreken (slechte schermen oid);
- Android phones winnen in aandeel, nieuwe versies OS zien er goed uit;
- Android heeft beveiligingslek zoals deze.

Dus... Misschien rek ik het nog wel een maandje met m'n oude, stabiele winMo 6.1 phone :P
Toch grappig dat we tegenwoordig ook onwaarschijnlijk snel dingen als gsm's oud vinden. windows Mobile 6.1 is ergens in 2008 uitgekomen.
Nu de gsm's meer en meer kleine computers zijn met met een publiek OS erop zullen ze waarschijnlijk ook sneller beginnen "verouderen" net zoals onze desk- en laptops...

Ah... consumeren... :/
Telefoons worden nu al veel sneller oud dan laptops/pc's, mijn 1 jaar oude hero vind ik al een oud kreng nu, een desire is me al te oud om op dit moment nog aan te schaffen. PC hardware daarentegen is juist minder snel gaan verouderen omdat de vooruitgang daar langzaam wat minder snel gaat en de hardware eigenlijk ook al wel snel genoeg is om jarenlang niet te hoeven upgraden. Zelfs voor spelletjes gaat dat op als je je niet gek laat maken door de meute die roept dat alles op ultra high met 512x antialising gespeeld moet worden, mijn 2 8800GT's die 2,5 jaar geleden al goedkoop waren omdat ze niet meer de nieuwsten waren waren nog zat voor alle hedendaagse games, ik heb ze alleen nu vervangen door een 5770 omdat die stiller is en de 8800GTs crashen op UT3 engine games. Ik moet er echt niet aan denken dat ik nog met mijn telefoon van 2,5 jaar geleden zou moeten werken, brrr...
Ik zou bij iPhone eerder het gesloten platform als nadeel de gesloten markt noemen en stevige prijs. Ik heb een iPhone 4 en ik heb letterlijk nog nooit last gehad van dit antenne probleem en heb hem zowel links als rechtshandig beet op de antenne rand. Het enige wat mij irriteerd is dat applicaties zomaar zonder echt goede redenen uit de Appstore verdwijnen.

[Reactie gewijzigd door Kura op 25 november 2010 14:45]

Dat wordt dus terug naar de nokia 3310XD
iPhone is als het goed is al lang gepatched (behalve het hardware-probleem), MS toestellen moeten gewoon RMA, als er echt iets mis is dus is ook niet een echte issue, in dit artikel staan een paar simpele stappen om de bug/exploid in Android te omzeilen/niet mogelijk te maken :) De makkelijkste is een andere browser gebruiken (skyfire schijnt ook nog sneller te zijn dan de stock browser).

Dus ja hou lekker je zelf voor de gek en blijf lekker op wm6.1 ;)

[Reactie gewijzigd door watercoolertje op 25 november 2010 14:48]

Het probleem dat ik heb met de alternatieve browsers, is vaak dat je absoluut geen garantie hebt dat deze ook geen gegevens die je liever niet algemeen bekend wil hebben doorstuurt naar de maker. Ik denk daarbij aan paswoorden en credit card gegevens en dergelijke. Makkelijk zat... maak een aangepaste versie van een bestaande open source android browser, verspreid die en de gegevens komen binnen.

Bij een bedrijf als Opera zal dat nogal meevallen denk ik, maar bij sommige andere alternatieve browsers heb ik toch zeker een gezonde dosis achterdocht.
Haha en winMo 6.1 heeft al die problemen niet. Je laat je nogal leiden door de media merk ik. Vrijwel elke telefoon die je nu kunt kopen in de winkel is beter op het gebied van features en veiligheid dan die winMo 6.1 phone die je nu hebt.
Die windows 6.x telefoon ondersteunt ten minste van af dag 1 apparaat encryptie net zoals een blackberry waardoor je bijvoorbeeld in een organisatie met gevoelige gegevens van dit soort issues geen last hebt.
"iPhone 4 is de jailbreaken via website. Nogal een flink lek imo;"

Gelukkig weet Apple dit wel binnen redelijke termijn te patchen... maar dat mag ik hier natuurlijk niet zeggen ;-)
Een flink 'Lek' dat in het voordeel is van de consument natuurlijk.
Ja maar bij Android kan je tenminste zelf de code aanpassen en gaan compileren als de fabrikant de update niet levert :')
Jailbreaken is toch een bewuste aktie van de consument? Dat gebeurd heus niet als je per ongeluk op een linkje klikt....
Als je nu een iPhone koopt in NL is het hardwareprobleem met de antennes ook al gefixt, even als het website-lek ;).
http://www.random.org/lists/

Vul de merken of apparaten in en klik op randomize. Als je iemand anders laat kiezen, weet je door je reactie daarop meestal plots wel wat je wil.
Maar als de fabrikant niet update, dan kunnen heel veel mensen een probleem hebben. Zo zie ik niet dat toestellen van 2 jaar oud nog een update van de fabrikant krijgt om het lek te dichten.
Niet dat die toestellen van 2 jaar nog gebruikt worden en dan op zo'n manier dat de exploit interessant is, maar zelfs al zal de fabrikant een update geven, dan moeten de mensen og de update uitvoeren....
Waarom zouden die toestellen niet gebruikt worden? Ik ken genoeg mensen die langer dan 2 jaar met een toestel doen.
Sterker nog, Mensen sluiten een contact vaak af voor 2 jaar, maar het geleverde toestel krijgt vaak geen updates meer als het langer dan een jaar op de markt is. Verder zijn er ook fabrikanten die een nieuwe telefoon introduceren met nog redelijk oude software (SE bv). Al die tijd zijn die mensen dus kwetsbaar.
Ik zie anders toch nog veel mensen met de eerste generatie iPhone rondlopen en dat zal ook wel zo zijn met Androids. Meestal komen zulke oude modellen bij zoon of dochter terecht en voor de echte cheapos ook bij de echtgenote.
Dan komt het tweede gedeelte van mijn zin in actie "dan op zo'n manier dat de exploit interessant is"

Als zo'n oude telefoon is doorgegeven aan zoon of dochter, dan maakt het al niks uit. Al jouw h0mep0rnfoto's zijn al weggehaald, en ook je betaalgegevens en weet ik veel wat allemaal.

Jou studerende zoon/dochter zal wel gek zijn om het oude meuk van hun vader over te nemen.
Dus het beste wat zo'n hacksite krijgt, is een lading foto's van pokemonspeeltjes.
Ik gebruik mijn DevPhone1 nog steeds hoor.
Het is heel vervelend voor bijvoorbeeld bedrijven waarbij veel Android gebruikers de Exchange server valse informatie over het beveiligingsniveau van de telefoon voorschotelen waardoor de organisatie denkt dat de data encrypted op het toestel staat terwijl het gewoon unexncrypted op de telefoon staat.
En nu is dan de data op elke Android telefoon dus potentieel door elke willekeurige website uit te lezen.

Ik begrijp trouwens de reactie van Google niet.
Gaan ze serieus gingerbread uitbrengen met dit lek erin en dan pas actie ondernemen?
Het duurt meestal 6-9 maanden voordat telefoon providers android telefoons updaten (als ze dat al doen). Dan ga je toch geen versie releasen met zo'n lek erin.
Android 2.3 zit al zo ver in zn ontwikkeling dat ze em nu enkel nog wat testen. Nog nieuwe code toevoegen wil zeggen alle testfases opnieuw doorlopen en dat uitstel in release wil Google vast niet
Een patch voor 1 issue hoeft anders niet zo veel testwerk op te leveren.
Het kan wat vertraging opleveren maar als je geen goed update systeem hebt dan is het wel een betere optie.
Het probleem is niet dat de testfase problematisch is, maar juist het uitrollen van een patch naar verschillende toestellen met verschillende aanpassingen en versies.
Het huidige update systeem is nu juist het probleem bij Android op dit moment. Je bent volledig afhankelijk van de fabrikant / provider, die vooral veel telefoons wil verkopen, en zo weinig mogelijk wil uitgeven aan support, ontwikkeling en aftersales.
Vind ik wel een beetje cheap van google, dat ze wachten met het dichten van dit lek tot gingerbread, hiermee bewijst meneer Cannon z'n standpunt wel.
Deze site zegt dat het juist gedicht wordt in Gingerbread: http://androidcommunity.c...ata-theft-video-20101124/

Ben toch wel benieuwd wat nu waar is?
Goed bezig, beetje de druk opvoeren kan geen kwaad! Niks is 100% dicht dus een grote verrassing is het niet.

Maar ik kan downloads (mits ze groot zijn anders zijn ze al klaar voor je je downloads kan bekijken) toch echt stop zetten/annuleren!
Dit moet Ms eens doen.
Dan is het gejank niet van de lucht hier. :X
Belachelijk dat Google z'n verantwoordelijkheid niet neemt en een patch beschikbaar stelt, al dan niet via de fabrikanten en providers in kwestie.
Ik snap dat dit een kwalijke bug is, maar waarom is dit een fout van Android en niet "de standaard webbrowser van Android"? Als je een soortgelijke bug in IE ontdekt dan schrijf je toch ook niet dat er in Windows een fout zit?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True