Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 137 reacties
Submitter: Kura

Volgens beveiligingsonderzoekers zit er een bug in KeyStore, het deel van Android waarin authenticatie-gegevens zoals cryptografische sleutels, pin's en unlockpatronen zijn opgeslagen. Kwaadwillenden zouden deze gegevens kunnen achterhalen en misbruiken.

Het onderzoek werd gepubliceerd door beveiligingsonderzoekers van IBM. Door een bug in Androids KeyStore kunnen kwaadwillenden authenticatie-gegevens achterhalen door middel van een stack buffer overflow. Op hun website leggen de onderzoekers gedetailleerd uit hoe de bug misbruikt kan worden.

Volgens de ontdekkers is gewacht met publicatie totdat Google de bug heeft gerepareerd, wat inmiddels het geval is. Met de release van Android KitKat, versienummers 4.4.x, zou de bug niet langer te misbruiken zijn, maar veel gebruikers beschikken nog over een oudere versie van het mobiele besturingssysteem. Daarvoor zijn nog veel Android-toestellen vatbaar.

Kwaadwillenden zouden door het misbruiken van de bug authenticatie-gegevens in handen kunnen krijgen voor diensten die op het bewuste Android-toestel worden gebruikt. Hackers zouden bijvoorbeeld authenticatie-gegevens voor betalingsdiensten en banken in handen kunnen krijgen. Wel moeten zij daarvoor eerst malware installeren op een kwetsbaar toestel: het is namelijk nodig om zelf code uit te kunnen voeren om de bug te kunnen misbruiken. Het is niet duidelijk of er al misbruik wordt gemaakt van de kwetsbaarheid in KeyStore.

Moderatie-faq Wijzig weergave

Reacties (137)

Een aantal mensen, zoals in deze uitleg op Ars Technica, vinden de overflow toch wat minder kritisch dan overal geschetst wordt. Natuurlijk is het een mogelijke attack vector en is het goed dat het gefixt is, maar om nu meteen te beweren dat alle devices met Android < 4.4 kwetsbaar zijn zonder dat er zelfs een werkende PoC is komt neer op paniek zaaien imho.

De onderzoekers geven zelf ook aan dat misbruik niet triviaal is en het tot nu toe neerkomt op een theoretisch mogelijke aanval:
Exploiting this vulnerability can theoretically be done by a malicious application; however, a working exploit needs to overcome a combination of obstacles:+

-Data Execution Prevention (DEP). This can be bypassed by Return-Oriented Programming (ROP) payloads.
-Address Space Layout Randomization (ASLR)
-Stack Canaries
-Encoding. Characters below 0×30 (’0′) or above 0x7e (‘~’) are encoded before being written on the buffer.
Het laatste punt is ook precies wat beschreven staat in mijn link naar de reactie op Ars Technica.

[Reactie gewijzigd door AtleX op 29 juni 2014 11:50]

Het zou fijn zijn als Tweakers dat even mee zou nemen in hun verhaal. Er is alleen een theoretische zwakte gevonden, maar nog niemand is in staat geweest die daadwerkelijk te benutten.
Als er hacks bestaan voor de genoemde obstackacles per stuk, dan (uiteindelijk) welhaast automatisch ook voor het totaal (en dus voor de hack waar het artikel over gaat).
Er is niet een 'zwakte' gevonden, maar een bug. Een echte fout, dus. Je zwakt de bug af :).
Dus, conclusie:

- Als je een toestel van een 'grote' fabrikant hebt (Samsung, HTC, etc.) dat door die fabrikant als 'niet courant' wordt bestempeld, ben je de sjaak;
- Als je een Nexus-apparaat hebt is de schade nog te overzien (want die zijn makkelijk / snel te patchen)
- Als je een 'goedkoop' apparaat uit bijv. China in gebruik hebt, zit je ook nog redelijk, want ook daar komen regelmatig updates voor uit

Custom ROM's op je apparaat zetten kan helaas nog steeds problemen geven met het claimen van eventuele garantie (ondanks dat de bedrijven in kwestie zeggen dat dat niet meer aan de orde is...), dus als je een telefoon hebt die buiten de boot valt ben je simpelweg de pineut. HTC geeft mij hiermee bijvoorbeeld keihard een dikke vinger op een toestel waar nog bijna een jaar garantie op zit (One X+, Android 4.2 met een hopeloos update-traject...). Leuk, die klantenservice!

Toont in mijn ogen wel aan dat er gewoon een enorm probleem is met het hele ecosysteem dat Android heet. Als dit soort problemen niet goed aangepakt kan worden (want je bent echt volledig overgeleverd aan de genade van de fabrikant van je toestel), is dit dus een serieus probleem. Misschien handiger van de onderzoekers geweest om dit niet te publiceren tot er een beetje een knappe oplossing voor de minimaal 86% van alle Android-devices was geweest?
Dit is nou wat ik bedoel..

Dit krijg je als fabrikanten een toestel niet 42 maanden een android toestel ondersteunt.
Bijvb; heb een HTC DesireHD liggen, die draait nog steeds Android 2.3 wat overigens jammer is. Het toestel is niet eens 42 maanden ondersteunt geweest. Het heeft een grote update gehad and that's it.

Ik vind daarom dat fabrikanten zoals HTC, Samsung, LG, de software moeten aanpassen dat de eindgebruiker alsnog bijvb Android 4.4.4 draaien. Overigens moet KitKat juist op mindere goede specs draaien. Aan het einde rit heb je bijna iedereen op de nieuwste firmware draaien. Ókay de wat oudere toestellen draaien 4.4.4 maar dan mist het aantal feature's in de Android zelf, Dan alsnog is je toestel up-to-date.

Ik las laatst een artikel over dat Android in auto;s worden voorzien(boordcomputer). Hier heb ik aantal rare gedachten erbij.

- Je hebt een mooie Audi gekocht van bouwjaar 2014. Na 2/3 jaar komt een nieuwe model/ versie met dus een nieuwe versie Android aan boord, wat juist tegen beveiliging up-to-date is. Maar omdat jou '' model '' 3 jaar oud is(maar wel de zelfde hardware-specs heeft) wordt jou boord-computer niet voorzien van een nieuwe versie Android (boordcomputer) dus is juist vatbaar tegen onwillige indringers bijvb.

Hier zit ik persoonlijk echt niet op te wachten.

Android is flink aan het groeien, begrijp me niet verkeerd. Maar als ik naar het verleden kijk heb ik persoonlijk weinig vertrouwen in.
Je snapt het niet... Je Audi gaat geen bepaalde versie van Android Auto hebben, je Audi zal gewoon Android Auto ondersteunen! Ze willen juist maken dat je niet in zo'n situatie komt, dat je met oude versies zit in je auto, dit doen ze door alles op de telefoon te draaien en de output komt gewoon op het scherm in je auto. Dus updates krijg je gewoon binnen op je telefoon, aan je auto moet je niets veranderen.
Er zijn hier zoveel verkeerde veronderstellingen die ik lees, bekijk anders allemaal eens google io, dan ben je juist geďnformeerd.Google I/O 2014 - Keynote: http://youtu.be/wtLJPvx7-ys
Het installeren van apk's uit onbekende bronnen neemt altijd een risico met zich mee, zo ook hier. Google zal er extra alert op zijn in de Play Store.
als je safe wilt zitten is een nexus eigenlijk je enige optie voor android...
Niet per sé. Veel toestellen (waaronder mijn Mi2) zijn bijna even snel voorzien van een custom ROM met de nieuwste android-versie als Nexus-toestellen. Voor mensen die er iets minder vanaf weten, zijn de Nexus-toestellen natuurlijk wel dé toestellen om up-to-date te blijven.
ja maar met custom rom ben je ook echt afhankelijk van de grillen van de ontwikkelaars. wat ik hierboven ook al zei: voor de htc one x+ was maar 1 echte goeie dev actief op xda en zijn toestel is kapot gegaan. nu draaien de cm nightlies door op automatische piloot net zo lang totdat de boel in elkaar draait. ik voel me door htc echt te kort gedaan omdat dat toestel ook nog eens een bug heeft waardoor die traag wordt (fstrim, opgelost in android 4.3, one x+ draait officieel 4.2)

custom roms zijn natuurlijk leuk om mee te spelen, maar kwa betrouwbaarheid is het ver van ideaal. ik wil dat als ik een flagship toestel van htc koop gewoon minimaal 2 jaar up-to-date kunnen blijven zonder dat ik zelf mijn toestel hoef te hacken!

kortom: volgende telefoon wordt waarschijnlijk een iphone want apple snapt tenminste wel dat ze hun klanten behouden als ze gewoon netjes software updates blijven aanbieden.
Google maakt het OS. Fabrikanten maken de toestellen en voorzien mods aan het OS, en eventueel updates. Om nu meteen naar een ander OS over te stappen omdat je bij HTC een slechte ervaring had..

Maar wat je zegt is zeker waar. Je hangt sterk af van de community bij custom roms. Een Nexus toestel is op vlak van software daarom ideaal.
mijn ervaring met samsung (tab 2) en asus (tf700) was niet heel veel beter, voor tablet heb ik om die reden nu voor ipad gekozen en dat werkt gewoon zonder gedoe of teleurstellingen.

nexus 7 ben ik idd wel tevreden over, dus het is niet 1 ervaring met htc: het zijn 3 android telefoons bij elkaar (desire z, sensation xe, one x+) en 2 tablets (tab 2 en tf700) waar ik deze ervaring mee heb. alleen de tab2 was budget, de sensation xe, one x+, tf700 alle 3 top range. desire z zat ergens in het midden...
Nexus toestellen krijgen ook maar 18 maand updates, veel te kort.
Waarom dan nu wel publiceren als er nog zat toestellen zijn die niet eens meer ondersteund worden om te updaten zoals de HTC One X? Had zoiets dan lekker stilgehouden voor huidige gebruikers en een oplossing gezocht in een kleine update. Om nu ieder 1,5 jaar een nieuw toestel te nemen is namelijk niet voor iedereen weggelegd financieel.
Had zoiets dan lekker stilgehouden
Dat klinkt wel heel erg als 'security by obscurity', en we weten allemaal dat dat een beveiligingsmethode is die, zacht uitgedrukt, niet erg goed werkt.

Daarnaast lijkt het me dat mensen die een toestel hebben dat kwetsbaar is voor deze bug het recht hebben om te weten dát ze kwetsbaar zijn.

[Reactie gewijzigd door wildhagen op 29 juni 2014 11:43]

Je kunt toch prima aangeven dat iets onveilig is zonder te vertellen hoe?
Als bekent is dat er een onveiligheid in zit gaat er gezocht worden en als het 1 keer gevonden is zal het ook wel een tweede keer gevonden worden.

Ik heb een heel lijstje waarom ik van Android afgestapt ben en het slechte update beleid is er een van. Het minst slechte ben je nog af met een nexus toestel maar dat is ook maar 18 maanden.
Met bijvoorbeeld cyanogen mod heb ik op mijn note 1 nog 4.3 gedraaid terwijl de officiele omdersteuning bij 4.1 ophield. Dus er zijn allerhande mogelijkheden. Ideaal is het idd niet.
Dus er zijn allerhande mogelijkheden
Allerhande mogelijkheden? Welke mogelijkheden zijn er dan nog meer naast 't rooten, wat voor een normale sterveling niet (veilig) te doen is?
Feitelijk gezien hoef je een Samsung niet te rooten om te flashen naar een custom rom.
Zolang de fabrikant van de chips nieuwe blobs uitbrengen, wordt de Nexus bijgewerkt. 18 maanden is minimum.
In mijn ogen is een argumentatie best wel noodzakelijk. Want het statement wat dan gemaakt moet worden is:

Android is op bepaalde vlakken onveilig. Einde nieuws bericht.
Het melden bij Google van dit soort bugs werkt anders erg goed. Er is geen enkele reden om dit te publiceren anders dan zelf inkomsten eruit te halen.

Hoeveel % zal nog niet op 4.4> zitten? 90%?

Maar goed, om de bug te misbruiken is wel erg veel nodig. En wachtwoorden voor betaaldiensten? Mag hopen dat die niet worden opgeslagen. In de Rabo app in ieder geval niet.
86,4% klopt helemaal niet, Google telt enkel gebruikers met een recente versie van Google Play.

Toestellen met bvb Android 2.2 of zonder Google Play (oa goedkope Chines toestellen) worden helemaal niet meegeteld en dat zijn er heel wat.

Dit getal is wel interessant voor ontwikkelaars, omdat hun doelgroep sowieso enkel de toestellen zijn met Google Play geďnstalleerd. Maar het geeft helemaal niet het marktaandeel van de verschillende versies aan.
Goedkope toestellen met 4.4 zonder play store worden dan ook niet meegeteld. En die bevatten de bug dan niet.

Tsja realiteit is dit een zwakke plek van Android. Dat is ondertussen wel duidelijk.
Het is gewoon stom hoe fabrikanten met hun telefoons om gaan. Ik kan niet verder updaten dan 2.3. Google had nooit moeten toestaan dat de makers een eigen schil uitbrengen. Gewoon je telefoon ota updaten zodra Google een nieuwe versie heeft ipv 2 jaar wachten op een update van Sony, Samsung, HTC e.d.

Overigens mogen ze nu wel een patch maken die je op elke versie kan zetten.

[Reactie gewijzigd door RadioKies op 30 juni 2014 09:47]

Het melden werkt misschien goed, de bug is misschien ook snel opgelost in een patch. Helaas doen veel fabrikanten er lang over om de update te pushen naar de devices.
Dit is dus ook een keuze van de gebruiker.

Als je ook snel voorzien wil worden van updates moet je dus niet bij een HTC zitten. (zie bericht hierboven waarbij de One X niet geüpdatet word.) maar dien je bv. een Nexus toestel te pakken.

Het onderdeel 'updates' zou ook gewoon bij het proces moeten horen van 'welke telefoon is geschikt voor mij'.
tevens dienen mensen verstandig met hun wachtwoorden om te gaan.
Als mensen hun wachtwoord voor internetbankieren op slaan op hun android telefoon.. tja.. dan valt dat onder natuurlijke selectie wat mij betreft.
Dat is wel heel makkelijk gedacht: koop maar een nexus en anders heb je pech.

Probleem van Android is gewoon dat Google (jaja ok open handset alliance ofzo) geen updates kan pushen naar toestellen die software van de fabrikant draaien (vrijwel alle toestellen) en de fabrikanten vinden dat ze hun tijd beter kunnen besteden dan oudere toestellen te ondersteunen.

Dat iedereen met een android telefoon dan maar jaarlijks een nieuwe moet kopen of een nexus moet hebben en anders pech heeft gaat er bij mij niet in.

Goolge en de telefoonfabrikanten moeten hierin gewoon hun verantwoordelijkheid nemen.
klopt, is ook makkelijk gedacht.
maar google voldoet al aan zijn verantwoordelijkheid. ze geven ten slotte updates uit.

dat de fabrikanten hier nog eerst een skin en andere rommel bij moeten/willen zetten voor ze kunnen updaten is niet google zijn probleem. dat balletje ligt bij de fabrikant en dus hun verantwoordelijkheid.

Motorola G, word wel prima geupdate. ondanks dit geen nexus toestel is. waarom, dit is praktisch stock-android. en daardoor vrijwel geen werk om dit te pushen naar toestellen.

dus de fabrikanten moeten hun houding gewoon aanpassen met al hun bloatware en skins. Dan word niet alleen de gebruikerservaring beter, maar is het voor diezelfde fabrikanten ook nog is veel makkelijker om de toestellen te updaten.
klopt, is ook makkelijk gedacht.
maar google voldoet al aan zijn verantwoordelijkheid. ze geven ten slotte updates uit.
Oh ja? Waar is de update voor mijn 4.0 toestel dan?
Waar slaat 't op om alleen de aller-allernieuwste mobieltjes te patchen?

[Reactie gewijzigd door kimborntobewild op 30 juni 2014 05:11]

Zoals ik al zeg,

Google brengt de updates gewoon uit, het probleem is dat de fabrikanten niet de moeite nemen om de update naar jou toestel te pushen.
Dat is dus niet google zijn schuld, maar de schuld van jou telefoon fabrikant.
Het grootste probleem zit hem niet eens in de skins. Het zijn de branded phones die het langst duren omdat ze eerst langs de telco moeten om getest te worden etc.

ZIe ook dit artikel:
http://readwrite.com/2014...one#awesm=~oIE0WzDPylnL4A
ik zie nergens meer een branded smartphone. maar dat kan aan mij liggen.

Het klopt wat je zegt, dat was eerst altijd het probleem. maar tegenwoordig is dat geen grote groep meer. het probleem blijft gewoon dat fabrikanten niet de moeite nemen om de boel te compileren met de drivers van de hardware. en dan krijg je van die waardeloze argumenten dat de telefoon dan te traag word naar de update. (ja dat klopt, maar als je al die rommel eruit haalt die jullie er in stoppen, is die weer rete-snel... ).

Het probleem ligt bij de fabrikanten en hun lakse houding. als fabrikant moet je zorgen dat OF je netjes iedere update compileert OF dat je zorgt dat de drivers beschikbaar zijn voor de community om het voor je te doen.
En toch vind ik dat raar. Even vooropgesteld dat ik er technisch niet heel veel vanaf weet, maar waarom kan MS een Servicepack 2 of 3 van een (desktop) OS uitbrengen zonder dat er ineens allerlei custom meegeleverde software niet meer werkt, maar is het bij iedere Android-update voor fabrikanten als Asus en HTC weer ontzettend moeilijk om al hun tooltjes weer up-to-date te maken en dan pas de Android-update uit te rollen?

[Reactie gewijzigd door Grrrrrene op 30 juni 2014 12:11]

Ik wist niet dat het ook zo werkte met de Windows Phone ;)

Je kan een Android installatie of Windows Phone installatie niet helemaal vergelijken met een Ubuntu of Windows installatie.

Bij Android moeten o.a. de drivers in de ROM gecompileerd/toegevoegd worden. Net als bij WP.
Sowieso moet je geen enkele veiligheid of privacy verwachten op je moderne smartphone zonder dat je actief maatregelen neemt.

Dat geldt voor berichten, je persoonlijke fotos en andere zaken. Ook in android 4.4.4 kun je talloze apps downloaden die niet werken zonder dat je toestemming geeft kijken in waar ze niet horen te kijken.

Dit probleem, kan echter veel grotere impact hebt doordat niet alleen je prive-gegevens gemined kunnen worden, maar doordat men ook bij je bank gegevens kan.

Wat ik wel gek vindt, is dat de gegevens uit de buffer schijnen te komen, terwijl android apps in sandboxes draaien toch?
Omdat er natuurlijk altijd een kans is dat er hackers zijn die dit lek al kennen en er gewoon geld mee verdienen door het te misbruiken/door te verkopen. Het is een utopie om te denken dat omdat een lek niet gepubliceerd wordt het niet kan worden misbruikt.
Maar publiceren lost nauwelijks een probleem op, want de meeste mensen kunnen helemaal niet upgraden naar een versie waar de bug gefixt is.
Nee, het lost de bug niet op, maar kan de gebruiker wel attent maken op de mogelijke risico's

De gebruiker kan nu zelf inschatten hoe waardevol / gevaarlijk een bepaalde dienst is op zijn device, en aan de hand daarvan besluiten het niet te gebruiken.
Dat Google / Providers zo'n rot updatemodel hanteren verandert niets aan deze bug.

Natuurlijk kan je het stilhouden, maar als persoon A het kan vinden dan kan hacker B het ook vinden. En als persoon A niets zegt dan stop je hacker B nog niet...
Precies, en potentieel dwingt dit tot aanpassing. Overigens zal zo'n Security gevoelig ding gewoon door Google gepushed kunnen worden naar oudere versies. Als ik me niet vergis kan dat sinds 4.0 al. (Pin me er niet op vast, ik ben een iOS gebruiker)
Afaik kan Google wel iets pushen, maar gebrande (of door Provider of door Samsung / HTC) uitvoeringen hoeven dat weer niet te ontvangen
Niet heel veel mensen buiten computernieuwslezers zullen hier kennis van nemen.
En de mensen die hier iets slechts mee willen doen, wisten er uiteraard ook al van.

Je hebt wel gelijk dat dit nog steeds een heel groot deel van de Android phones kan schaden.
Vergis je niet hoe groot het publiek van tweakers is, en hoe snel dergelijk nieuws kan reizen dan technische gebruikers naar hun vrienden, kennissen en familie, die het op hun beurt ook weer broadcasten.

Zelfs mijn moeder stelde me vragen over heartbleed, en als iemand nada over dergelijke dingen zou moeten weten ...
Zelfs mijn moeder stelde me vragen over heartbleed, en als iemand nada over dergelijke dingen zou moeten weten ...
Hoezo; je moeder hoort niks te weten over veiligheid? Discriminatie?
[...]

Hoezo; je moeder hoort niks te weten over veiligheid? Discriminatie?
Haar eigen woorden, dat waar ze geen verstand van heeft houdt ze zich verre van en wil ze niets van weten.
omdat zat toestellen die updates gewoon niet krijgen?
kan je moeilijk de schuld aan ibm/google geven als merken zoals sony samsung htc etc niet de updates door duwen naar de smartphone
Die pattroontjes zijn ook maar een zwakke vorm van beveiliging, hoor.
Ik had net toevallig een probleem met mijn pattroon, na het verwijderen van een app die prutst met je lockscreen accepteerde Android mijn correcte pattroon niet meer. Via adb kon je simpelweg het pattroon wissen en de security instellen op "slide" in plaats van "pattern". Enige voorwaarde is uiteraard dat adb aanstaat.
Precies; en hoeveel niet-tweakers hebben adb aanstaan? Sinds de developer-opties verborgen zijn krijgt de gemiddelde leek adb echt niet zomaar aan.
ADB is een "gat" he? In feite geeft je dan via usb (en tcp/ip?) toegang tot vrijwel de gehele telefoon. Het zit in nieuwere andorid versies (4.3) ook aardig verstopt.

Ander gat is dat je remote (via browser -> play store) remote apps kunt installeren die geen last hebben van het lockscreen.
Misschien zou Google eens aan backports moeten beginnen om oudere versies van Android te ondersteunen. Dit onderdeel van Android lijkt mij hardware onafhankelijk en daarmee als update via de play store aan te bieden. Zoals het nu geregeld is, blijft het updaten van het OS de achilleshiel van Android. Oudere toestellen kunnen vatbaar blijven omdat de hardwarefabrikant geen heil meer ziet in het ondersteunen ervan.
Google heeft dit probleem zelf gecreëerd, door Android vanaf het begin functies in te bouwen waardoor je Android compleet kan aanpassen. Fabrikanten hebben deze functionaliteit optimaal gebruik van gemaakt waardoor er nu een enorme fragmentatie is onstaan. Begrijpelijk dat Apple tijdens de WWDC cijfers erbij haalde waarom je beter kunt ontwikkelen voor iOS. Bijna alle iDevive draaien op de laatste versie, bij Android is dat ong 10%.

[Reactie gewijzigd door Xieoxer op 29 juni 2014 15:01]

Dus ik kan de iphone van mijn vader nu eindelijk updaten naar IOS7 ?
Want hij zou graag Siri willen gaan gebruiken

ohnee, de 3GS valt niet onder "bijna" alle iDevices ....

Apple is net zo bezig, zodra de chipset teveel veranderd is, is er ook geen update meer, of worden functies gewoon niet actief geinstalleerd.
Ik ben er niet helemaal met je eens, je vader heeft ruim 4 jaar lang ondersteuning gehad voor zijn telefoon. Een 4 jaar lange ondersteuning is vrij hoog als je kijkt naar de gemiddelde ondersteuning bij een Android telefoon. Tevens kun je niet verwachten van een 4 jaar oude telefoon dat de processor of de ram geheugen snel genoeg is om de nieuwste software te kunnen draaien.
voor de iphone betaal je dan ook flink meer dan voor een mid-range android Phone.
dat staat echter niet in verhouding met de hardware die de iphone heeft die maken namelijk gebruik van de zelfde ARM processors en het zelfde Werkgeheugen die zullen dus niet magische wijs sneller zijn dan de andere smartphones.

apple is namelijk geen chip fabrikant.

[Reactie gewijzigd door firest0rm op 29 juni 2014 23:24]

Ik heb minder dan 1.5 jaar gebruik kunnen maken van mijn ipad voordat de support gestopt is (en alternatieve upgrade paden bestaan niet bij vendor-lockins), terwijl mijn s2 gewoon 4.4 draait (en nog belangrijker: een stuk sneller dan de zwaar verouderede iOS versie op mijn ipad).

Die lange support is dus broodnodig voor apple ivm de afschrijvingstermijn die langer is voor hun mobiele hardware en het feit dat het apparaat niet door gebruikers zelf mag/kan worden bijgewerkt.
Bijna alle iDevive draaien op de laatste versie
Je geeft zelf aan dat bijna alle iDevices eenupdate kunnen krijgen.
Er zijn nog genoeg 'oudere' modellen in omloop, die het prima doen.

zelfs de iphone 4 krijgt een 'gebrekkige' update, functies die niet werken, of gewoon te traag zijn.
Prima als je dat wilt verdedigen, maar ga niet aanmerken dat 4 jaar support zo geweldig is, terwijl het in het echt gewoon net zo minimaal is, als op Android.

Niets mis mee, een bedrijf moet nu eenmaal vernieuwen, maar het updaten is gewoon net als overal beperkt tot de basic dingen, anders koopt men nooit nieuwe apparaten.
11% draait een oudere IOS versie, en ik vermoed dat dat mensen zijn die de nieuwe versie niet mooi vinden. 2% draait oudere IOSsen, en dat zijn dan mensen zoals je pa wiens apparaat te oud is om up te graden. Mijn iPad 1 kan ook geen nieuwe IOS aan, maar dat vind ik niet erg, ik gebruik hem toch alleen voor wat muziek te draaien.
[volkomenofftopic]
Of: "om te upgraden". Net zoals "stofzuigen", tenzij jij graag "stof zuigt", in welk geval ik zou zeggen: hou een flesje water binnen handbereik!
[/volkomenofftopic]
Dus ik kan de iphone van mijn vader nu eindelijk updaten naar IOS7 ?
Want hij zou graag Siri willen gaan gebruiken
Om Siri hoeft ie 't in elk geval niet te doen... 9 Op de 10 keer verstaat ie je niet als je meer dan 2 zeer goed gearticuleerde woordjes engels spreekt (nederlands wordt dus niet eens ondersteund - maar goed, engels is de wereldtaal), een functie om Siri te leren is er niet, en de meest simpele taken kan ie niet: als ik roep 'remove app', zegt Siri dat ie geen app kan removen. (Uitleg waarom is er niet.) Hoezo, waarom niet? Hoezo integratie?
De iPhone 4 die eind vorig jaar nog als nieuw werd verkocht krijgt dit jaar geen iOS8 meer.
Ik ben geen androidfan, maar ondanks alle security problemen die ik lees zie ik in de praktijk nooit verhalen over:

- Android gebruikers massaal gehacked.
- Bankrekening android gebruikers geplunderd.
- Wachtwoorden miljoenen Androidgebruikers liggen op straat.

Dus hoe onveilig android ook lijkt te zijn volgens nieuwsberichten valt het in de praktijk ontzettend mee.
Klopt, maar dat komt omdat je voor eigenlijk al die exploits/bugs eerst malware op je toestel moet hebben.
De kans dat malware op je toestel komt is wel hoger dan bij iOS en WP, maar alsnog verwaarloosbaar.
http://thenextweb.com/goo...are-2013-0-1-google-play/
For the top four stores (Anzhi, Mumayi, Baidu and eoeMarket), which all cater to the mainland Chinese user population that has restricted access to Google Play, less than 10 percent of the samples were identified as malicious. That’s still a worrying figure, but of all the markets, the one with the highest percentage of malware was Android159, with 33.3 percent of samples classified as malware.

At the very bottom of the list was Google Play itself, with the lowest percentage of malware in the gathered samples: 0.1 percent.

[Reactie gewijzigd door calvinturbo op 29 juni 2014 12:16]

Ja inderdaad, maar helaas geldt die voorwaarde vooral voor de gemiddelde tweaker.
Daarbuiten kan je verwaarloosbaarheid niet extrapoleren naar het gros van de gebruikers die vrij weinig technische kennis hebben en alles maar installeren, zonder rationeel besef.
Zelfs als je alles installeert uit de Play Store is de kans nog steeds héél erg klein.

Zodra je gaat sideloaden, wordt de kans wel een stuk groter, maar dat is eigen schuld dikke bult, daarmee zet je in feite de beveiliging uit.
Zodra je gaat sideloaden, wordt de kans wel een stuk groter, maar dat is eigen schuld dikke bult, daarmee zet je in feite de beveiliging uit.
Dit is natuurlijk een groot non-argument. Als je programma's installeert op Windows haal je het ook van het internet af en komt het ook niet van een beveiligde omgeving zoals de Play Store (voor zover de Play Store goed beveiligd is). Dan kunnen we net zo goed zeggen dat Windows helemaal geen last heeft van virussen, want als jij geen niet-Microsoft software download, zal je ook nooit een probleem krijgen. Het is onzin dat je de beveiliging "uitzet" zodra je gaat sideloaden. Android zou daar gewoon een controle moeten uitvoeren op wat er wordt geďnstalleerd, net zoals Windows gebruik maakt van SmartScreen Filter.

[Reactie gewijzigd door Loller1 op 29 juni 2014 14:21]

nee, een 'standaard' non-technische gebruiker zou het gewoon niet in zijn hoofd moeten halen om te side-loaden. period.

en anders krijg je inderdaad precies hetzelfde als dat je aan haalt met windows.
Virussen, malware en dergelijke op je telefoon.

als je niet weet wat sideloaden betekent, en niet weet wat de risco's zijn. dan moet je er gewoon van afblijven. alles dat je nodig hebt staat in de play store.

net zo als op windows, ben je ook op android verantwoordelijk voor je eigen apparatuur. Als je 'rare' programma's installeert op je computer kan je gezeik krijgen. als je 'rare' programma's op je android installeert kan je gezeik krijgen.

in beide gevallen is de gebruiker verantwoordelijk, en niet windows en/of android.
Ook Android controleert op malware bij sideloaden als je dat toestaat. Ja, Android is beter beveiligd dan je denkt!
En apps die je installeerd, kunnen die sideloaden?
Ik verdenk Subway surfers ervan dat deze sideload, als ik die starte (speel niet meer) kreeg ik een melding dat het vinkje dat sideloaden verhinderd verkeerd staat.
Apps uit de Play Store kunnen niet apps sideloaden uit zichzelf, misschien wel als sideloaden al aanstond, maar volgens mij moet je zelfs dan toestemming geven voordat dat kan.
...maar volgens mij moet je zelfs dan toestemming geven voordat dat kan.
Is er iemand die 't zeker weet?
Ik heb trouwens nooit een instelling gezien waarin 't woord 'sideloaden' voorkomt. Ben benieuwd waar die instelling zit, dan.
Dat is de instelling 'onbekende bronnen' bij beveiligingsinstellingen, die je toegang geeft om apps buiten de play store te installeren, geeft een waarschuwing als je deze activeert dat google geen controle heeft over malware die je buiten de play-store installeert, denk niet dat veel gewone gebruikers dit aanzetten

[Reactie gewijzigd door jeroen7s op 30 juni 2014 16:53]

Er moet eerst malware op het toestel komen, dus als Google de apps hierop kan scannen in de Play Store dan kunnen die eruit gehaald worden.
En anders heb je nog de anti-malware apps voor je toestel zelf.
Kan de fix niet gepusht worden via de Dynamic Security Provider dat nieuw is in Play Services 5.0? 93% van de devices heeft de laatste versie van Play Services en de roll-out van 5.0 is een paar dagen geleden begonnen.

[Reactie gewijzigd door Chip5y op 29 juni 2014 14:50]

Leveranciers van apparatuur met android 4.x zouden wettelijk verplicht moeten worden om upgrades tot 4.4 (kitkat) uit te brengen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True