Door Joost Schellevis

Redacteur

Gehackt met één berichtje

Ernstig lek in videoframework Android

Inleiding

Wie het technologienieuws ook maar een beetje volgt, weet dat beveiligingsproblemen alomtegenwoordig zijn. Van smartphones tot desktops en van auto's tot spelcomputers: als er software op draait, zitten er bugs in. En dikwijls zijn die bugs te misbruiken door kwaadwillenden, die dan je auto op afstand kunnen besturen of de bestanden op je computer locken totdat je betaalt.

Dat een beveiligingsprobleem in het videoframework van Android vorige week zoveel aandacht kreeg, komt dan ook niet doordat het uniek is dat Googles besturingssysteem is getroffen door een beveiligingsprobleem. Dat gebeurt, net als bij andere besturingssystemen, aan de lopende band.

Wat wel opvalt, is het gemak waarmee het beveiligingsprobleem kan worden misbruikt en de omvang van het probleem. Dat probleem ontstaat al met een enkel mms'je dat je niet eens hoeft te openen. Volgens de onderzoeker die het ontdekte, zijn 950 miljoen Android-gebruikers kwetsbaar. Een deel van die toestellen zal kwetsbaar blijven totdat de eigenaren een nieuwe telefoon kopen, omdat oude telefoons niet altijd meer worden ondersteund.

Woensdag, tijdens de Black Hat-beveiligingsconferentie in Las Vegas, onthulde beveiligingsonderzoeker Joshua Drake van Zimperium meer details over het bewuste beveiligingsprobleem, dat ervoor zorgt dat een kwaadwillende toegang kan krijgen tot je telefoon met een vervalst videobestand. Tweakers was erbij, en stelde de vraag: wat is er nou precies aan de hand?

Plankenkoorts

Stagefright - letterlijk: plankenkoorts - is een library die de afhandeling van video- en audiobestanden verzorgt. Sinds Android 2.2 is de library op sommige toestellen aanwezig en sinds 2.3 is het de standaard-library. Mozilla gebruikt de opensource-library overigens ook voor Firefox en Firefox OS, maar die software is al gepatcht.

Eigenlijk gaat alle ophef niet over één bug in het Stagefright-framework, maar om een tiental integer overflows, buffer overreads en integer underflows. Dat zijn bugs waarbij het geheugen wordt gecorrumpeerd doordat de software niet overweg kan met aangeleverde data, waarna een aanvaller zijn eigen code naar het geheugen kan schrijven. De bugs bevinden zich in het deel van de code die mpeg4- en 3gpp-bestanden afhandelt, bijvoorbeeld voor het inlezen van metadata.

Beveiligingsonderzoeker Joshua Drake van Zimperium vond de bugs met behulp van fuzzing, waarbij een aanvaller willekeurige data aan een applicatie geeft met als doel om de applicatie te crashen. Daarnaast heeft Drake delen van de code met de hand geïnspecteerd. Dat duurde ongeveer drie weken. Daarna heeft hij patches geschreven voor de gevonden beveiligingsproblemen.

Misbruiken

In theorie zou het niet meteen een groot probleem hoeven zijn als een aanvaller een bug in een bepaald deel van Android misbruikt. Processen zijn immers van elkaar gescheiden en het besturingssysteem treft voorzorgsmaatregelen om de impact te beperken.

Maar zoals dat wel vaker het geval is met theoretische scenario's, is het in werkelijkheid net iets anders. "Vooral voor oudere Android-toestellen zijn er talloze manieren om root te krijgen op een toestel", zegt beveiligingsonderzoeker Drake tegen Tweakers op de Black Hat-beveiligingsconferentie in Las Vegas. Als een aanvaller root heeft, dan zijn de mogelijkheden vrijwel eindeloos.

De inhoud van je mailbox buitmaken? Eitje. Al je contacten spammen over Viagra? Niet echt een uitdaging. Screenshots maken van wat je aan het doen bent? Met root-toegang is dat geen enkel probleem. Alleen het stelen van vingerafdrukken op telefoons met vingerafdrukscanners is in veel gevallen nog een uitdaging, omdat de software daarvoor vaak op een dieper niveau draait. Maar ook in vingerafdruksoftware zijn in het verleden kwetsbaarheden gevonden, dus het is allerminst uitgesloten dat je vingerafdruk kan worden gestolen met een mms.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

De kwetsbaarheid in actie

Drake heeft zelf een aanval weten op te zetten waarbij hij roottoegang wist te krijgen op Android 2.3 en 4.0. Die versies draaien nog altijd op 8,7 procent van de Android-toestellen met toegang tot de Play Store, blijkt uit cijfers van Google. Op nieuwere Android-versies is roottoegang ook mogelijk, denkt Drake, maar dat heeft hij niet zelf aangetoond. Op de Hack in the Box-beveiligingsconferentie in mei toonde beveiligingsonderzoeker Wen Xu wel een kwetsbaarheid die roottoegang geeft op 'honderdduizenden' Android-toestellen.

Zelfs als een aanvaller geen roottoegang heeft, heeft hij veel mogelijkheden. Stagefright heeft binnen Android namelijk relatief veel rechten. Zo heeft het proces standaard toegang tot de camera en de microfoon, maar ook tot internet. "Zonder roottoegang kun je dus met behulp van deze bug de camera aftappen en de inhoud uploaden naar je server", aldus Drake woensdag tijdens zijn bespreking op Black Hat.

Op sommige apparaten heeft het proces zelfs nog meer rechten, maar het is onduidelijk welke apparaten dat zijn. Het gaat daarbij om aanpassingen die fabrikanten zelf aan de Android-broncode hebben gedaan, aldus Drake. "Stagefright draait dan op één niveau onder root."

Impact verschilt

Hoe kwetsbaar gebruikers zijn, verschilt kortom per Android-versie. Over het algemeen geldt: hoe ouder de Android-versie, hoe meer bekende beveiligingsproblemen er inzitten en dus ook mogelijkheden om root te krijgen. Op Android 2.3 en ouder zijn daarnaast bepaalde voorzorgsmaatregelen als adress space layout randomization nog niet aanwezig; sinds Android 5.0 zijn daar nog meer voorzorgsmaatregelen bijgekomen. "Maar op nieuwe versies maken die maatregelen misbruik van het beveiligingsprobleem moeilijker, maar niet onmogelijk", aldus Drake.

De enige voorzorgsmaatregel die voor problemen zorgt is aslrVolgens hem is de enige voorzorgsmaatregel die echt voor problemen zorgt bij het misbruiken van het aanval aslr. Daarbij worden posities in het geheugen op willekeurige locaties geplaatst, zodat een aanvaller niet zomaar naar geheugen kan schrijven van een programma dat zojuist is gecrasht. Drake stelt dat een aanvaller posities in het geheugen kan raden, bijvoorbeeld door er een statistische analyse op los te laten of door net zo lang locaties in het geheugen te proberen totdat de aanval slaagt. Android 4.0 heeft een zwakke implementatie van aslr, die Drake met succes heeft weten te omzeilen.

Andere voorzorgsmaatregelen hebben minder nut, stelt Drake. Zo kunnen NX-bits, waarmee uitvoerbaar geheugen wordt gescheiden van beschrijfbaar geheugen, worden omzeild met return oriented programming. Bij die aanvalstechniek worden de bestaande machine-instructies van een bepaald programma in een specifieke, door de aanvaller gekozen volgorde uitgevoerd, waardoor hij zijn eigen code kan samenstellen.

Ook SELinux, dat applicaties op Android uit elkaar moet houden, heeft geen effect. "SELinux houdt alleen in de gaten wat er op een toestel gebeurt", aldus Drake. "Deze aanval komt van buitenaf. En bovendien is er geen sprake van een proces dat z'n boekje te buiten gaat: het is namelijk te verwachten gedrag, doordat er een beveiligingsprobleem in het framework zit."

Mms'en en WhatsAppen

Wat de bugs interessant maakt, is de manier waarop ze te misbruiken zijn. Een van de manieren waarop dat kan, is met een mms. Zowel de stock-Messaging-app in Android-versies voor 5.0 als Hangouts is getroffen. Hangouts is sinds 5.0 de standaard-mms-app op Nexus-toestellen. Het is onduidelijk of ook apps van derden, bijvoorbeeld fabrikanten, last hebben van het probleem, maar die kans lijkt groot.

Mms is maar één manier om de bug te misbruiken, maar wel een hele interessanteDe mms-exploit is de manier waarop de bug vorige week in het nieuws kwam. Hoewel het slechts een van de vele manieren is om de bug te misbruiken, is het wel een hele interessante. Een exploit vereist in dat geval namelijk geen enkele interactie van de gebruiker. Zodra een Android-toestel met de standaard-app een mms ontvangt, verwerkt het Stagefright-framework de video; dat gebeurt in Hangouts zelfs op het moment waarop de notificatie wordt getoond. De onderzoeker heeft niet onderzocht of de kwetsbaarheid geldt voor andere sms-applicaties, zoals de Berichten-apps die standaard staan op toestellen van bijvoorbeeld Samsung.

Zodra de thumbnail is geladen, is een aanvaller dus al binnen. Dat maakt hele griezelige scenario's mogelijk. "Telecomproviders vrezen een worm", zegt Drake. "Die zou zich dan automatisch kunnen doorsturen aan iedereen in het adresboek." Malware zou de notificatie voor de ontvangen mms zelfs weer kunnen verwijderen, zodat gebruikers niets doorhebben.

Nu is mms in Nederland allang niet meer populair en op sommige toestellen is mms standaard niet ingeschakeld, in tegenstelling tot in de Verenigde Staten, waar mensen nog driftig met elkaar mms'en ("Ik heb een hekel aan mms, want het kost extra geld om berichten te sturen", zegt Amerikaan Drake).

Providers zouden de aanval tegen kunnen gaan door verdachte mms'jes te blokkeren. "Een aanval stuurt waarschijnlijk meerdere mms'jes uit, omdat de aanval op verschillende toestellen anders moet worden opgezet", zegt Drake. Als dat gebeurt, kunnen providers ingrijpen.

Drake presenteert de bugs op Black Hat

Maar mms is niet de enige aanvalsmogelijkheid. Ook andere chat-apps zouden kunnen worden gebruikt. Denk aan WhatsApp, maar ook Telegram: zodra een app de mogelijkheid biedt om berichten te versturen, is ze kwetsbaar. "Ik heb WhatsApp nog niet specifiek onderzocht, maar als je video's kunt versturen, kan de bug worden misbruikt", aldus Drake.

Daarbij is een belangrijke vraag of de app video's direct door het Stagefright-framework laat verwerken, of dat dat pas gebeurt als de video wordt geopend. Is dat laatste het geval kan de bug pas worden misbruikt als een gebruiker de video opent. "Maar in het geval van een worm komen dergelijke video's van je vrienden", aldus Drake. De kans is dan aanzienlijk dat een slachtoffer het filmpje zal openen.

Het lijkt er echter op dat ook WhatsApp kwetsbaar is bij het ontvangen van een bericht. Hangouts is kwetsbaar omdat van filmpjes bij het ontvangen direct een thumbnail wordt gemaakt. WhatsApp downloadt op wifi automatisch ook filmpjes van gebruikers, en toont een thumbnail als de chat wordt geopend. De kans is groot dat die thumbnail al bij het downloaden wordt gemaakt, waardoor het filmpje dan al door het Stagefright-framework wordt verwerkt en dus vervelende dingen kan doen.

Andere manieren

Drake komt op minimaal elf verschillende manieren om de bug te misbruiken. "Vanuit de browser kan hij op twee manieren worden misbruikt: door een video te embedden, of door de video als download te serveren", aldus Darke. In beide gevalen wordt de video direct verwerkt en is de gebruiker dus getroffen voordat hij actie heeft ondernomen.

Wel moet de gebruiker eerst naar een website surfen die de video aanbiedt, maar dat hoeft niet per se een schimmige site te zijn: aanvallers misbruiken vaak advertenties op websites om malware te serveren. Dat doen ze bijvoorbeeld door een malafide advertentie te plaatsen en hoewel websites daarop controleren, glippen ze er soms toch doorheen. Ook worden soms advertentienetwerken gehackt.

Ook kan de bug via e-mail worden misbruikt en via protocollen als bluetooth en nfc, maar ook via een bestand op een sd-kaart. Drake vindt deze manieren om de bug te misbruiken wel minder ernstig dan de mms-exploit, omdat deze in elk geval nog enige interactie van de gebruiker vragen. Dat in tegenstelling tot de mms-exploit, die in het geval van Hangouts altijd direct werkt.

Een oplossing

Op dit moment is vrijwel iedereen nog kwetsbaar voor deze specifieke bug, die iedereen sinds Android 2.3 treft. Deze week is Google wel begonnen met het uitrollen van patches naar Nexus-toestellen. Cyanogenmod heeft de bug ook al gepatcht. Daarnaast heeft HTC het lek gedicht in zijn One M9. Wie wil checken of zijn Android-toestel getroffen is, kan een app van beveiligingsbedrijf Zimperium downloaden om dat te controleren.

Google beloofde tijdens Black Hat dat veel toestellen, onder meer van Samsung, HTC, LG en Sony, nog deze maand een update zullen krijgen. Een complete lijst met toestellen die worden gepatcht is er echter nog niet. Het zal daarbij waarschijnlijk om vlaggenschepen en recentere telefoons gaan.

Stagefright

Volgens Google krijgen 'honderden' toestellen een patch, maar dat zijn lang niet alle toestellen: volgens OpenSignal zijn er rond de 24.000 verschillende Android-toestellen in omloop. Het is de vraag hoeveel van die toestellen snel, zij het überhaupt, een update zullen krijgen. Op de lijst staan wel de populairste apparaten, waaronder de tot nu toe niet meer ondersteunde Galaxy S3 van Samsung.

Dus: wat te doen als je momenteel kwetsbaar bent - of blijft - voor deze bug? Een belangrijke stap voert Google zelf al uit: in de Hangouts-app worden vanaf eind deze week tijdelijk geen thumbnails meer getoond. Daardoor worden filmpjes niet automatisch door het Stagefright-framework verwerkt en kun je dus niet ongemerkt met een mms worden gehackt. Als je een filmpje opent, ben je nog wel kwetsbaar. Ook WhatsApp en Telegram hebben instellingen om het automatisch downloaden van video's uit te zetten.

Voor de rest is het lastig voor gebruikers om zichzelf tegen de aanval te wapenen. Voorzichtigheid bij het openen van filmpjes is aan te raden, maar zoals Drake heeft aangetoond, is voorzichtigheid niet genoeg.

Van links naar rechts: Hangouts, WhatsApp en Telegram

Voor zover bekend wordt de bug op dit moment nog niet in het wild misbruikt. Drake was eigenlijk van plan om zijn eigen exploit al tijdens Black Hat vrij te geven, maar na overleg met telecomproviders besloot hij daarvan af te zien. De exploit komt nu later deze maand, tenzij iemand anders al een exploit vrijgeeft of de bug wordt misbruikt. "Dan geven we onze exploit ook vrij", aldus Drake, die stelt met de exploit 'bewustwording' te willen creëren. Ook kan de exploit juist helpen om verspreiding van het probleem tegen te gaan. Volgens Drake zijn bijvoorbeeld makers van beveiligingssoftware en intrusion detection systems geïnteresseerd in de details.

Tijdens Black Hat deed Drake wel uit de doeken waar de bugs precies zitten. Het is dan ook niet onwaarschijnlijk dat bezoekers van de conferentie momenteel proberen om de hack na te bootsen. Het automatisch ophalen van mms'jes kan daarom beter worden uitgezet, raadt Drake zelf ook aan.

Ondanks alles gebruikt Drake overigens zelf nog steeds een Android-telefoon. "Ik ren niet gillend weg van Android", zegt hij. "Ik wil het beter maken." Wel raadt hij mensen af om oudere Android-versies te gebruiken. "Dat is een slecht idee; die apparaten zitten sowieso vol met kwetsbaarheden."

Updateproblemen

Het Stagefright-probleem is het gevaarlijkst voor gebruikers van oudere toestellen en budgetmodellen, die niet meer worden voorzien van nieuwe Android-versies. Door de ongebruikelijke - en volgens velen onwenselijke - manier waarop Android-updates werken, blijven ze in veel gevallen voor altijd kwetsbaar. Dat geldt in elk geval totdat ze een nieuw toestel kopen of zelf een custom rom op hun toestel zetten.

Tegelijkertijd blijft Android met een fundamenteel probleem kampen. In tegenstelling tot bij iOS of Windows heeft Google bij de meeste toestellen nauwelijks controle over de firmware die erop draait. Stel je eens voor dat een update voor Windows niet door Microsoft zelf zou worden uitgegeven, maar eerst zou moeten worden aangepast en vervolgens uitgerold door Dell, Asus, HP en andere fabrikanten van Windows-hardware. En dat het maanden kan duren voordat een beveiligingsupdate naar je systeem komt, mede omdat internetproviders de update eerst moeten goedkeuren.

Sterker nog, anderhalf tot twee jaar na het kopen van een Windows-pc, zou het best kunnen zijn dat je pc dan niet meer ondersteund wordt en dat je geen beveiligingsupdates meer krijgt. Budgetlaptops zouden niet eens updates krijgen en altijd kwetsbare software draaien.

Vele miljoenen Android-gebruikers zijn kwetsbaar voor beveiligingsproblemenHet is een situatie die gelukkig niet bestaat. Zelfs budgethardware wordt vele jaren ondersteund en krijgt beveiligingsupdates even snel als de duurste hardware. Toch is dit precies hoe het bij Android wel werkt.

Doordat niet Google maar telefoonfabrikanten en providers over de uitrol van updates gaan, gebruiken op dit moment vele miljoenen mensen versies van Android die kwetsbaar zijn voor beveiligingsproblemen, waaronder de Stagefright-bug. Tegelijkertijd liggen er echter patches klaar die het probleem oplossen. "Google heeft zijn zaken erg slecht voor elkaar", zegt beveiligingsonderzoeker Drake. "Het duurt erg lang voordat updates bij gebruikers komen."

Volgens Googles officiële cijfers draait maar liefst 97,4 procent een oudere Android-versie dan 5.1. Dat betekent per definitie dat ze kwetsbaar zijn voor beveiligingsproblemen; in elke Android-versie worden weer beveiligingsproblemen gedicht. Tachtig procent gebruikt een release van anderhalf jaar oud, 4.4 of zelfs nog ouder. En veertig procent gebruikt een Android-versie die zo oud is, 4.3 of eerder, dat Google er niet eens meer browserupdates voor uitbrengt. Op Tweakers ligt dat trouwens iets anders: meer dan 20 procent van de bezoekers met Android afgelopen maand draait 5.1, terwijl nog eens meer dan 30 procent op 5.0 zit.

Er zijn stappen in de goede richting. Zo brengt Google steeds meer functionaliteit onder in Play Services, dat via de Play Store kan worden bijgewerkt. Belangrijke onderdelen van Android blijven echter enkel bij te werken via reguliere softwareupdates.

In reactie op de Stagefright-bug hebben Google, Samsung en LG beloofd sneller met software-updates voor toestellen te komen. Daarbij gaan Google en Samsung maandelijks security-updates uitrollen en zullen Nexus-toestellen drie jaar worden ondersteund. Maar er zijn nog genoeg Android-fabrikanten die dergelijke beloftes niet of nog niet hebben gedaan; de belofte van Google geldt enkel voor zijn eigen toestellen. Bovendien is een maandelijkse patchronde geen garantie dat alle op dat moment bekende bugs dan ook echt zijn gepatcht.

Reacties (209)

209
206
123
5
0
0
Wijzig sortering
Het probleem is groter dan dat ik eerder heb gelezen, een heel serieus issue is dit. Al zou iedereen de update aangeboden krijgen, dan weet ik nu al dat niet iedereen deze update zal installeren, vaak uit onwetendheid en de moeite niet nemen om zicht te interesseren of om op te update melding te reageren. Als zou ik zelf de update installeren, dan nog ben ik feitelijk kwetsbaar, want zal de rest van mijn familie en vrienden ook hun toestel updaten? Zo niet, dan zou alsnog via een omweg bepaalde informatie over mij kunnen worden achterhaald. Het wordt eigenlijk belandrijker om te weten wanneer je met iemand chat/belt/mailt of diegene zijn systeem up to date heeft. Kan je hem/haar tenminste waarschuwen, wat ik overigens voor familie en vrienden sowieso zal doen.
Dit is de grootste clusterfuck uit de gehele IT geschiedenis. Het probleem wordt zwaar onderschat en zou zelfs het einde van Android kunnen betekenen. Klinkt ver gezocht maar is het echt niet.

Hoe je het ook went of keert het aantal devices dat nooit zal worden gepatcht is schrikbarend. In 2014 waren er ongeveer 1,6 miljard Android devices. Stel dat de helft een patch krijgt, wat denk ik al een optimistische schatting is, dan blijven er nog 800 miljoen kwetsbare devices over. Dat lijkt me een interessante doelgroep.

In no time zal een exploit worden aangeboden op Exploit Exchanges (marktplaatsen voor expoits) en door bedrijven als VUPEN, Netragard, Endgame, Northrop Grumman, Raytheon, etc. Eerst voor prijzen die alleen overheden kunnen betalen maar als de prijs zakt dan raakt de poep de ventilator.

Door via een advertentie netwerk een video te laten afspelen kunnen heel snel miljoenen apparaten worden geinfecteerd. Het stelen van bankgegevens wordt krijgt dan het stempel "vervelend". Het kan nog veel erger.

Pas echt erg wordt het als iemand een DDOS aanval gaat uitvoeren op het GSM newtwerk. Het GSM netwerk heeft een beperkte capaciteit. Kijk maar wat er gebeurd op 31 december om 12 uur. Providers hebben dan maar één optie. Oude devices weren van het netwerk.

Mensen moeten dan verplicht een nieuwe telefoon aanschaffen. Door de negatieve media aandacht zal een groot deel dan echt geen Android telefoon meer zijn...

[Reactie gewijzigd door TheBorg op 6 augustus 2015 09:36]

Het is een combinatie van factoren waardoor je waarschijnlijk gelijk hebt:
- De bug is vrij eenvoudig uit te voeren, al gooit ASLR op Android 4.1+ mogelijk nog roet in het eten.
- Er is voor criminelen heel veel te halen. Aan vrijwel elk toestel hangt een SIM met abo, dus er is middels betaal SMSjes flink geld te halen.
- Providers zullen de MMSjes gaan blokkeren (ik las dat Deutsche Telekom dat al doet) maar dat is niet de enige aanvalsvector. Ook via de browser of per mail kan het filmpje de exploit triggeren.
- Het is best mogelijk dat partijen als banken, secure container apps en andere partijen die gevoelige info omsluiten, hun apps voor Android gaan aanpassen of terugtrekken. Dit komt de usability van de eindgebruiker niet ten goede.

Ook zijn er vele nieuwe aanvallen mogelijk. Stel ik heb 1 miljoen toestellen gehacked, dan stuur ik eenvoudig een mailtje naar KPN: 'does dokken of anders gaan over 1 uur 1 miljoen telefoons af en aanmelden op jullie netwerk. Daarna nog niet overtuigd? Dan gaan we het laten loopen'. Een nieuwe vorm van dDoS dus.

Of wat te denken van het inschakelen van de camera + microfoon (iets wat al kan bij 'slechts' system priviliges). Waar ligt menig telefoon 's nachts? Precies. Eventjes de GPS coördinaten erbij en het Facebook profiel, en we hebben de Celebrity Photo Hack voor gewone mensen te pakken.

Deze bug maakt pijnlijk duidelijk waar het mis gaat op Android: het gebrekkige en soms totaal afwezige centrale updatebeleid.

Verder ben ik heel benieuwd waar je nu als consument staat: mag ik mijn onveilige toestel retourneren ivm een gebrek? Kan Google, de fabrikant of de telco (bij een abo+toestel combo) hiervoor aansprakelijk worden gesteld?
Verder ben ik heel benieuwd waar je nu als consument staat: mag ik mijn onveilige toestel retourneren ivm een gebrek? Kan Google, de fabrikant of de telco (bij een abo+toestel combo) hiervoor aansprakelijk worden gesteld?
Dit vind ik een hele goeie... Hier gaan gegarandeerd grote problemen ontstaan.
En hoever is het de verantwoordelijkheid van de leverancier om het toestel veilig te houden.
Ik snap dat normale garantie na 1-2 jaar wel over is, maar dit is toch echt wat anders. Als mijn 2-3 jaar oude telefoon die het nog prima doet maar niet geupdate wordt, en dus in feite onbruikbaar wordt, bij wie kan ik dan aankloppen?
Ik ben dus ook benieuwd waar je hier als consument staat.

Hopelijk worden de producenten verplicht om toch nog hun oudere modellen te gaan voorzien van een update. Of wellicht een optie om de telefoon open te stellen voor custom roms (hoewel daar het grootste deel van de gebruikers niet heel veel aan zal hebben).

[Reactie gewijzigd door fm77 op 6 augustus 2015 10:44]

Hopelijk worden de producenten verplicht om toch nog hun oudere modellen te gaan voorzien van een update. Of wellicht een optie om de telefoon open te stellen voor custom roms (hoewel daar het grootste deel van de gebruikers niet heel veel aan zal hebben.
Die ROMs zijn (zoals hieronder al aangehaald) eerder een onderdeel van het probleem, dan een oplossing. Hoezo kan mijn toestel niet naar Lolipop updaten omdat er geen firmware/driver blob beschikbaar is gesteld door de fabrikant? Dat probleem heb je op de desktop toch ook niet? x86 of x64 kies je, ongeacht welk type CPU erin zit.

Een paar issues met Android:
- Waarom kan ik niet gewoon een apt-get dist-upgrade doen? Werkt bij Linux (waar Android immers op gebaseerd is) ook prina.
- Waarom kan de hardware support niet modulair worden aangeboden? Nu zit je vast aan een Android versie wegens missende drivers. Kunnen die niet generiek (met wat performance verlies) worden aangeboden net als nu op Linux?
- Het verkeerd gebruik van procesrechten. Wie heeft het bedacht om een mediaconponent hoge rechten te geven?
- Het vetrouwen van onveilige data. Het is volgens mij security 101 om nooit data uit een onbekende bron direct te gaan verwerken in je systeem zonder dit bestand eerste te sanatizen/controleren.
- Deprecated functies worden nooit verwijderd uit de API. Hiermee krijg je bijna automatisch 'vergeten' routes om zaken te exploiten en raak je als producent het overzicht over je eigen codebase kwijt.
- Het gebrek aan grip wat Google uitoefend op de keuzes van de hardware vendors. Dit is op zich geen probleem, maar wel als het halve embedded systemen betreft met fabrikanten die toestellen na de verkoop het liefst zo snel mogelijk vergeten.

En dit is alleen nog maar wat we nu weten. Wie weet wat er allemaal nog meer aan schort. Als de kwaliteit van het huidige Android een voorteken is, dan voorzie ik weinig goeds.

[Reactie gewijzigd door TDeK op 6 augustus 2015 11:01]

[...]

Die ROMs zijn (zoals hieronder al aangehaald) eerder een onderdeel van het probleem, dan een oplossing. Hoezo kan mijn toestel niet naar Lolipop updaten omdat er geen firmware/driver blob beschikbaar is gesteld door de fabrikant? Dat probleem heb je op de desktop toch ook niet? x86 of x64 kies je, ongeacht welk type CPU erin zit.

Een paar issues met Android:
- Waarom kan ik niet gewoon een apt-get dist-upgrade doen? Werkt bij Linux (waar Android immers op gebaseerd is) ook prina.
- Waarom kan de hardware support niet modulair worden aangeboden? Nu zit je vast aan een Android versie wegens missende drivers. Kunnen die niet generiek (met wat performance verlies) worden aangeboden net als nu op Linux?

...
Het probleem is dat er momenteel gigantisch veel ontwikkeling is in SoC's en dat daar verschillende drivers voor onderhouden moeten worden. Ook voor linux op je computer is dit nog steeds regelmatig een probleem, kijk bijvoorbeeld naar de nouveau drivers... nVidia geeft dan wel goede support voor linux, maar als die besluiten daar mee op te houden is nVidia ineens een heel stuk minder interessant voor linux gebruikers.

Hetzelfde zie je terug bij de "minder basale" chips als netwerk controllers. Ook hiermee kom je regelmatig problemen tegen dat deze ineens niet meer werken na een update om wat voor reden dan ook. Als laatste is het bij de linux kernel ook gewoon het geval dat oudere niet meer onderhoude drivers worden verwijdert uit te kernel. Je kan een huidige kernel ook niet meer gebruiken op hardware van 10 jaar oud...
Het punt is meer dat de onderhouds periode voor pc's wat langer is aangezien het gros van de mensen makkelijk 5 jaar met een pc doet, terwijl een telefoon meestal een levensduur van 2 jaar of korter heeft.

Daar komt bij dat de drivers dan aangeleverd dienen te worden door de fabrikant of ontwikkeld moeten worden door de community... Als je soms ziet hoeveel moeite het al kost voor de pc om de opensource drivers goed te krijgen is dat niet interessant voor telefoons omdat daar 1 de community te klein voor is en 2 omdat als het even tegen zit de SoC al zodanig veroudert is dat die toch niet meer gebruikt wordt... En voor fabrikanten is de druk er gewoonweg niet die drivers te onderhouden...

Juist veel van die generieke drivers voor linux komen uit de opensource community. Voor de mobile tak is die community er gewoonweg (nog) niet.

Als laatste heb je voor dingen als dist-upgrade root toegang nodig tot het systeem, juist iets wat de meeste fabrikanten hebben geblokkeerd in android en dat updates moeten worden goedgekeurd door mobile providers...

[Reactie gewijzigd door Spekkie88 op 6 augustus 2015 17:14]

Kanttekening hierop is wel dat Android niet hetzelfde is als Linux. Het bijhouden van kernels wat niet door fabrikanten van SoCs gebeurt is 1 ding, maar ik vermoed dat het niet onmogelijk is om Android 5.1 te draaien op een oudere versie dan de stock Android 5.1 kernel (?). In dat geval zou een 'apt-get dist-upgrade' wat betreft Android ook moeten kunnen, behalve dat je kernel (die mogelijk ook gaten bevat) dan niet mee gaat. Debian dist-upgrade update ook voornamelijk ALLE andere pakketten. De kernel is maar een heel klein onderdeel daarvan. En deze bug zit niet in de kernel.

[Reactie gewijzigd door Contagion op 6 augustus 2015 17:53]

Het probleem is een keuze die google ooit gemaakt heeft door android gratis weg te geven. c.q ter beschikking te stellen.

Fabrikanten kunnen zelf kleine mods maken zo kunnen ze het een beetje met hun eigen vorm verkopen en een verschil aanbieden met andere telefoons.

Wat je ziet is een totale wildgroei waarbij er nog steeds telefoons met oude versies aangeboden worden. Hoe kan dat omdat google er geen controle op heeft c.q dat niet wil hebben omdat ze door geen controle juist een groot marktaandeel hebben kunnen bereiken.

Nu android ook vol bugs en problemen zit blijkt dat dit model wel eens heel hard kan terugslaan op google.

Stel je voor dat er nu nieuwe pc's met windows xp of vista verkocht worden.
MS geeft daarvoor niet eens meer licenties uit.
Precies dat is het google probleem en een oplossing is ver heel ver weg.

Als ze zo door gaan er er op grote schaal misbruik komt kan android wel eens heel hard vallen.

De schuldigen tja, google roept telefoon fabrikanten die moeten onderhoud doen. Die hebben daar weinig zin in. Uiteindelijk staat android voor google en zal google er imageo schade van krijgen.

Ik voorzie ook weinig goeds als het zo doorgaat.
Volgensmij heet dat Opensource onder GPL . Er is feitelijk geen directe licentie betaald. Dus nee geen vergoeding mogelijk.

er staat trouwens in vrijwel geen enkel boekje of aankoop dat de telefoon fabrikant verplicht is een update uit te brengen. Dat dit schadend voor zijn imago is en het OS, is punt 2.

Dus als er iets gaat gebeuren is het dat Google de fabrikanten nu onder druk gaat zetten. Dat is de enige hoop die je hebt als consument

P.s. Microsoft is op dit moment ook goed aan het lobbyen bij de telecom fabrikanten, hierdoor word de druk op Google nog groter en zal deze moeten toeleggen om ze binnen te houden, Tip: Verkoop Google aandelen als je ze nu hebt.

[Reactie gewijzigd door downcom op 6 augustus 2015 14:59]

Ik denk dat de gemiddelde gebruiker weinig te maken heeft met wat voor licentie hun telefoon heeft. Zij kopen een telefoon voor een behoorlijk smak geld, en verwachten die gewoon te kunnen gebruiken tot hij het niet meer doet.

Er zijn natuurlijk telefoons zijn die hardwarematig gewoon niet geschikt zijn voor een upgrade, maar de meesten zouden het gewoon moeten kunnen draaien.
Dat de producenten ervoor kiezen om na een bepaalde tijd geen updates meer te verschaffen uit economische redenen zou best wel eens een probleem voor ze kunnen worden. Niet iedereen koopt elk(e twee) jaar een nieuw toestel als de huidige nog prima werkt.
Ik ben benieuwd hoe een rechtbank hier naar zou kijken mochten hier rechtszaken over komen.
Hardwarematige garantie is natuurlijk wat anders dan moedwillig de consument dwingen een toestel dat nog prima hoort te werken weg te moeten gooien.

Voor mij is dit iig een reden om tot Google z'n zaakjes op orde heeft (dus de mogelijkheid om het hele systeem te kunnen updaten zonder tussenkomst van de producenten) geen Android toestel meer aan te schaffen.
het het punt is dat je dan dus voor een inferieur os moet kiezen, ja inferieur ja, windows phone is bezig met een android runtime omdat het anders helemaal door niemand meer wordt gebruikt, BBOS10 exact het zelfde, en van ios weten we dat het actief programma's van je telefoon sloopt omdat deze mogelijk hun buisness model schaden en dan heb ik het lang niet alleen over pirating.

android is helaas nog steeds het betere os, het enige werkelijke probleem is dat er geen partijen zijn die een telefoon langer dan een klein poosje blijven updaten... zou dit veranderen door wetgeving of door marktwerking dan zou er niets meer aan de hand zijn.

ik denk dat een kickstarter met goals als 5 jaar lang rom support en 1 toestel releasen per 2 jaar, de perfecte candidaat is om in een klap miljoenen malen te worden gebacked. release wat mij betreft één toestel van rond de 200 euro, eentje va rond de 400 euro en eentje van rond de 600 euro.. en zorg dat ze constand binnen een maand (of 2) een upgrade krijgen naar de nieuwste versie...
en van ios weten we dat het actief programma's van je telefoon sloopt omdat deze mogelijk hun buisness model schaden en dan heb ik het lang niet alleen over pirating.
Huh? Ik weet dat dit een paar keer is gebeurt bij applicaties die duidelijk zich niet aan de regels hielden (En dan heb ik het niet over een klein stukje waar ze zich niet aan de ToS hielden)
android is helaas nog steeds het betere os
Mening?
k denk dat een kickstarter met goals als 5 jaar lang rom support en 1 toestel releasen per 2 jaar, de perfecte candidaat is om in een klap miljoenen malen te worden gebacked.
Dit red het niet, misschien dat een beetje tweaker hier om geeft.. Maar telefoons zijn bij de 'mainstream' mensen meer een mode-item en als dat het niet is interesseert beveiliging hun niet echt. (Onthoud dit zijn de mensen die wachtwoorden als *naamhuisdier* + *geboortedatum* hebben). Sterker nog, ik durf te wedden dat 95% van de mensen die op dit moment vatbaar zijn geen idee hebben dat ze zit zijn en ook nooit gaan worden.

[Reactie gewijzigd door smiba op 6 augustus 2015 23:24]

Volgens mij haal jij populair en goed door elkaar... Ik ken weinig mensen die Android serieus beter vinden, maar het is nou eenmaal wel goedkoper en flexibeler. Gebruik overigens zelf ook Android op dit moment, maar die keuze was op basis van prijs/kwaliteit en echt niet vanwege het OS...
Ik ken heel veel mensen die Android het beste OS vinden. Zoals je zegt is flexibiliteit een belangrijke reden waarom zij dat vinden.
En we zien het bewijs van flexibiliteit. Een klein onderdeel, een media framework, is niet eens te patchen/vervangen met een kleine update zoals bij andere systemen wel kan.
Elke flexibiliteit heeft natuurlijk grenzen. Met een app-update het hete OS op de diepste niveaus klinkt mij niet zo'n goed idee. Maar het is nog altijd veel gemakkelijker te vervangen dan op de onvrije mobiele systemen. Met een kleine update van het OS kan dit wel degelijk vervangen worden, wat precies is wat Google, Samsung, e.d. nu aan het doen zijn. En als gebruiker kun je zelf gemakkelijk een patch flashen, zodra Google die vrijgeeft, of zodra iemand anders die maakt: waarschijnlijk zal het het laatste worden, en daarbij moeten we blij zijn dat we vrij zijn en niet afhankelijk van Google of andere partijen om met ons eigen apparaat te doen wat wij zelf willen. Verder is Android inherent even veilig of onveilig als de andere mobiele systemen.
Je betaald zoveel voor een telefoon tegenwoordig dat je wel mag verwachten dat ze het enigszins beveiliging behouden. Anders kan ik het geen degelijk Product noemen. En je mag verwachten van een Product wat je ervoor betaald en als ik al geen update krijg na een half jaar dan vind ik het scheeft.
Verder ben ik heel benieuwd waar je nu als consument staat: mag ik mijn onveilige toestel retourneren ivm een gebrek? Kan Google, de fabrikant of de telco (bij een abo+toestel combo) hiervoor aansprakelijk worden gesteld?
Persoonlijk denk ik dat dit het verstandigste is voor mensen om de partijen die alleen vanwege commeciele belangen updates frusteren aansprakelijk stellen voor de gevolgen: dwz de leverancier van het apparaat of in sommige gevallen carriers die hun eigen rotzooi op telefoons willen hebben,
Google aansprakelijk stellen zal eventueel alleen kunnen voor nexus toestellen aangezien zij daar de leverancier zijn (en deze worden wat dat betreft vaak net zo lang ondersteund als bij andere mobiele operating systems).

Ik zal dat samsung al iets online had geplaatst waaruit bleek dat ze misschien toch willen afstappen van hun beleid om softwareupdates grotendeels te negeren, dus misschien is het juist goed voor android dat het nu zo in het nieuws komt.
Ik denk dat we er ondertussen van uit mogen gaan dat elk apparaat te kraken is, en dat werkelijke veiligheid niet bestaat. In dit geval idd een groot probleem voor Android, maar ook iOS, Windows, Linux en alle andere OS'en hebben hun gaten.

Het blijft een race van softwaremakers tegen de boeven. Niet alleen lui die je geld willen jatten, maar ook bedijven die op zoek zijn naar gegevens, overheden die zoeken naar informatie, etc.

En software is niet het enige probleem. Als je apparatuur op chipniveau onveilig is helpt er helemaal niks.

De vraag wordt dan niet: ben ik kwetsbaar? Het wordt dan: welke informatie geef ik prijs?
En voor wie is die informatie interessant?

Misschien zijn films als 'Enemy of the state' helemaal niet zo vergezocht.
Geen enkele software is 100% safe, dus ook geen enkel OS.

Waar je echter wel kritisch kan en naar moet kijken is met welke intentie een OS gemaakt word en hoe de ondersteuning word ingericht. Met Android is dat gewoon helemaal mis gegaan op het gebied van beveiliging. De store staat bekend als de meeste onveilige, de OS heeft van de mobiele OS-en het beroerdste track-record als het om hacks en exploits gaat en je privacy is op Android (met Google Play weliswaar) in beroerde handen.

En dan is door het gekozen business model (dat elke fabrikant voor een flink deel zijn eigen ding mag doen, gebrekkige ondersteuning op alles wat geen high-end model is) het ook nog eens erg moeilijk om zwakheden te patchen. Je kan een hoop zeggen over Windows Phone, Apple iOS en BB OS: maar die hebben het op het gebied van beveiliging een stuk beter voor elkaar.

Ik werd afgelopen jaar nog door vrienden en collega's voor gek verklaard dat ik een BB Passport kocht: wat moet je nu met dat ding? Ik denk dat die stemming de komende maanden wel eens om kan slaan. Dat ding is de top met beveiliging, privacy en wat mij betreft ook usability (het werkt prettiger dan Android, maar ik realiseer mij dat het laatste subjectief is).
Het business model van Google is duidelijk. Het gaat hun in eerste instantie niet om een zo goed mogelijk OS te verkopen, maar om zoveel mogelijk gebruikers van hun diensten te hebben zodat ze zoveel mogelijk data hebben om hun advertentie platform te optimaliseren. Maw het OS is een middel en geen doel.

Dat ze geen goed update mechanism hebben, bevestigd dit alleen maar.
Ik denk dat je daar gelijk in hebt, maar op langere termijn zou dit weleens heel nadelig voor hen kunnen uitpakken. Als dit lek inderdaad een groot drama wordt, en een aantal tweakers hierboven hebben dat goed onderbouwd betoogd, dan kan dat Google een hoop gebruikers van hun diensten gaan kosten....
Helemaal eens! De Blackberry Passport is een fantastisch toestel. Het BB10 OS Is ronduit het beste mobile OS. En qua Security is er niets beter! Goede keuze brain75!
Alleen is het gat hier niet het enige probleem. Wel het feit dat updates door Google niet zijn uit te voeren maar dat deze een hele weg moeten afleggen voordat ze op een toestel geraken. Als ze er al geraken.
Geen enkele telefoon is volledig veilig alleen één van de redenen waarvoor ik nooit android zal nemen is het update beleid. Indien dit bij ios of windows gebeurd dan is er de volgende dag voor de gehele lijn een update beschikbaar. Bij android zijn er zoveel modellen met een eigen rom, eigen codes waardoor het update beleid dramatisch is. 80% van de telefoons krijg na 1,5 jaar helemaal geen update meer, zowel qua beveiliging als nieuwe android versie.

Dit hebben apple en Microsoft een stuk beter voor elkaar. En veiligheid staat bij mij op nummer 1, qua functionaliteit is het toch vrijwel hetzelfde daar hoeft de keuze niet voor worden gemaakt.
Hardware is geen probleem als deze niet direct aan te spreken is van buitenaf. Dus zaken als netwerk en bluetooth moet goed zijn of moet bij te werken zijn.

En niet elk apparaat is te kraken. En niet elk gat in de beveliging is hetzelfde.

De beveiliging word overigens steeds beter. En ooit zullen we het absurd vinden dat je data kon omzetten naar uitvoerbare code op zoveel devices.
Natuurlijk is elk apparaat te kraken en geen enkel OS 100% veilig. Maar het gaat in dit geval ook niet zozeer om het lek zelf, dat zou inderdaad net zo goed in Windows of iOS kunnen zitten. Waar het om gaat is dat door de praktijk bij Androidtelefoons het bezorgen van een patch bij de eindgebruiker bijna ondoenelijk is. Dit probleem speelt niet of nauwelijks bij Windows en iOS. Het is precies dit probleem (in combinatie met het grote marktaandeel van Android) dat dit lek zo extreem problematisch maakt.
juist dat bedoel ik dus ook.
Mensen moeten dan verplicht een nieuwe telefoon aanschaffen. Door de negatieve media aandacht zal een groot deel dan echt geen Android telefoon meer zijn...
Wat gaan mensen met een budget-telefoon dan kopen? Zo'n Android toestel voor 100-200 euro is vaak de enige optie die er is. Of je moet een Windows Phone kopen natuurlijk.
Wat gaan mensen met een budget-telefoon dan kopen?
Een dumb phone; zo'n ding kan bellen en SMSen en meer heb je in principe niet nodig om ten minste bereikbaar te zijn.
Dan koop je een Blackberry 10 toestel.
Die vrijwel alleen maar andoid apps heeft. Als je je android de deur uit doet vanwege security problemen dan zullen er niet veel mensen zijn die dan nog een telefoon met android apps zullen kopen denk ik.
Gewoon geen Android maar native Apps gebruiken. Deze zijn er voldoende. Zijn de Apps die je toch wil gebruiken niet beschikbaar als native app dan kun je terugvallen op een Android versie. En anders gewoon geen Blackberry aanschaffen en inleveren op veiligheid!
Die Android APKs draaien netjes in een sandbox. :)
De StageFright Detector geeft op mijn BlackBerry Z30 aan wel Vulnerable te zijn voor CVE-2015-1538. Geen idee of dat dan in de sandbox blijft, maar gezien het hele verhaal over de bug lijkt me dat niet. Ik zou in ieder geval nog niet zo hard roepen dat andere besturingsystemen daar geen last van hebben.
Dat is apart, daar BlackBerry OS gebaseerd is op QNX en in de basis helemaal niks te maken heeft met Android. Het heeft wel een Android Runtime, maar het lijkt me vooralsnog sterk dat BlackBerry OS vatbaar is voor een lek in een component binnen Android.

Niettemin lijkt het mij leuk uit te zoeken wat hier gebeurd.
Helaas zit ik er zelf niet genoeg in om gedegen onderzoek ernaar te kunnen doen. Heb weinig kennis van de trucs om op die manier je systeem te kunnen overnemen. Daarnaast is security helaas ook niet mijn tak van sport.
Elke telefoon die gewoon netjes updates krijgt. Dat hoeft niet opeens heel duur te zijn.
Anoniem: 310408
@seweso6 augustus 2015 15:30
Dan daag ik je uit om er een te noemen uit het 100<>150 Euro segment die je nu kan kopen en waarbij je zeker kan zijn dat je 2 jaar updates krijgt? Ik ken ze niet.
Nokia Lumia 520. Introductieprijs zal rond de 150E gelegen hebben een aantal jaar geleden, krijgt binnenkort gewoon een update naar Windows 10 Mobile. Daaruit mag je ook opmaken dat de nieuwe Lumia's (bv de Lumia 435 voor ~80E) een zelfde toekomst tegemoet gaan.

Microsoft heeft wat dat betreft hun zaken nu (wel*) op orde. Alle Windows Phone 8 toestellen die ooit verkocht zijn krijgen een update naar Windows 10 Mobile. En daarbij gaat het dan niet eens om het patchen van een of ander klein lek, maar om het vernieuwen van het volledige OS. Iets wat MS natuurlijk veel meer tijd en geld kost. Want voor elk toestel zal er natuurlijk uitgebreid getest moeten worden of zo'n volledig nieuw OS er correct op werkt.

*Wel op orde omdat Windows Phone 7 toestellen geen update naar Windows Phone 8 kregen. Echter heeft MS ook toen nog een (feature) update van Windows Phone 7 uitgegeven na/gelijk met de release van Windows Phone 8.
Ik denk inderdaad dat Android in het lage/midden segment klanten gaan verliezen aan WP en misschien maakt BB ook een comeback.

Maar ik denk dat dat pas gaat gebeuren nadat de eerste bankrekeningen zijn gekraakt.
Ik maak mij zorgen over iets heel anders. Deze Android feature is al enige weken bekend. Ook in welke richting er gezocht moet worden om dit te doen. Ik zag zelfs een metasploit voorbeeld er voor.

In hoe verre wordt het al actief gebruikt zonder dat men het weet. Er zijn veel slimme meisjes en jongens op deze wereld dus zullen er veel mensen reeds op zoek gegaan zijn naar hoe deze exploit te gebruiken.

In hoe verre zijn toestellen waarvoor er een patch is nog te updaten, misschien zit de exploit al lang, slapend, onder water en kan je zelfs geen standaard update meer uitvoeren. Of zegt je toestel gewoon, ik ben geupdated. Of lopen er verborgen processen die kijken hoe een update in zijn werk gaat en worden alle specifieke fabrikant en Google id's, certificaten tijdens het updaten onderschept met alle ellende van dien.

Persoonlijk geloof ik er namelijk niets van dat het niet in het wild voorkomt. De hele slimme mensen maken het namelijk niet bekend. Wat als je de power hebt over een paar miljard telefoons, dat houdt je namelijk onder de pet.
Hoewel Zimperium een commercieel bedrijf is brengen ze toch regelmatig weer mooie informatie naar buiten.

De vraag is en blijft wat Google ermee doet. Dat Android lek was, is een ding. Dat men er beperkt wat aan doet heeft natuurlijk ook een commercieel oogpunt. De mensen met zachte hand dwingen tot aanschaf van een nieuwe product.

Door echter te laten zien de de 'basis' al fout zit, scheept Google met een groter probleem op.
Want op welk model gaan ze doorontwikkelen.

Dat steeds meer fabrikanten een 'schone' installatie aanbiedt is geweldig.....als Google de Android versies patched.

Ik ben benieuwd naar de reactie (of gebrek aan reactie) van Google.
Het is al jarenlang een probleem dat het Android niet onafhankelijk van de telefoonproducent kan updaten. Het verpakken van Android + drivers + apps in één grote ROM is vanuit technisch oogpunt helemaal niet nodig. Echter heeft men er uit commerciële overwegingen voor gekozen om de alles-in- één ROM als update-mechanisme te hanteren zodat gebruikers continu nieuwe producten blijven aanschaffen. Een erg laakbare praktijk want de privacy van hun klanten wordt hiermee te grabbel gegooid.
Kan je me het deel vd privacy verder uitleggen, gezien ik geen android expert ben (maar wel een androidphone heb)?
Dat is precies hetgeen in het artikel beschreven wordt, over privacy.

Wat Ari3 bedoelt is dat google dus niet in staat is om zonder medewerking van de bedrijven die de telefoons leveren, deze te updaten.
Hierdoor kan google niet garanderen dat deze patches gefixed worden. vandaar dat de privacy niet gewaarborgd is
Door het gebrek aan systeem updates blijven veel toestellen vatbaar voor het uitbuiten van bugs. Als een aanvaller root rechten op jouw toestel kan verkrijgen, dan weet ie alles van je: je foto's, je mails, GPS locatie, de inhoud van je agenda, je logins van social media, al je berichten enz. Dat is wel een privacy issue te noemen.
Of mensen die bewust niet updaten omdat ze bang zijn dat hun systeem er trager van wordt op hun al wat oudere hardware? Ik weet niet hoe het bij Android zit, maar ik ken genoeg mensen die bijvoorbeeld hun iOS device niet upgraden naar iOS8 vanwege performance op hun hardware.

Overigens moet ik wel bekennen dat ik dit een van de kwalijkste kwetsbaarheden vind die ik tot nu toe ben tegengekomen, het gemak waarmee ze dit voor elkaar krijgen is te bizar voor woorden.
Ik heb vandaag weer zo een mms bericht gekregen van een Duits nummer...
Anoniem: 634684
6 augustus 2015 08:26
Vind ik het zelf wel weer eng om die Tool te draaien op mijn Telefoon die controleert of mijn telefoon dit probleem heeft.

Of zie ik spoken ?

[Reactie gewijzigd door Anoniem: 634684 op 6 augustus 2015 08:31]

Vind ik het zelf wel weer eng om die Tool te draaien op mijn Telefoon die controleert of mijn telefoon dit probleem heeft.

Of zie ik spoken ?
Je skepcis is gezond, maar Zimperium is een beveiligingsbedrijf dat een reputatie te verliezen heeft, dus ik zou me er niet al te veel zorgen om maken :)
[...]


Je skepcis is gezond, maar Zimperium is een beveiligingsbedrijf dat een reputatie te verliezen heeft, dus ik zou me er niet al te veel zorgen om maken :)
Google heeft ook een reputatie te verliezen, maar toch zitten miljoenen mensen met een probleempje :+
De app werkt niet op mijn HTC desire met custom (mildwild) Rom.
'error initializing the application'
Getest op Android M preview 2 op Nexus 5. Resultaat: Vulnerable
Zou dit ook mede de reden zijn dat preview 3 is uitgesteld? Het volledig patchen van deze bug's?

Update 07/08: Ik heb de Android Lollipop met patch geflashed. Vreemd genoeg blijft de Zimperium versie zeggen dat ik kwetsbaar ben. De Lookout Mobile versie zegt dat het opgelost is. :?

[Reactie gewijzigd door Twilkie op 7 augustus 2015 09:54]

Klopt, want de bug in het framework verwijder je natuurlijk niet. Je vermoeilijkt alleen het ontvangst meganisme voor de aanvaller.
Vind ik wel vreemd, ik draai CM12.1 op mijn Oneplus en ik ben gewoon gepatched. :+
Dacht dat google in de preview versies toch sneller patchte?

Oneplus One op CM12.1 Nightly is dus veilig.

[Reactie gewijzigd door Punkbuster op 6 augustus 2015 09:38]

De CM12.0 op mijn oneplus one is nog wel vulnerable
Exodus rom ook, maar die maakt dan ook gebruik van de cyanogen nightlies.

Zit overigens op een versie van 2 augustus, geen of dit specifiek gepatcht is ja of nee
Dat was ook mijn eerste gedachte en wellicht ook een gezonde gedachte. In de tussentijd verwijder ik mijn mms profiel uit de instellingen. Ik zal daardoor geen Mms meer kunnen ontvangen op mijn telefoon (hangouts gebruik ik sowieso niet, dus dat verwijder ik direct als ik een nieuwe telefoon heb).
Wat ik uit het verleden heb begrepen, is dat ik dan een bericht van T-Mobile krijg met een link om het mms bericht toch nog te kunnen bekijken.
En zo werkt het nu ook. Je krijgt nu (met vertraging) een notificatie dat er een MMS voor je is die je op de website kunt bekijken.
Wat zul je zien of merken wanneer je gehackt bent door deze bug?
Dat is een hele brede vraag waar je naar mijn weten niet direct een antwoord op kan geven.

Een exploit stelt je vaak in staat om code draaiende te krijgen op een remote computer zonder daarvoor toegang voor te geven ( wat bij deze exploit dus gaande is ). Wanneer zon exploit vervolgens openbaar wordt gemaakt kan iedereen met verstand van zake zijn eigen implementatie vervolgens eraan toepassen.

Zon video bestand kan dus zo gemodificeerd zijn dat men op de achtergrond een programma laten draaien die al jouw gegevens doorspelen naar een server, maar het kan ook iets totaal anders zijn ( Denk aan vervelende malware die bijv. je bestanden encrypten ).

Het is maar net wat de kwaadwillende van je wilt hebben, en hoeveel de code van zichzelf zal laten zien. Ik weet alleen even niet of je Android telefoon crasht op het moment van het ontvangen van zon corrupte video bestand. Meestal is dit wel het geval ( Dit kan dan mogelijk een teken zijn ).
Aangezien MMS in Nederland amper (lees: verwaarloosbaar tegenover de alternatieven voor MMS) wordt gebruikt, zou ik er helemaal geen bezwaar tegen hebben als providers tijdelijk MMS-functionaliteit uitzetten totdat deze bug is opgelost :)

Edit: door het op provider-niveau uitzetten van MMS op Android-telefoons vang je in ieder geval af dat de Hangouts MMS app de exploit automagisch gaat procesen. In WhatsApp/Telegram/etc. kan de gebruiker kiezen of ie de content uberhaupt binnenhaalt/opent :)

[Reactie gewijzigd door Futureal op 6 augustus 2015 13:53]

Waarom zou een provider MMS moeten uitzetten? Met mijn Windows Phone heb ik namelijk nergens last van.
Dat is maar betrekkelijk. Het is zeer wel mogelijk dat de impact van dit lek niet beperkt gaat blijven tot de direct getroffen gebruikers. (Denk aan brede netwerkstoringen, het lekken van jouw gegevens via je vrienden etc)
En wanneer zal dat zijn?
Tot niemand meer een oude versie van Android draait? Dat kan denk ik nog wel even duren ;)

Het probleem is dus dat oude toestellen dus nooit veilig zullen zijn. Toch zal niet iedereen hun (in hun ogen) prima werkend toestel gaan vervangen.

[Reactie gewijzigd door fm77 op 6 augustus 2015 09:08]

In het artikel wordt duidelijk vermeldt dat ook Hangouts, Whatsapp en Telegram zeer waarschijn kwetsbar zijn voor deze exploit.
KPN gaat over niet al te lange tijd (begin 2016 voor zover ik me herinner) MMS toch uitzetten.
Geen idee hoe dat bij T-Mobile en Vodafone zit.
zou ik er helemaal geen bezwaar tegen hebben als providers tijdelijk MMS-functionaliteit uitzetten totdat deze bug is opgelost :)

Dus moeten Windows Phone, iPhone en alle andere non-Android gebruikers maar accepteren dat er geen MMS meer mogelijk is O-)

Overigens een leuke quote uit het artikel is dit: ("Ik heb een hekel aan mms, want het kost extra geld om berichten te sturen", zegt Amerikaan Drake).

Daarin kun je inderdaad zien dat Drake Amerikaan is. Voor Amerikanen is een MMS namelijk inherent met het versturen van een plaatje of video/geluidsbestand. In Amerika spreken ze namelijk niet van een SMS maar een 'text'. Dat is niet enkel spraak, maar een text-only MMS wordt daar dus hetzelfde afgerekend als een SMS. Dat verklaart dan ook de enorme populariteit van MMS. Veel Amerikanen beseffen niet eens dat ze MMS gebruiken in veel gevallen.

Immers MMS heeft een aantal grote voordelen tov SMS, zoals meer tekens, geen restricties tot die gekke 7-bit set (al kun je inderdaad ook extended 7-bit en unicode gebruiken bij sommige providers met SMS) en heel belangrijk group-messaging. Als je met SMS een bericht stuurt naar meer dan een persoon, zijn dat losse berichten en indien er een persoon antwoord, gaat dat niet automatisch naar alle andere gebruikers. Geen group-chat. bij MMS is dat wel zo en fungeert het hetzelfde als een WhatsApp group chat.

Mede omdat Europese providers zo krampachtig lang aan het verdienmodel van SMS vastgehouden hebben, hebben ze iedereen in de armen van WhatsApp en concurenten gedreven. In de USA, waar text-only MMS dus net als SMS gratis en bovendien al zeer lang (vrijwel) onbeperkt was, hebben providers dus veel meer invloed gehouden.
Ik begin er steeds meer voor te voelen om over te stappen naar een iPhone. Ik heb nu een Galaxy S5, die zal vast nog wel worden bijgewerkt naar een nieuwere versie, maar het schiet gewoon niet op. En Apple doet dat toch een stuk beter; de iPhone 4 is de laatste telefoon van Apple die niet op het meest recente OS draait. Met een 4 blijf je dus steken op een versie 7.1.2. uit 2014. Als je qua leeftijd vergelijkbare Android telefoons pakt dan heb je het nog over Android 2.3?
Met Android heb je meestal wel het voordeel dat je een custom ROM kunt installeren die op een actuele Android-versie is gebouwd. Dit is handig zodra de fabrikant van je toestel besluit om geen updates meer te leveren.

Bij Apple heb je dit niet. Als zij besluiten dat je geen nieuwe iOS versie meer krijgt kun je je toestel het beste weg knikkeren. Binnen de kortste keren werken apps niet meer met jouw iOS versie en ben je kwetsbaar voor nieuwe exploits. Zover ik weet is er geen manier om Apple's update-beleid te omzeilen.
99% van de weteld maakt geen gebruik van een custom rom. Verder draaien zowat alle apps nog op een bijna 5 jaar oude iphone. Als vind ik dat het na een jaar of 3 wel tijd is voor een nieuwe. Exploits worden nog wel gedicht voor oudere ios versies dus dat valt best mee.
Bij Apple heb je dit niet. Als zij besluiten dat je geen nieuwe iOS versie meer krijgt kun je je toestel het beste weg knikkeren. Binnen de kortste keren werken apps niet meer met jouw iOS versie en ben je kwetsbaar voor nieuwe exploits. Zover ik weet is er geen manier om Apple's update-beleid te omzeilen.
Bij Android is dat soms de enige manier je telefoon redelijk veilig te houden (natuurlijk te gek voor woorden), maar waarom zou je het Apple update-beleid willen omzeilen? Er bestaat naar mijn weten geen andere bron dan Apple, en die hebben een zeer redelijk veiligheids beleid en updaten vrijwel al hun telefoons gedurende vele jaren.
CyanogenMod v12.1 (Android 5.1) is beschikbaar voor de Galaxy S5. Waarom zet je die niet gewoon op je toestel ? Dan krijg je tenminste regelmatig updates - in tegenstelling tot Samsung.

Je zult direct merken dat CM een heel stuk vlotter is dan die trage, bloated troep die je fabrikant levert.
Goede suggestie. De laatste keer dat ik keek waren het alleen nightly builds, geen stable. Maar dat zou stable genoeg kunnen zijn.
Google beloofde tijdens Black Hat dat veel toestellen, onder meer van Samsung, HTC, LG en Sony, nog deze maand een update zullen krijgen. Een complete lijst met toestellen die zullen worden gepatcht is er echter nog niet. Het zal daarbij waarschijnlijk om vlaggenschepen en recentere telefoons gaan.
Als Google niet serieus met een oplossing komt en niet zoals hierboven staat beschreven, zal ik helemaal nooit meer een product dat door Google is ontwikkeld aanraken. Het is serieus te gek voor woorden hoe ze met security omgaan en het is ook maar de vraag hoe ze hun eigen diensten zoals Gmail beveiligen en beschermen.

Aan de andere kant is het een keertje goed dat ze zo slecht in het daglicht worden gezet. Het is al jaren bekent hoe slecht Android beveiligd is, maar niemand had verwacht dat er zo slecht op in wordt gespeeld. Hopelijk wordt Google nu eens wakker en gaan ze serieus eens met alle fabrikanten om de tafel zitten om de security flaws van Android eens goed op te lossen. Alleen zo kunnen ze garanderen dat iedere Android gebruiker veilig is. Alleen de laatste (high end) smartphones/tablets van afgelopen jaar te updaten is in mijn optiek niet de oplossing.

Misschien is dit ook het tijdperk dat men wat meer gaat nadenken dat ook bij de smartphones belangrijk is dat je OS updates ontvangt, net als bij de laptop/desktop.

[Reactie gewijzigd door vali op 6 augustus 2015 13:21]

Google is juist qua beveiliging heel serieus bezig betreffende hun web diensten. Ook is Chrome OS zeer veilig. Het probleem met Android is niet zozeer dat het lek is, maar dat mensen niet kunnen updaten :(
Veiligheid creëren gaat meer dan het beschikbaar stellen van de update, het gaat ook hoe je met je processen binnen het bedrijf opstelt. Heel leuk dat ze bezig zijn met het veilig stellen van hun webdiensten en Chrome OS, maar ze konden de afgelopen jaren beter focussen met het verbeteren van update beleid van Android. Uiteindelijk heb je de grootste kans op een update als je een smartphone van 400 euro en duurder hebt (wat te gek voor woorden is).

Het is al sinds Android 1.5 bekent dat het OS gefragmenteerd is en is er sinds die tijd weinig veranderd. Mensen willen dolgraag updaten, maar minimaal 50% (hiermee doel ik Android 4.3 en lager) krijgen nooit een update dus kunnen het ook niet uitvoeren.

Microsoft heeft dit opgelost door van het Windows Mobile af te stappen en meer controle over het OS te hebben (wat nu bekent staat als Windows Phone), misschien is het idee voor Google om ook deze kant op te gaan. Huidige methode is het in ieder geval niet.

[Reactie gewijzigd door vali op 6 augustus 2015 14:23]

Ze zijn er wel mee bezig. Ze trekken steeds meer dingen los van het OS.
Webview is vanaf 5.0 losgetrokken waardoor die updates krijgt via de Play Store onafhankelijk van de fabrikant.
Play Services (de APIs en bepaalde beveiliging) krijgt ook updates vanuit de Play Store.
Chrome krijgt ook updates vanuit de Play Store.

Het is absoluut nog niet genoeg, maar ze zijn er wel mee bezig. Hopelijk dat ze nog veel meer lostrekken / strakker update beleid afspreken met de fabrikanten.

Google kan niet zelf Android updates gaan uitrollen naar alle toestellen, waarom lees je hier.
Dat is in mijn ogen "dwijlen met de kraan open". Ze moeten het bij de kern aanpakken en dat is strenge regels opstellen bij de fabrikanten. Ze kunnen veel via Google services, maar een patch voor deze flaw uitrollen kunnen ze niet.

Mocht het wel via google services kunnen, dan krijgen de 50% van de userbase nog steeds geen update. Google ondersteund geen 4.3 en lager :)

Hoop dat de media (ala NOS ect.) hier flink op inspeelt en Google flink in het slecht daglicht zet. Misschien worden ze dan eindelijk wakker.

[Reactie gewijzigd door vali op 6 augustus 2015 14:28]

"Flink in een slecht daglicht zetten" vind ik dan weer zo 'dramatisch' klinken.

"Goed kritisch volgen en berichten over de stappen die ze wel (of niet) zetten", ja, dat wel.

Maar ik hoop wel oprecht dat dit Android niet te gronde zal richten, maar dat Android hier sterker (met een fatsoenlijk update beleid) uit gaat komen.

Want ik houd nog steeds van Android. Want Android heeft het gebruik van smartphones wel echt 'mainstream' gemaakt en ook bereikbaar voor de massa's.

iPhones waren alleen betaalbaar voor mensen met genoeg geld, Nokia zat met halfbakken en matig functionerende apparaten op basis van Symbian en daarnaast had je nog wat fragmentarische beschikbaarheid van Windiows Mobile apparaten die ook beperkt bruikbaar waren.

Echter, zeker met Windows 10, dat ook voor de smartphones en tablets in aantocht is, zal ik deze ontwikkelingen rond Android wel kritisch blijven volgen. Als dit echt op een drama uit loopt en ik moet constateren dat Google er niets (of te weinig) mee doet, dan ga ik me zeker beraden op alternatieven.
Helaas is het wel zo dat niet-nexus apparaten per definitie een probleem zijn. Ze zijn aan de genade overgeleverd van de producent. Dan zit je met Sony historisch prima. Maar mijn Mate7 kan ik net zo goed weggooien. Dan zit je bij Apple en MS toch wel relatief veilig. MIsschien wordt het voor mij tijd voor een lumia :?

[Reactie gewijzigd door Thekilldevilhil op 6 augustus 2015 09:19]

Dan zit je met Sony historisch prima.
Sony update mijn Tipo ook niet hoor, en stond tot 6 maanden terug nog gewoon op de Sony site als model.
Wat had je daar dan precies van verwacht? Ik doelde natuurlijk meer op de Z, M, C en E series. En wat high-end telefoons betreft doen ze het al helemaal goed.

Dat jouw 120 euro dure smartphone bijna geen support geniet lijkt me niet echt heel verbazend.
Of een 6 maanden oude telefoon 120 euro kost doet me er niet veel toe. Je mag denk ik van een product wel verwachten dat als je het in de winkel koopt dat je er minstens een jaar of drie mee vooruit kan. Op de een of andere manier zijn we dit bij smartphones maar normaal gaan vinden, maar het is eigenlijk van de zotte.
Of een 6 maanden oude telefoon 120 euro kost doet me er niet veel toe. Je mag denk ik van een product wel verwachten dat als je het in de winkel koopt dat je er minstens een jaar of drie mee vooruit kan. Op de een of andere manier zijn we dit bij smartphones maar normaal gaan vinden, maar het is eigenlijk van de zotte.
Dat ben ik helemaal met je eens.

Zeker aangezien smartphones eigenlijk bijna niet meer uit het dagelijks leven zijn weg te denken, zefls voor mensen met weinig geld of weinig sjoege van techniek, moeten we wat mij betreft ook af van het idee dat zoiets een 'spielerei' of wat dan ook is.

Dus IEDERE smartphone, hoe goedkoop ook, hoort gewoon een apparaat te zijn waarvan een consument erop kan vertrouwen dat het veilig te gebruiken is en dat het ding zo snel mogelijk beschermd wordt tegen opdoemende vulnerabilities.

En wat mij betreft hebben we daar in Europa al een prima wet- en regelgeving voor, namelijk het consumentenrecht.

Updates en patches horen dus gewoon verantwoordelijkheid te zijn van de leverancier van het toestel, lees: De webshop en (vooral!) de telecomprovider. En uiteraard betekent dat in dit geval dat die verantwoordelijkheid in praktijk bij de fabrikant van het toestel zal moeten komen te liggen (in samenwerking met de maker van het OS).

En fabrikanten die die verantwoordelijkheid niet nemen, die dienen afgestraft te worden door het feit dat de verkopende partijen, die ook een verantwoordelijklheid hebben, gewoon geen producten van die fabrikanten meer verkopen.
Als ik de berichtgeving een beetje volg, denk ik dat bij telecom providers grote paniek heerst, meer dan aan het publiek wordt getoond. Want dit is een issue dat potentieel in staat is hele (telefoon-)netwerken lam te leggen, en als het bewijs nu nog niet geleverd is dat fragmentatie en ondersteuning bij Android een heel groot probleem is, dan wordt dat nooit meer geleverd.
in principe draait Windows ook op tig verschillende soorten hardware combinaties. Het heikele punt is dus dat de updates niet door google centraal gehouden wordt maar door de telefoon fabrikanten gedaan wordt, of zelfs wordt overgelaten aan de providers.

Wat je nu dus krijgt is een situatie, dat wanneer je updates wilt (of een nieuw OS for that matter) je min of meer verplicht wordt een nieuw toestel aan te schaffen.
'De tweaker' vindt het geen probleem om zelf er een custom ROM op te zetten. De grijze massa zal daar meer moeite mee hebben.
Volgens mij gaat het nog een stap verder. Waar Android als OS problemen heeft met de verspreiding van de updates, zie bij andere mobiele OSen dat die maar twee tot max. vier jaar mogelijk zijn (iOS8 is op iPhone 4S mogelijk, maar wil je eigenlijk niet).

Desktop / Server OSen bieden vele jaren ondersteuning, met XP/2003 meer dan 12 jaar. En met de gratis upgrade van Windows 7 naar Windows 10 of OSX die ook gratis updates biedt gaat dat naar een nog hoger aantal jaren. Het volume van mobiele OSen en de mate van toepassing is bijna even hoog (dat verkondigen ze zelf ook), dus dan zou je vergelijkbare ondersteuning mogen verwachten.
Inderdaad.

Overigens hoeft dat wat mij betreft niet per se te gebeuren in de vorm van mee gaan in major OS releases op oudere modellen hardware, maar iedere telefoon die nog in werking is zou op z'n minst nog security patches moeten blijven ontvangen.
Anoniem: 167912
@Luke_msx6 augustus 2015 09:07
Fragmentatie hoeft geen probleem te zijn net zomin als het geen probleem zou zijn dat er 20 verschillende OS'en op de markt zouden zijn (dat is enkel een probleem voor de app-ontwikkelaars). Het gebrek aan ondersteuning en updates is dat uiteraard wel.
"Alleen het stelen van vingerafdrukken op telefoons met vingerafdrukscanners is in veel gevallen nog een uitdaging, omdat de software daarvoor vaak op een dieper niveau draait. Maar ook in vingerafdruksoftware zijn in het verleden kwetsbaarheden gevonden, dus het is allerminst uitgesloten dat je vingerafdruk kan worden gestolen met een mms."

Dit lijkt me niet mogelijk, gezien er alleen een hash van je vingerafdruk wordt opgeslagen, niet een image ofzoiets.
Dit lijkt me niet mogelijk, gezien er alleen een hash van je vingerafdruk wordt opgeslagen, niet een image ofzoiets.
Aan de ene kant heb je gelijk. Aan de andere kant zou je de vingerafdruk-software als aanvaller zo kunnen aanpassen dat ie de vingerafdruk wél in plat formaat opslaat. Dan heb je de vingerafdruk alsnog, de eerstvolgende keer dat iemand zijn toestel gebruikt.
[...]


Aan de ene kant heb je gelijk. Aan de andere kant zou je de vingerafdruk-software als aanvaller zo kunnen aanpassen dat ie de vingerafdruk wél in plat formaat opslaat. Dan heb je de vingerafdruk alsnog, de eerstvolgende keer dat iemand zijn toestel gebruikt.
Dat ligt er aan of die vingerafdruk als platte gegevens uit de hardware te halen valt, of dat de chip zelf al niets meer dan een hash uitpoept.
Maar die hash moet ergens van berekend worden, waar je dus wellicht dmv een kwetsbaarheid bijkomt.
Onderzoekers van beveiligingsbedrijf FireEye hebben vier manieren ontwikkeld om de vingerafdruk van een gebruiker te stelen. En jawel weer op basis van Android! Meer info op security.nl
Ik weiger al een tijd m'n Z2 foon te updaten en wel om een aantal redenen:

1a. Ik heb nu een foon waarbij alles soepel functioneert en er geen merkbare bugs zijn. Persoonlijk heb ik in het verleden bij iedere(!) update gemerkt dat functionaliteit kapot gaat, de telefoon significant trager wordt, of dat er dingen veranderen die ik gewoon echt niet een verbetering zie.
1b. Hoewel ik een mega nerd ben, is mijn foon een gebruiksobject wat gewoon moet functioneren.... waarbij ik dus niet om de haverklap wil moeten wennen aan enge veranderingen.
2a. Ik vermoed dat de overheid/NSA/etc toch zo'n beetje alles wel kraken en afluisteren als ze het echt willen, update of niet.
2b. Dan blijft over kwaadwillende "amateur" bedrijven en of hackers die worst case mijn bankrekening torpederen via een of andere bankier-app exploit. Die risico's durf ik te lopen, niet in de laatste plaats omdat ik er geen enkel praktijk voorbeeld van ken èn ik verwacht dat net als met bv skimmen mijn bank de schade vergoed.

Als er een mogelijkheid was om alleen security updates te doen ben ik er misschien weer bij, tot die tijd jammer dan. Ik update wel met een nieuwe telefoon over 2 jaar. Maar zelfs security updates zijn soms buitengewoon arelaxt, zoals die update dat apps ineens niet meer naar believe naar de sd kaart mochten schrijven.
èn ik verwacht dat net als met bv skimmen mijn bank de schade vergoed.
De bank verwacht dat de geïnstalleerde software op de apparatuur, zoals computer, tablet en/ of smartphone, die voor het regelen van de bankzaken wordt gebruikt, is voorzien van actuele (beveiligings)updates. (bron)
Ze kunnen zoveel verwachten... http://blog.iusmentis.com...eidsregels-van-de-banken/

Jouw stelling gaat dus echt nooit overeind blijven in een rechtszaak, omdat:

- sommige systemen niet geupdate kunnen worden
- sommige systemen het updaten fout loopt, zonder dat de gebruiker het doorheeft
-de bank zichzelf verplicht om een veilige app aan te bieden. Onderdeel daarvan is functionaliteit weigeren bij een onveilig OS. Of tenminste actief een grote expliciete waarschuwing geven tijdens gebruik.
Je hebt gelijk maar ik wil die discussie niet voeren als ik te maken heb met skimmen en mij eerst wordt verweten geen laatste updates te hebben geinstalleerd.
Als ze dat verwijt konden maken, zouden ze dat nu al doen... Ongeacht of je geupdate bent of niet. Het is immers voor jezelf al lastig te controleren of je telefoon helemaal up to date is, laat staan voor de bank.

Echter, en dit raakt aan mijn eerste punt, ik ken sowieso geen praktijk voorbeelden van mensen die gehacked zijn d.m.v. hun bank app? Schijnbaar komt het in de praktijk niet voor. Dus dan loop ik liever dit (kleine) risico dan dat ik het zeer reële constante gezeur heb van slecht functionerende update toestanden.
"lastig te controleren of je telefoon helemaal up to date is, laat staan voor de bank."

Ik neem aan dat een bank-app op kan vragen welke android versie er gedraaid wordt en welk type toestel het is. Dit zouden de banken dus bij elke inlog even naar hun eigen server kunnen sturen.
Als er dan een keertje geskimmt wordt is de bewijslast vrij makkelijk.

Als je inlogt via de website stuurt je browser dergelijke gegevens ook mee, dus daar geldt hetzelfde verhaal.

[Reactie gewijzigd door SeaFish op 6 augustus 2015 12:49]

Ja dan wel ja. Ik had het over achteraf terugzoeken. Als de bank het op het moment zelf weet, en willens en wetens geen waarschuwing geeft, wie is er dan fout bezig?
èn ik verwacht dat net als met bv skimmen mijn bank de schade vergoed.
Ik zou er niet op hopen! Mijn ouders zijn jarenlang bezig geweest om hun geld terug te krijgen nadat mijn vaders portomonnee ( en dus pinpas) was gejat. Bank hield bij hoog en bij laag vol dat de pincode niet te kraken was. De gehele trukendoos ging open om aan te tonen dat het toch echt de schuld van mijn ouders was. Hij had de code zelf geven, de code stond op de pas en weet ik het wat al niet meer.

Pas nadat er door een maat van mij een demonstratie pinpas kraken was gegeven op het hoofdkantoor van des betreffende bank, werd er schoorvoetend toegegeven dat het inderdaad mogelijk is om de pincode buit te maken.

De pas was in 2000/2001 ofzo gejat, dus skimming praktijken waren nog lang niet zo bekend als dat het heden ten dage is.

Tegenwoordig zijn de gevaren alom bekend en verwacht de bank (min of meer terecht!) dat de gebruiker zelf ook actief oplet. Klik jij op een link in email, is het je eigen stomme schuld omdat de bank vaak genoeg waarschuwt er niet op te klikken. Eenzelfde scenario zal de bank je ook voorhouden. Het is bekend dat er op verouderde OSen flinke kwetsbaarheden zijn, het feit dat jij willens en wetens niet wilde updaten is dan je eigen schuld.
Als je als gebruiker op een tegenwoordig overduidelijke Nigeriaanse scam reageert zal de bank vast zeggen: ja dikke doei. Maar ik heb het hier over exploits waar niet tot weinig schuld bij de gebruiker ligt, die voorkomen doordat de onderliggende techniek onveilig is. Zoals bij skimmen ook voornamelijk de technologie onveilig is/was. Ik word met enige regelmatig geskimd (in bepaald types buitenland is er bijna niets tegen te doen), de bank vergoed het gewoon. En terecht.

Dat verhaal over je pa doet hier natuurlijk niet ter zake, het lijkt me zelf ook onwaarschijnlijk dat je met alleen een pas de code kun terugvinden. Niet gek dat de bank sceptisch is.

Tenslotte is het voor de bank onmogelijk om te bewijzen dat jij nalatig bent geweest wat betreft updates. Niet in de laatste plaats omdat er apparaten zijn waarbij je niet eens kan updaten. Als het echt een probleem is, moeten ze vanuit de bank app functionaliteit maar weigeren voor oude systemen.
Het verhaal is juist om de reden die jij aangeeft terzake doenend. Skimming was toentertijd (zoals ik al zei) niet of nauwelijks bekend. Tenminste niet bij het grote publiek!
Skimming is in feite exact hoe het werkt zoals je zegt. Doormiddel van de pas te scannen de code kraken. Nogmaals, toentertijd was het allemaal nieuw en was de beveiliging van de pas een stuk minder goed geregeld.
Overigens, geen enkele bankier was bereid om bij de demonstratie zijn of haar pas af te geven.

Nu zijn de gevaren een stuk breder bekend, je kan dus niet meer als gebruiker verschuilen achter het feit dat jij het niet wist. De Bank doet er alles aan om je te waarschuwen. Het is dus goed mogelijk dat er een waarschuwing komt van de bank om, op bepaalde versies van android geen gebruik te maken van de Bankierapp of dat het zelfs helemaal geblokkeerd wordt.
In het eerste geval gebruik jij het dus op eigen risico. In het laatste geval zal je minder makkelijk wat ff over kunnen maken.

In het eerste geval zal de bank er alles aan doen om aan te tonen dat jij nalatig bent geweest. Zo ook ze bij mijn ouders hebben gedaan.
Skimmen is volgens mij niet kraken, maar afluisteren. De hele pas wordt gekopieerd, en je code wordt op de een of andere manier geregistreerd tijdens het intypen. (bv door een camera, iemand die achter je staat, of een keylogger in de bankomaat.).

Anyway, in de bank app waarschuwen of weigeren, dat lijkt me zeker gewenst. Vervolgens krijgen ze natuurlijk een shitload aan gezeik van klanten bij wie het niet meer werkt, en hopelijk fixen ze het probleem dan gewoon in de app zelf.

Tot die waarschuwing/weigering ga ik waarschijnlijk niets updaten. Het is hun verantwoordelijkheid om eerst actief en tijdens gebruik die waarschuwing te geven! Tot die tijd is het niet updaten van Android dus ook niet op mijn eigen risico qua internetbankieren...
*knip* Ik word met enige regelmatig geskimd (in bepaald types buitenland is er bijna niets tegen te doen), de bank vergoed het gewoon. En terecht.*knip*
Ik ben wel benieuwd wat je hier met enige regelmaat bedoelt, als dit meer dan 2 keer is voorgekomen heb je wel heel veel pech (als ik de bank was zou ik hier toch kritisch naar kijken)

Maar goed ON TOPIC, ik ben van mening dat de gemiddelde consument niet veel verweten kan worden als je telefoon via deze exploit misbruikt wordt ook al omdat er maar beperkt oplossingen mogelijk zijn.
In veel eerste- en tweede-wereldlanden werkt je pinpas sowieso niet bij elke automaat (zelfs al staan alle benodigde master/visa) icoontjes er op. Voordat je er op een druk vliegveld in zeg Rio achter bent welke wel werkt heb je een stuk of 5 automaten gehad... Die automaten zijn allemaal heel erg verschillend, lopen 10 jaar achter, je weet sowieso niet hoe ze er uit zouden moeten zien, en tenslotte zijn de skimming tools soms echt onzichtbaar weggewerkt.

Dus ja, dat gaat helaas regelmatig mis als je van hot naar her reist en voor langere tijd in veel verschillende buitenlanden bent.
Maar als jij als gebruiker er voor kiest updates te weigeren die het probleem verhelpen?
Dat is in mijn ogen hetzelfde als op die overduidelijke Nigeriaanse scam reageren, en ik denk dat de bank daar net zo op zal reageren. Het is niet voor niets dat banken "eisen" dat je bankiert op een volledig geüpdate computer en dat het gebruik van XP niet meer wordt geaccepteerd sinds de updates zijn gestopt.
In hoeverre het echt standhoudt in een rechtszaak is misschien de vraag, maar banken doen er heel veel aan niet uit te hoeven keren.
Ik heb er vanuit beveiligingsoogpunt dus geen enkel probleem mee dat ze XP weigeren. Dat mogen ze van mij ook doen met Android versies, misschien doen ze dat zelfs al soms. Moet je als concurrerende bank natuurlijk wel voor lief nemen dat andere banken het niet doen.... (en dan hopelijk tot de conclusie komen om het maar te fixen in hun app zelf tenzij dat echt niet kan)

Nogmaals, het punt wat ik hier wil maken is dat de beveiligingsverantwoordelijkheid bij de banken ligt, niet bij de consument. Temeer omdat veel apparaten niet kunnen updaten, soms falen met updaten, of niet automatisch updaten. Maar ook dus als ik als domme gebruiker updates weiger omdat ze me niet aanstaan.

De Nigeriaanse scam is echt een andere situatie, omdat de gebruiker dan expliciet een foute actie onderneemt in plaats van nalatig is.
Ik kon nergens vinden wat CM (Cyanogenmod) hiertegen doet.. aangezien ik zelf altijd custom roms draai.. maar bij deze het antwoord:

https://plus.google.com/u/0/+CyanogenMod/posts/7iuX21Tz7n8

EDIT: Oh.. het stond ook al in het bericht over de Samsung updates (nieuws: Samsung belooft maandelijkse patches voor smartphones na recent Android-lek).. Achja, in ieder geval heb ik de officiële bron nu ook erbij :-)

[Reactie gewijzigd door AncientProphecy op 6 augustus 2015 09:29]

Volgens mij was CM al een paar dagen geleden gepatched op hun GitHub
Helaas heb je daar als gebruiker van CM 11 niets aan. De enige mogelijkheid voor een fix is dus upgraden naar een (instabiele?) nightly van CM12.1, en dat kan ook alleen maar als die er uberhaupt voor je toestel is. Zo is er bijvoorbeeld voor de populaire Galaxy S3 helemaal geen CM 12(.1) verkrijgbaar.
in de bron van AncientProphecy hierboven staat ook dat CM11 een fix krijgt.
CM11 will see these updates hit as part of out of band fixes this weekend (these releases occur weekly).
Als je alle reacties in die link leest, dan zie je dat die fix weliswaar door CM is beloofd, maar dat voor nog geen enkele telefoon die fix ook daadwerkelijk is uitgerold.
En daar zijn een heleboel mensen (terecht) erg boos over.
Al langer als ik die link zo lees... anyway... vanavond maar even een nieuwe build ophalen en installeren in ieder geval :9
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee