Android-beveiliging is gebrekkig en Marshmallow kan het niet repareren
Het is geen goede week geweest voor de beveiliging van het Android-besturingssysteem, met voortdurende rapporten over de toestand van verschillende hardnekkige kwetsbaarheden die miljoenen gebruikers treffen. En het lijkt erop dat zelfs Android Marshmallow, de volgende grote release van de software die Google dit najaar zal lanceren, niet veel zal doen om de belangrijkste beveiligingsproblemen die ten grondslag liggen aan het populairste mobiele besturingssysteem ter wereld, te verminderen.
hoe oud is de worstelaar ric flair
Dat meldt Dan Goodin voor Ars Technica twee afzonderlijke codefouten blijven miljoenen gebruikers in gevaar brengen. De eerste betreft een recente update van Google, die bedoeld was om een fout te verhelpen waardoor aanvallers kwaadaardige code konden uitvoeren op ongeveer 950 miljoen Android-telefoons - met behulp van niets meer dan een sms-bericht dat naar het telefoonnummer van de gebruiker werd gestuurd. Zeven dagen nadat Google een oplossing had geïmplementeerd, meldden beveiligingsonderzoekers dat de patch, die Google sinds april heeft, zelf zo gebrekkig is dat aanvallers de kwetsbaarheid nog steeds kunnen misbruiken. 'De patch bestaat uit 4 regels code en werd (vermoedelijk) beoordeeld door Google-technici voordat deze werd verzonden', vertelden Jordan Gruskovnjak en Aaron Portnoy van beveiligingsbedrijf Exodus Intelligence aan Ars Technica. 'Het grote publiek gelooft dat de huidige patch hen beschermt terwijl dat in feite niet het geval is.'
De kwetsbaarheid is het resultaat van een bufferoverloopbug in Stagefright, de codebibliotheek die video verwerkt in het Android-besturingssysteem. De patch, die werd ingediend door de onderzoekers die de fout ontdekten en deze in april privé aan Google rapporteerden, voorkomt enkele maar niet alle exploits.
Buffers fungeren als containers voor specifieke hoeveelheden gegevens en wanneer de aangegeven grootte wordt overschreden, kan de inhoud worden uitgevoerd. Nieuwe versies van Android maken overflow-exploits moeilijker uit te voeren met een beveiligingsmaatregel die de randomisatie van adresruimte-indeling wordt genoemd, die de locaties waar de kwaadaardige code is geladen, willekeurig verdeelt. Meer geavanceerde hackers kunnen de beperking echter vaak omzeilen.
waar woont larry bird nu?
Zoals Apple Insider meldde, Google heeft weer een update uitgebracht aan zijn partners, en de Nexus 4, 5, 6, 7, 9, 10 en Nexus Player kunnen de eerste zijn die de update ontvangen wanneer deze in september wordt uitgegeven. Het is onduidelijk wanneer niet-Nexus-telefoons de nieuwe patch krijgen. In de inschatting van Goodin: 'Het incident onderstreept hoe moeilijk het is om de juiste beveiliging te krijgen.'
In een afzonderlijk incident meldden onderzoekers van beveiligingsbedrijf MWR Labs een fout waardoor kwaadwillende apps uit de Android-beveiligingssandbox kunnen ontsnappen, een belangrijke verdediging die voorkomt dat de wachtwoorden en gevoelige gegevens die aan de ene app zijn gekoppeld, door een andere worden geopend. De bug, die zich in de Android Admin-applicatie bevindt, stelt apps in staat om de beperkingen te omzeilen en willekeurige bestanden te lezen met behulp van symbolische koppelingen.
Ars Technica merkt op dat de uitbarsting van kwetsbaarheden en de moeilijkheid om fixes op de apparaten van gebruikers te installeren, zijn tol eist van het Android-besturingssysteem. Hoewel er momenteel geen aanwijzingen zijn dat de kwetsbaarheden daadwerkelijk worden misbruikt, maken gebruikers zich zorgen. En terecht: zelfs de volgende versie van Android, onlangs aangekondigd als Marshmallow, gaat niet in op het gebrekkige beveiligingsmodel van Android.
Ina Fried en Mark Bergen rapporteren voor Re / Code dat beide recente Android-kwetsbaarheden “de zeurende hoofdpijn die Google heeft opgebouwd met een besturingssysteem dat zo afhankelijk is van hardwarepartners, van wie velen moeite hebben om hun winst op peil te houden. En het laat zien dat Google zal blijven worstelen met de problemen terwijl Android naar andere apparaten gaat, zoals auto's, wearables en domotica. ' Google heeft geen controle over het updateproces voor Android, dat afhankelijk is van apparaatfabrikanten en draadloze providers.
Re / Code merkt op dat de huidige beveiligingsproblemen van Android doen denken aan die van Microsoft met Windows 'vroeger'. Het dominante besturingssysteem was het doelwit van constante aanvallen en veel bedrijven waren terughoudend om hun servers en pc's bij te werken zonder onafhankelijke tests. Maar hoewel ze de mogelijkheid hadden om updates te installeren zodra Microsoft ze beschikbaar stelde, brengt Google patches uit die doorgaans naar de telefoonfabrikant gaan, niet naar de eindgebruiker. Telefoonfabrikanten, die al gestrest zijn door krappe marges en hevige concurrentie, werken telefoons die al zijn verkocht vaak niet bij. Dat is een probleem voor grote, multinationale smartphonemakers en mogelijk een groter probleem voor kleine, lokale fabrikanten die budgettelefoons verkopen.
Omdat grote software-updates ook vaak via de providers gaan, die hun eigen tests uitvoeren, duurt het vaak maanden voordat grote releases worden goedgekeurd, als ze überhaupt beschikbaar worden gesteld. Velen in de branche erkennen dat Android-beveiligingsupdates een nieuwe aanpak nodig hebben, en Google heeft zich al gecommitteerd aan maandelijkse updates, een schema dat Samsung en LG hebben afgesproken te ondersteunen. Google zei onlangs dat het maandelijkse updates specifiek voor beveiliging naar Nexus-apparaten zou sturen, de enige die Google volledig kan controleren.
wat doet buck showalter nu?
Meer van Gear & Style Cheat Sheet:
- Wat u moet weten over de nieuwe plannen en prijzen van Verizon
- De beste functies van de nieuwe Galaxy-smartphones van Samsung
- 5 stappen om een betere smartphone of mobiel abonnement te vinden