OMG! Heb je gehoord? De helft van alle Android-apparaten heeft niet-gepatchte kwetsbaarheden en deelt dezelfde lucht als wij! De horror!
Dat is het gevoel dat je krijgt als je vandaag op internet rondsnuffelt en een blog of twee leest, waar mensen het hebben over een onderzoek uit Duo-beveiliging, een bedrijf dat authenticatiesoftware verkoopt voor gebruik op smartphones. Ze hebben zelfs een handige kleine app die je kunt installeren om te controleren of je Android-apparaat kwetsbaar is. De app staat niet in Google Play, maar staat onderaan het bericht gelinkt als je hem zelf wilt bekijken.
Klinkt eng, toch? Dat is 50 procent van de Android-telefoons, over de hele wereld, allemaal ongepatcht en rijp voor een of andere vorm van online hacken, het moet slecht zijn. Het is het einde voor Google en Android, en we zijn allemaal genaaid.
Zojuist. Stop.
Dit is wat er aan de hand is. De app die u kunt downloaden, wordt uitgevoerd en scant uw apparaat om te zien of een van de acht populaire is root exploit gaten
zijn nog open. Dit zijn dingen die zijn gepatcht in recentere versies van Android of nieuwere versies van de Linux-kernel. Als je telefoon of tablet niet gepatcht is, krijg je daar een waarschuwing over. Het zit allemaal boven de plank en deze exploits zijn waarschijnlijk niet gepatcht in 50 procent van de Android-telefoons.Maar hoe zit het met de andere duizenden exploits, of degenen die nog niet openbaar zijn gemaakt? Je kunt niet gewoon de acht makkelijke gebruiken en er een punt achter zetten. Volgens deze app is mijn Galaxy Nexus veilig, maar hij zit daar met een ontgrendelde bootloader, geroot en klaar om slechte dingen te laten gebeuren. Je krijgt niet het volledige verhaal van deze app -- of van de blogs die erover praten.
Maar we kunnen helpen.
Elk stuk slimme elektronica dat u bezit, is niet gepatcht tegen kwetsbaarheden. Elke. Waarschijnlijk ook meer dan één kwetsbaarheid. Dat betekent uw Android-telefoon of uw iPhone, of je laptop, of zelfs je dvd-speler. Er is geen manier om software te maken die niet kan worden misbruikt, en dat zien we dagelijks. De 256-bits AES-codering op een bootloader betekent dat je een ander gat moet vinden en het op een andere manier moet exploiteren. Er zijn slimmere mensen dan jij en ik die een manier zullen vinden om alles met een gebruikersinterface binnen te dringen, zolang het maar populair genoeg is om om te geven.
Dat betekent echter niet dat apparaatfabrikanten een pas krijgen. Als Google de Galaxy Nexus kan beschermen tegen populaire exploits, betekent dit dat Samsung, HTC, Motorola en de rest dat ook kunnen. Als u een apparaat met uw eigen software erop wilt leveren, bent u verantwoordelijk voor het onderhoud van die software gedurende de redelijke levensduur van dat apparaat. Voor ons betekent dat in ieder geval voor de garantieperiode of de duur van een eventueel contract dat we met een vervoerder hebben gesloten. Als u dat niet kunt, heeft u er niets aan om uw eigen aangepaste software op een apparaat te zetten.
Maar voor deze huidige ronde van Android-haat, voel je vrij om zachtjes te grinniken en te knikken. FUD gebeurt, maar je telefoon is net zo veilig als je kabeldoos, en tenzij je iets doet dat je waarschijnlijk niet zou moeten doen, zul je geen problemen hebben.
Bron: Duo Beveiliging; via BGR