Bijna alle Android-telefoons hebben datalek
Oppassen met open netwerken
17 mei 2011 | Pieterjan Van Leemputten
Bijna alle telefoons met Google Android hebben een beveiligingslek. Daardoor kunnen onbekenden toegang krijgen tot je contacten, agenda en andere gegevens.
Onderzoekers aan de Duitse universiteit van Ulm hebben ontdekt dat het protocol ClientLogin de oorzaak van het probleem is. Hiermee kan een toepassing een authenticatie-token aanvragen bij Google door je accountnaam en wachtwoord op te geven. Het token dat Google geeft is twee weken geldig, maar wordt helaas onversleuteld verzonden.
Wanneer dat token wordt aangevraagd via een onbeveiligde verbinding, kan het worden onderschept en zo worden misbruikt om persoonlijke gegevens zoals je contacten, agenda of Picasa-webalbums te openen en bewerken.
Alle Androidtoetellen met versie 2.3.3 of ouder zijn gevoelig voor het probleem. De onderzoekers hebben het euvel kunnen vaststellen met onder meer de Nexus One (Android 2.1).
Onbeveiligde netwerken
Om het lek te misbruiken, kunnen criminelen een onbeveiligd netwerk opzetten en vervolgens het verkeer scannen. Omdat het token twee weken geldig is, kunnen ze zelfs ruim de tijd nemen om door je gegevens te gaan.
De onderzoekers raden gebruikers aan om zo snel mogelijk te updaten naar Android 2.3.4 of hoger. Al is dat in praktijk niet altijd mogelijk, omdat dergelijke updates vaak afhankelijk zijn van de operator of het land waar de telefoons worden verkocht.
Wie niet kan updaten, kan beter automatische synchronisatie uitschakelen als er een kans bestaat dat je in de buurt komt van onbeveiligde netwerken (waar je telefoon vervolgens automatisch verbinding zou maken).
Lees meer artikels over :
beveiliging, privacy, android, lek, ulm, clientlogin, onversleuteld
bron: ZDNet
19/05/2011 14:25:00
schwungman schreef:DraXken schreef:Trikke schreef:
Waarmee het grote pijnpunt van Android te voorschijn komt. Android is open, maar voor wie? Voor fabrikanten (om er hun eigen skins over te gooien) en telefoonmaatschappijen (om crapware te pushen), en veel minder voor de gebruiker.
Je kan op dit eigenste ogenblik nog steeds nieuwe toestellen met 2.1 en 2.2 kopen, zonder garantie dat er ooit updates voor beschikbaar komen. Zelfs geen security patches.
Fabrikanten (behalve Apple) leven nog in een vorig tijdperk, toen een telefoon uitkwam met bepaalde functies, en als je meer en nieuwer wou, moest je je een nieuwe aanschaffen.
iOS en Android kunnen anders, met OS updates tot zeg maar 2 jaar na aanschaf. Maar Android wordt hier gehinderd door zijn eigen openheid (en hardware fragmentatie).
Tuurlijk, want dan moeten ze geld blijven steken in ontwikkeling en aanpassing van software, voor toestellen waar ze niets meer op verdienen. Het is voor hun veel interessanter om je een nieuw toestel te verkopen ...
Bij Apple is het idd iets beter, maar ook maar enkel omdat ze het hele process in handen hebben. Maar ook daar zag je in het verleden dat ze nogal selectief nieuwe features niet implementeerden in oudere toestellen omdat dit toestel zogezegd hardwarematig niet geschikt is... Terwijl enkele dagen erna het tegendeel door jailbreakers bewezen wordt
Het zal niet gauw veranderen. De toestellen zijn niet meer gemaakt om 3 of 4 jaar mee te gaan.
Een model dat stock android ondersteunt is in die context wel interessant. Maar weinig toegevoegde waarde voor de leverancier I guess.
Idd, dan kunnen we zich alleen nog maar onderscheiden in pure specs en eventueel bouwkwaliteit... Nu proberen ze zich te onderscheiden met een andere shell en wat leuke apps ...
18/05/2011 14:59:01
DraXken schreef:Trikke schreef:
Waarmee het grote pijnpunt van Android te voorschijn komt. Android is open, maar voor wie? Voor fabrikanten (om er hun eigen skins over te gooien) en telefoonmaatschappijen (om crapware te pushen), en veel minder voor de gebruiker.
Je kan op dit eigenste ogenblik nog steeds nieuwe toestellen met 2.1 en 2.2 kopen, zonder garantie dat er ooit updates voor beschikbaar komen. Zelfs geen security patches.
Fabrikanten (behalve Apple) leven nog in een vorig tijdperk, toen een telefoon uitkwam met bepaalde functies, en als je meer en nieuwer wou, moest je je een nieuwe aanschaffen.
iOS en Android kunnen anders, met OS updates tot zeg maar 2 jaar na aanschaf. Maar Android wordt hier gehinderd door zijn eigen openheid (en hardware fragmentatie).
Tuurlijk, want dan moeten ze geld blijven steken in ontwikkeling en aanpassing van software, voor toestellen waar ze niets meer op verdienen. Het is voor hun veel interessanter om je een nieuw toestel te verkopen ...
Bij Apple is het idd iets beter, maar ook maar enkel omdat ze het hele process in handen hebben. Maar ook daar zag je in het verleden dat ze nogal selectief nieuwe features niet implementeerden in oudere toestellen omdat dit toestel zogezegd hardwarematig niet geschikt is... Terwijl enkele dagen erna het tegendeel door jailbreakers bewezen wordt
Het zal niet gauw veranderen. De toestellen zijn niet meer gemaakt om 3 of 4 jaar mee te gaan.
Een model dat stock android ondersteunt is in die context wel interessant. Maar weinig toegevoegde waarde voor de leverancier I guess.
18/05/2011 12:27:47
Trikke schreef:
Waarmee het grote pijnpunt van Android te voorschijn komt. Android is open, maar voor wie? Voor fabrikanten (om er hun eigen skins over te gooien) en telefoonmaatschappijen (om crapware te pushen), en veel minder voor de gebruiker.
Je kan op dit eigenste ogenblik nog steeds nieuwe toestellen met 2.1 en 2.2 kopen, zonder garantie dat er ooit updates voor beschikbaar komen. Zelfs geen security patches.
Fabrikanten (behalve Apple) leven nog in een vorig tijdperk, toen een telefoon uitkwam met bepaalde functies, en als je meer en nieuwer wou, moest je je een nieuwe aanschaffen.
iOS en Android kunnen anders, met OS updates tot zeg maar 2 jaar na aanschaf. Maar Android wordt hier gehinderd door zijn eigen openheid (en hardware fragmentatie).
Tuurlijk, want dan moeten ze geld blijven steken in ontwikkeling en aanpassing van software, voor toestellen waar ze niets meer op verdienen. Het is voor hun veel interessanter om je een nieuw toestel te verkopen ...
Bij Apple is het idd iets beter, maar ook maar enkel omdat ze het hele process in handen hebben. Maar ook daar zag je in het verleden dat ze nogal selectief nieuwe features niet implementeerden in oudere toestellen omdat dit toestel zogezegd hardwarematig niet geschikt is... Terwijl enkele dagen erna het tegendeel door jailbreakers bewezen wordt
Het zal niet gauw veranderen. De toestellen zijn niet meer gemaakt om 3 of 4 jaar mee te gaan.
18/05/2011 11:34:30
Hmmmz minpunten voor Android wat mij betreft.
Wie niet kan updaten, kan beter automatische synchronisatie uitschakelen als er een kans bestaat dat je in de buurt komt van onbeveiligde netwerken (waar je telefoon vervolgens automatisch verbinding zou maken).
Lees ik nu goed dat die telefoons ongecontroleerde verbindingen maken met niet-gekende netwerken als het open netwerken betreft?
18/05/2011 11:20:53
Waarmee het grote pijnpunt van Android te voorschijn komt. Android is open, maar voor wie? Voor fabrikanten (om er hun eigen skins over te gooien) en telefoonmaatschappijen (om crapware te pushen), en veel minder voor de gebruiker.
Je kan op dit eigenste ogenblik nog steeds nieuwe toestellen met 2.1 en 2.2 kopen, zonder garantie dat er ooit updates voor beschikbaar komen. Zelfs geen security patches.
Fabrikanten (behalve Apple) leven nog in een vorig tijdperk, toen een telefoon uitkwam met bepaalde functies, en als je meer en nieuwer wou, moest je je een nieuwe aanschaffen.
iOS en Android kunnen anders, met OS updates tot zeg maar 2 jaar na aanschaf. Maar Android wordt hier gehinderd door zijn eigen openheid (en hardware fragmentatie).
18/05/2011 10:03:40
Het lastige hier is dat je afhankelijk bent van de fabrikant van het toestel voor de update (tenzij je kan rooten enzo natuurlijk :p). Google heeft zijn werk gedaan blijkbaar, gezien de bug eruit is in 2.3.4. Het zijn de fabrikanten van de toestellen die achterblijven...
18/05/2011 09:55:18
Alle Android kunnen toch eenvoudig even updaten naar 2.3.4? Geen probleem dus, alles is "open"...
18/05/2011 09:48:47
liveyourownlife schreef:
Ik vind het toch wel een tekortkoming en Google zou eigenlijk de providers en andere leveranciers van Android hardware moeten verplichten om hun geleverde hardware onmiddellijk van kritieke updates te moeten voorzien.
Maar ja, waar leg je de grens bij vrijheid hé. Google is zo vriendelijk om het iedereen te bezorgen maar de rest is blijkbaar niet zo vriendelijk om het door te spelen naar zij waarvoor het dient. Maar als je dan weer de aankoopprijs ziet van die toestellen is het er ook niet echt bij ingecalculeerd. Het ruime aanbod dat de meeste leveranciers aanbieden helpt daar ook niet echt bij. Voor Apple ligt dat dan weer gemakkelijker. 1 toestel, 1 update en dan nog lukt het hen niet altijd. Dus zo slecht is het nu met de anderen toch ook niet gesteld hé.
Vandaar dat ik enkel een toestel zal kiezen waar custom ROM's op gedraaid kunnen worden; momenteel draai ik zo een AOSP ROM gebaseerd op Android 2.3.4 dus ik ben veilig voor die bug en hoef niet te wachten tot men bij de fabricant zin heeft om een update te releasen.
Vind het trouwens wel een goed initiatief dat op Google IO dat OEM's en carriers beloven om tot 18 maanden na de release van een telefoon tijdige updates te voorzien (
http://www.engadget.com/2011/05/10/goog ... roid-upda/). Herinner mij bij bv. Nokia andere praktijken waarbij ik op een toestel welgeteld 1 update gekregen heb die dan nog meer bugs leek te introduceren dan op te lossen. En dan zijn ze verbaasd dat mensen minder Nokia's gaan kopen
18/05/2011 08:25:12
Dat kan kloppen, maar dan lijkt me handig om te melden dat het alleen geldt als Android gebruiker een onbeveilligde WiFi gebruikt. Als de gebruiker Internet via eigen provider gebruikt, dan werkt het niet...
18/05/2011 08:08:00
Dat kan kloppen, maar dan lijkt me handig om te melden dat het alleen geldt als Android gebruiker een onbeveilligde WiFi gebruikt. Als de gebruiker Internet via eigen provider gebruikt, dan werkt het niet...
17/05/2011 22:10:55
amigoo schreef:Om het op ze'n Apple's te zeggen: Niemand verplicht u om Android te kopen he!
...
Dat is toch wel een beetje verkeerd geformuleerd, niet?
Op z'n Apple's zou het zijn: het ligt niet aan ons, het is de gebruiker die onveilig een netwerk op gaat.
Ik vind het toch wel een tekortkoming en Google zou eigenlijk de providers en andere leveranciers van Android hardware moeten verplichten om hun geleverde hardware onmiddellijk van kritieke updates te moeten voorzien.
Maar ja, waar leg je de grens bij vrijheid hé. Google is zo vriendelijk om het iedereen te bezorgen maar de rest is blijkbaar niet zo vriendelijk om het door te spelen naar zij waarvoor het dient. Maar als je dan weer de aankoopprijs ziet van die toestellen is het er ook niet echt bij ingecalculeerd. Het ruime aanbod dat de meeste leveranciers aanbieden helpt daar ook niet echt bij. Voor Apple ligt dat dan weer gemakkelijker. 1 toestel, 1 update en dan nog lukt het hen niet altijd. Dus zo slecht is het nu met de anderen toch ook niet gesteld hé.
17/05/2011 17:18:41
Awel?? Waar zitten die Apple haters en Android fan-boys nu?
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
