T-Mobile G1: Where Android Began
Onderzoekers van Independent Security Evaluators zeggen dat ze een beveiligingsfout in de Android-browser hebben ontdekt die gebruikers van telefoons met de browser kwetsbaar zou kunnen maken voor aanvallen.
Android, de open-source software van Google die momenteel alleen beschikbaar is op één telefoon, HTC's G1, is gebaseerd op verouderde open-sourcecomponenten, zeggen de onderzoekers. Als gevolg hiervan was de gevonden kwetsbaarheid eerder bekend en gerepareerd, maar Google heeft de fix niet in Android opgenomen, zeggen ze.
De G1 is afgelopen woensdag uit T-Mobile USA verschenen en Google heeft de bron gepubliceerd code achter Android op dinsdag. Van andere fabrikanten, waaronder Motorola, wordt verwacht dat ze in de toekomst ook telefoons met Android vrijgeven.
Op een webpagina voor ISE schrijven Charlie Miller, Mark Daniel en Jake Honoroff dat ze niet veel zullen onthullen over het beveiligingslek totdat Google dit corrigeert het. Ze zeggen echter dat Android-gebruikers die kwaadwillende websites bezoeken, hun gevoelige informatie kunnen vinden die is gestolen. Dat komt omdat een aanvaller toegang heeft tot alle informatie die de site gebruikt, inclusief opgeslagen wachtwoorden, informatie die is ingevoerd in een webformulier en cookies.
De onderzoekers zeggen echter ook dat de impact van de aanval beperkt is vanwege de beveiligingsarchitectuur van Android. Een aanvaller kan bijvoorbeeld geen functies van de telefoon beheren, zoals de kiezer.
Google zei dat het een oplossing voor het probleem aan het ontwikkelen is. "We werken samen met T-Mobile om een oplossing voor de browserexploitatie op te nemen, die binnenkort voor alle apparaten wordt geleverd en die we hebben aangepakt in het Android-open-sourceplatform. De veiligheid en privacy van onze gebruikers is van primordiaal belang voor het Android Open Source Project - we geloven niet dat deze kwestie een negatieve impact op hen zal hebben, "aldus het bedrijf in een verklaring. Er staat niet wanneer het verwacht de update te pushen.
De onderzoekers zeggen dat ze Google hebben geïnformeerd over het probleem op 20 oktober.
Het incident roept vragen op over mogelijke problemen waarmee de Android-gemeenschap in de toekomst te maken kan krijgen. Omdat Google een open model met Android heeft geïmplementeerd, kunnen veel leveranciers en operators in de toekomst verschillende telefoons aanbieden, elk mogelijk met iets andere versies van het besturingssysteem. Als er in de toekomst kwetsbaarheden worden gevonden, zullen telefoonmakers en operators moeten bepalen of hun versie van de software wordt beïnvloed en vervolgens de distributie van een fix aan gebruikers coördineren.
Gevaarlijke beveiligingsfout Waarschijnlijk slechts een hoax
Een claim op een softwareprobleem in een programma dat wordt gebruikt om veilig verbinding te maken met servers op internet, is waarschijnlijk een hoax, volgens SANS.
Het programma, OpenSSH genaamd Secure Shell), is geïnstalleerd op tientallen miljoenen servers gemaakt door leveranciers zoals Red Hat, Hewlett-Packard, Apple en IBM. Het wordt gebruikt door beheerders om gecodeerde verbindingen te maken met andere computers
Java, BlackBerry Desktop Beveiligingsfout oplossen
Kritieke Java- en BlackBerry Desktop Software-patches zijn dinsdag uitgegeven.
Skype schakelt wachtwoordreset uit na blootgestelde beveiligingsfout
De fout liet iedereen toe die uw e-mailadres kende om controle te krijgen over uw Skype-account