Beheer

Security
Patch, pleister

Android dicht WPA2-gat, voor sommigen

De november-update voor Android fixt WPA2-kwetsbaarheid KRACK. Maar niet voor alle Androids.

© Pixabay CC0 Public Domain
8 november 2017

De november-update voor Android fixt WPA2-kwetsbaarheid KRACK. Maar niet voor alle Androids.

Android krijgt tegenwoordig maandelijks een security-update, naar voorbeeld van Microsofts jaren oude traditie van Patch Tuesday. De november-update voor Google’s mobiele besturingssysteem bevat een fix voor de beruchte KRACK-kwetsbaarheid (key reinstallation attack). Dit is een ernstig gat in WPA2 en zit in dat wifi-beveiligingsprotocol zelf. Hierdoor zijn alle implementaties van WPA2 lek, waarbij vooral Android en Linux flink risico lopen.

Patch in drie delen

KRACK is ontdekt door Belgische onderzoekers en heeft ICT-leveranciers groot en klein tot actie gedwongen. Google repareert zijn WPA2-implementatie voor Android met de november-update die nu net is uitgekomen. Normaliter krijgen Android-partners zo’n patchpakket een maand eerder, zodat zij kunnen testen op hun toestellen om dan de update eventueel aan te passen voor hun hardwareconfiguraties.

De november-update bestaat echter uit een drietal patches. Eerst de normale update die dus begin oktober al aan smartphonefabrikanten is verstrekt. De onthulling van KRACK is echter in oktober gedaan en heeft Google genoopt om een aparte security-update hiervoor te maken. Deze volgt overigens op een tweede update, die voor een kritieke bug in wifi-chips van Qualcomm is.

Wachten op updates

De tweede en derde november-update zijn dus niet met een maand ‘voorsprong’ aan Android-toestelmakers gegeven. Het is daarbij de vraag welke toestellen dan deze update krijgen, en wanneer. In de praktijk geven veel fabrikanten hun smartphones, zeker de goedkopere modellen, weinig updates. De fragmentatie van Android-versies in gebruik is dan ook nog altijd flink, blijkt uit metingen van Google zelf.

Verder blijkt dat Google’s Pixel- en Nexus-smartphones de derde, WPA2-fixende update niet meteen hebben gekregen, merkt technieuwssite Ars Technica nog op. Het huidige patch-niveau voor die Google-eigen toestellen gaat tot en met de tweede update. De KRACK-fix moet volgens Google’s security-bulletin wel binnen twee dagen zijn toegevoegd aan het ontwikkel-repository van het Android Open Source Project (AOSP).

MEER AG CONNECT?

Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.