[Android] Custom ROMs en veiligheid

Door jurroen op maandag 26 maart 2018 13:17 - Reacties (7)
Categorie: Android, Views: 1.102

Mijn eerste bericht op mijn nieuwe TweakBlog! :+

Inleiding

Wellicht is een korte introductie handig. Ik ben Jurroen, tweaker en werkzaam in de IT sector. Security is een deel van mijn professionele leven, maar ook iets wat hobbymatig mijn interesse heeft.

Nu, de aanleiding voor deze post is het volgende: met enige regelmaat zie ik reacties op nieuwsartikelen, op het forum (Gathering of Tweakers) en andere delen van T.net, met het aanraden om bijvoorbeeld LineageOS te installeren, als de fabrikant achterloopt met Android releases (majors of de maandelijkse patches). Zeker als erbij staat "want dat is veiliger", daar krijg ik kromme tenen van.

Updates, updates, updates

Ja, de meeste fabrikanten lopen achter met Android releases en/of maandelijkse patches. Natuurlijk is er de Nexus/Pixel lijn, die direct aan de beurt is. Dan heb je nog Nokia, die erg snel is met updates, zeker met de maandelijkse updates. Een heel contrast als je dat vergelijkt met bijvoorbeeld Samsung, HTC en andere boeren.

In de officiŽle, vendor released patches zitten meestal ook updates voor de drivers en firmware. Die zijn soms hard nodig; het zal niet de eerste keer zijn dat er een RCE (remote code execution) kwetsbaarheid wordt verholpen, in de baseband, wifi, bluetooth etc chipset.

Nu voel je de bui waarschijnlijk al hangen: dit is een heel ander verhaal met custom ROMs. Het "monthly patch level" is heel eenvoudig aan te passen, voor ROM bakkers, zonder daadwerkelijk de patch(es) toe te passen. Sterker nog, lang niet elke ROM bakker is daar eerlijk over. En als ze dat wel zijn, is de vraag of ook de device specific patches zijn meegenomen.

Met EOL devices is dit al een heel ander verhaal. Als voorbeeld een situatieschets. Ik heb een aantal speeltjes: een Samsung Galaxy S4, een HTC M9 en een Samsung Galaxy Tab 10.1. Alle drie zijn ze voorzien van Oreo en hebben een patch level van ergens in 2018. Daarbij kan ik er niet vanuit gaan dat:
  • Dit monthly patch level daadwerkelijk klopt.
  • Dat er, zover beschikbaar, de laatste firmware blobs zijn toegepast.
Wel kan ik er vanuit gaan dat:
  • Ik met die devices een behoorlijk risico loop.
  • In ieder geval bij de S4 en Tab de drivers/firmware redelijkerwijs lekken bevat. Deze devices zijn EOL. Ik weet zo even niet hoe dit met de HTC M9 zit.
Advies

Als zijnde Tweakers krijgen we allen wel eens vragen over dit onderwerp of soortgelijke onderwerpen. Persoonlijk ben ik van mening dat we hierin ook een verantwoordelijkheid in hebben om 'Jan Modaal' de juiste informatie en/of tools te geven. Met z'n allen kunnen we zorgen dat de maatschappij elke keer een stukje veiliger wordt.

Voor advies over custom ROMs, probeer ik in dialoog te gaan. Wat is het doel wat men denkt te bereiken met een custom ROM. Is het een stukje spielerij? Dan is LineageOS wellicht de beste keuze. Is het extra performance, maar wel stock based (bijv. op Samsung/HTC) - dan zijn er weer andere opties beschikbaar.

En is het doel veiligheid? Dan is de vraag hoe zwaar dat weegt ten opzichte van gebruiksgemak en of er de middelen zijn om bijvoorbeeld een Nokia 6 aan te schaffen, als het huidige device EOL is of dat snel EOL raakt.

Er is geen 'one-size-fits-all' oplossing. Zelf heb ik bijvoorbeeld een Nexus 5X met CopperheadOS - zonder root, zonder GApps. Daarmee lever ik een stukje gemak in; dat doe ik bewust - voor mij weegt security/privacy zwaarder dan gemak. En aan het einde van de zomer stap ik over op een Pixel 3, dan bereikt mijn 5X immers z'n EOL.

Vragen, opmerkingen, brainstormen

Voel je vrij om te reageren met vragen en opmerkingen. Een beetje brainstormen vind ik wel gaaf. Want ook deze post is mijn persoonlijke opinie.

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True