[Android] Custom ROMs en veiligheid

Door jurroen op maandag 26 maart 2018 13:17 - Reacties (7)
Categorie: Android, Views: 14.186

Mijn eerste bericht op mijn nieuwe TweakBlog! :+

Inleiding

Wellicht is een korte introductie handig. Ik ben Jurroen, tweaker en werkzaam in de IT sector. Security is een deel van mijn professionele leven, maar ook iets wat hobbymatig mijn interesse heeft.

Nu, de aanleiding voor deze post is het volgende: met enige regelmaat zie ik reacties op nieuwsartikelen, op het forum (Gathering of Tweakers) en andere delen van T.net, met het aanraden om bijvoorbeeld LineageOS te installeren, als de fabrikant achterloopt met Android releases (majors of de maandelijkse patches). Zeker als erbij staat "want dat is veiliger", daar krijg ik kromme tenen van.

Updates, updates, updates

Ja, de meeste fabrikanten lopen achter met Android releases en/of maandelijkse patches. Natuurlijk is er de Nexus/Pixel lijn, die direct aan de beurt is. Dan heb je nog Nokia, die erg snel is met updates, zeker met de maandelijkse updates. Een heel contrast als je dat vergelijkt met bijvoorbeeld Samsung, HTC en andere boeren.

In de officiŽle, vendor released patches zitten meestal ook updates voor de drivers en firmware. Die zijn soms hard nodig; het zal niet de eerste keer zijn dat er een RCE (remote code execution) kwetsbaarheid wordt verholpen, in de baseband, wifi, bluetooth etc chipset.

Nu voel je de bui waarschijnlijk al hangen: dit is een heel ander verhaal met custom ROMs. Het "monthly patch level" is heel eenvoudig aan te passen, voor ROM bakkers, zonder daadwerkelijk de patch(es) toe te passen. Sterker nog, lang niet elke ROM bakker is daar eerlijk over. En als ze dat wel zijn, is de vraag of ook de device specific patches zijn meegenomen.

Met EOL devices is dit al een heel ander verhaal. Als voorbeeld een situatieschets. Ik heb een aantal speeltjes: een Samsung Galaxy S4, een HTC M9 en een Samsung Galaxy Tab 10.1. Alle drie zijn ze voorzien van Oreo en hebben een patch level van ergens in 2018. Daarbij kan ik er niet vanuit gaan dat:
  • Dit monthly patch level daadwerkelijk klopt.
  • Dat er, zover beschikbaar, de laatste firmware blobs zijn toegepast.
Wel kan ik er vanuit gaan dat:
  • Ik met die devices een behoorlijk risico loop.
  • In ieder geval bij de S4 en Tab de drivers/firmware redelijkerwijs lekken bevat. Deze devices zijn EOL. Ik weet zo even niet hoe dit met de HTC M9 zit.
Advies

Als zijnde Tweakers krijgen we allen wel eens vragen over dit onderwerp of soortgelijke onderwerpen. Persoonlijk ben ik van mening dat we hierin ook een verantwoordelijkheid in hebben om 'Jan Modaal' de juiste informatie en/of tools te geven. Met z'n allen kunnen we zorgen dat de maatschappij elke keer een stukje veiliger wordt.

Voor advies over custom ROMs, probeer ik in dialoog te gaan. Wat is het doel wat men denkt te bereiken met een custom ROM. Is het een stukje spielerij? Dan is LineageOS wellicht de beste keuze. Is het extra performance, maar wel stock based (bijv. op Samsung/HTC) - dan zijn er weer andere opties beschikbaar.

En is het doel veiligheid? Dan is de vraag hoe zwaar dat weegt ten opzichte van gebruiksgemak en of er de middelen zijn om bijvoorbeeld een Nokia 6 aan te schaffen, als het huidige device EOL is of dat snel EOL raakt.

Er is geen 'one-size-fits-all' oplossing. Zelf heb ik bijvoorbeeld een Nexus 5X met CopperheadOS - zonder root, zonder GApps. Daarmee lever ik een stukje gemak in; dat doe ik bewust - voor mij weegt security/privacy zwaarder dan gemak. En aan het einde van de zomer stap ik over op een Pixel 3, dan bereikt mijn 5X immers z'n EOL.

Vragen, opmerkingen, brainstormen

Voel je vrij om te reageren met vragen en opmerkingen. Een beetje brainstormen vind ik wel gaaf. Want ook deze post is mijn persoonlijke opinie.

Reacties


Door Tweakers user woekele, maandag 26 maart 2018 14:32

De suggestie dat ze alleen het nummer ophogen zonder daadwerkelijk te fixen, vind ik wat flauw. Heb je werkelijk het idee dat dat veel gebeurt? Of is het theoretisch? Het is vaak mogelijk om te testen of een device vulnerable is voor een exploit, daar zijn zelfs apps voor. En die kijken echt niet alleen naar je build-date. Die proberen gewoon daadwerkelijk de exploit te gebruiken. Een ROM die onterecht het nummer ophogen, zouden door de mand vallen.

Verder kunnen er lekken zijn in specifieke hardware/drivers, maar vak wel een stuk moeilijker te exploiten. In theorie is (bijna) iedereen met een Intel-cpu momenteel kwetsbaar, maar in de praktijk valt dat (tot nu toe) ook nog mee.

Zie ook de discussie op https://www.reddit.com/r/...yond_google_patch_levels/ .

Je bent nog altijd een stuk veiliger uit met een up-to-date LineageOS dan een niet-up-to-date 'normaal' OS.

Maar.... je hebt zeker gelijk als je zegt dat men zich niet 100% veilig moet wanen.

Door Tweakers user jurroen, maandag 26 maart 2018 14:47

woekele schreef op maandag 26 maart 2018 @ 14:32:
De suggestie dat ze alleen het nummer ophogen zonder daadwerkelijk te fixen, vind ik wat flauw. Heb je werkelijk het idee dat dat veel gebeurt? Of is het theoretisch? Het is vaak mogelijk om te testen of een device vulnerable is voor een exploit, daar zijn zelfs apps voor. En die kijken echt niet alleen naar je build-date. Die proberen gewoon daadwerkelijk de exploit te gebruiken. Een ROM die onterecht het nummer ophogen, zouden door de mand vallen.
Goed punt. Het schetste ook mijn verbazing toen ik het hoorde. CopperheadOS gaf dit aan: https://twitter.com/CopperheadOS/status/975056449502986241.
woekele schreef op maandag 26 maart 2018 @ 14:32:Verder kunnen er lekken zijn in specifieke hardware/drivers, maar vak wel een stuk moeilijker te exploiten. In theorie is (bijna) iedereen met een Intel-cpu momenteel kwetsbaar, maar in de praktijk valt dat (tot nu toe) ook nog mee.
True that. Meltdown schijnt wel makkelijker te exploiten zijn dan Spectre en is als eerste verholpen. Het fixen van Spectre heeft nogal wat voeten in de aarde, omdat het geen kwestie is van een biosupdate en OS update met een recentere microcode.
[url url="https://jurroen.tweakblogs.net/blog/16107/android-custom-roms-en-veiligheid#r_224721" external=0]woekele schreef op maandag 26 maart 2018 @ 14:32:[/urlZie ook de discussie op https://www.reddit.com/r/...yond_google_patch_levels/ .
Dank voor deze link, kende 'm nog niet, is wel waardevolle informatie ;-)
[url url="https://jurroen.tweakblogs.net/blog/16107/android-custom-roms-en-veiligheid#r_224721" external=0]woekele schreef op maandag 26 maart 2018 @ 14:32:[/urlJe bent nog altijd een stuk veiliger uit met een up-to-date LineageOS dan een niet-up-to-date 'normaal' OS.

Maar.... je hebt zeker gelijk als je zegt dat men zich niet 100% veilig moet wanen.
Klopt - in ieder geval, LineageOS official. Er zijn op plekken als XDA developers unofficial builds te vinden. Daar zou ik zelf toch wat voorzichtiger mee zijn. Draai ook zo'n unofficial op mijn Tab 10.1, als ik een keer wat tijd over heb wil ik daar even wat verder in duiken en mee spelen, kijken of ik erin kom met wat vulns/exploits.

Door Tweakers user wijbro, maandag 26 maart 2018 14:54

Ik krijg dan weer kromme tenen van het gemak en de relatieve snelheid waarmee een product EOL wordt verklaard, vooral door de producenten en natuurlijk ingegeven door financiŽle doeleinden. Koop maar weer een nieuwe Samsung S9 of Note 8 Š 900 euro dan ben je weer een paar jaar "veilig". De wegwerp-maatschappij in volle actie. Degenen die daar niet aan mee willen werken snappen het blijkbaar nog niet.
Heb zelf een Samsung Note 3, die nog steeds naar volle tevredenheid werkt met een custom rom van Resurrection gebaseerd op Android 7.1.2.
Ik snap het blijkbaar ook nog niet. :)

Door Tweakers user jurroen, maandag 26 maart 2018 15:21

wijbro schreef op maandag 26 maart 2018 @ 14:54:
Ik krijg dan weer kromme tenen van het gemak en de relatieve snelheid waarmee een product EOL wordt verklaard, vooral door de producenten en natuurlijk ingegeven door financiŽle doeleinden. Koop maar weer een nieuwe Samsung S9 of Note 8 Š 900 euro dan ben je weer een paar jaar "veilig". De wegwerp-maatschappij in volle actie. Degenen die daar niet aan mee willen werken snappen het blijkbaar nog niet.
Heb zelf een Samsung Note 3, die nog steeds naar volle tevredenheid werkt met een custom rom van Resurrection gebaseerd op Android 7.1.2.
Ik snap het blijkbaar ook nog niet. :)
Eens. Ik snap dat, vanuit de fabrikant, de kosten voor het blijven supporten van een device vele malen hoger zijn dan vroeger, bijvoorbeeld de Nokia 3310. Toen waren zaken als updates natuurlijk nog niet ter sprake. Dat neemt echter niet weg dat consumenten (waaronder ik) zich genaaid voelen door deze insteek.

Ook daarom viel Nokia mij op, de Nokia 6 kost zo'n 220 euro, een modelletje lager zit 'ie rond 175. Als je dat zou verdelen over drie jaar krijg je een heel ander plaatje dan een Samsung S9 of Note 8, waarbij je een flinke klap geld moet neerleggen en een linker nier.

Over je laatste stukje: dat is wat ik bedoel met dat er geen 'one-size-fits-all' oplossing is. Voor jou is dat de ideale oplossing, ik zou dat zelf niet willen. En waarschijnlijk vice-versa, wellicht zou jij gillend gek worden als je een week mijn telefoon zou moeten gebruiken ;-)

[Reactie gewijzigd op maandag 26 maart 2018 15:22]


Door Tweakers user GtrCraft, maandag 26 maart 2018 15:50

Ik ben zelf ook custom rom maintainer/mini developer. En we kunnen niet inderdaad alles beveiligen (hardware, drivers, firmware) maar wat CopperheadOS zegt is gewoon bullshit.
Wij updaten alles van AOSP/CAF en linux kernel waar mogelijk. En het is altijd beter dan de meeste OEM's die achterlopen met (security) updates.

Door Tweakers user jurroen, maandag 26 maart 2018 16:16

GtrCraft schreef op maandag 26 maart 2018 @ 15:50:
Ik ben zelf ook custom rom maintainer/mini developer. En we kunnen niet inderdaad alles beveiligen (hardware, drivers, firmware) maar wat CopperheadOS zegt is gewoon bullshit.

Wij updaten alles van AOSP/CAF en linux kernel waar mogelijk. En het is altijd beter dan de meeste OEM's die achterlopen met (security) updates.
Wauw, tof dat je hier reageert! Natuurlijk wil ik met mijn post niet alle schapen over een kam scheren. Ik vind het persoonlijk ook enorm vet om "even" naar XDA te gaan voor een update en vervolgens steeds weer te zien hoe goed sommige community projecten zijn. Op m'n HTC, toen het mijn primaire telefoon was, draaide ik de ganse tijd custom ROMs, CM en RR, ik gruwel nog steeds als ik aan die HTC Sense meuk denk.

De opmerking van CopperheadOS, die zal niet ongefundeerd zijn. Ze kunnen soms wat bot uit de hoek komen, wellicht dat er een bosje ROMs zijn die iets dergelijks doen/gedaan hebben? Apps als Android VTS worden helaas ook niet meer geupdate, waardoor het nu een kwestie is van de source inspecteren of het testen door mogelijke exploits af te gaan. Android VTS was overigens niet perfect, die had geen testen die device-specific zijn. En logisch, want dat zou natuurlijk gigantisch veel werk kosten.

Uit interesse, wil je kwijt voor welke ROM je een maintainer bent?

Door Tweakers user GtrCraft, maandag 26 maart 2018 16:47

jurroen schreef op maandag 26 maart 2018 @ 16:16:
[...]


Wauw, tof dat je hier reageert! Natuurlijk wil ik met mijn post niet alle schapen over een kam scheren. Ik vind het persoonlijk ook enorm vet om "even" naar XDA te gaan voor een update en vervolgens steeds weer te zien hoe goed sommige community projecten zijn. Op m'n HTC, toen het mijn primaire telefoon was, draaide ik de ganse tijd custom ROMs, CM en RR, ik gruwel nog steeds als ik aan die HTC Sense meuk denk.

De opmerking van CopperheadOS, die zal niet ongefundeerd zijn. Ze kunnen soms wat bot uit de hoek komen, wellicht dat er een bosje ROMs zijn die iets dergelijks doen/gedaan hebben? Apps als Android VTS worden helaas ook niet meer geupdate, waardoor het nu een kwestie is van de source inspecteren of het testen door mogelijke exploits af te gaan. Android VTS was overigens niet perfect, die had geen testen die device-specific zijn. En logisch, want dat zou natuurlijk gigantisch veel werk kosten.

Uit interesse, wil je kwijt voor welke ROM je een maintainer bent?
Ik heb wel eens gehoord van roms die niet alles patchde. Maar die kon ik op 1 hand tellen.

Ik ben voornamelijk actief met het GZR Team (GZOSP en Validus).
Met name dan de Moto G5 Plus (daily driver), Nvidia Shieldtablet, Moto X Play en Nexus 5.
Voor de Moto G5 Plus doe ik ook AOSiP en AOSP Extended.

Reactie formulier
(verplicht)
(verplicht, maar wordt niet getoond)
(optioneel)