Custom roms voor Android brengen eerste builds uit met fix voor Krack-aanval

Custom roms LineageOS en OmniRom zijn begonnen met het uitbrengen van builds die een fix bevatten voor de Krack-aanval. Krack maakt gebruik van een zwakheid in onder meer Androids implementatie van wifi-protocol wpa2.

Specifiek op Android zorgt de Krack-aanval ervoor dat de encryptiesleutel alleen maar uit nullen bestaat, waardoor hij makkelijk te raden is en kwaadwillenden internetverkeer via wifi af kunnen luisteren. Alle builds van LineageOS 14.1 bevatten vanaf nu de fix, claimen de ontwikkelaars via Twitter. LineageOS is de geestelijke opvolger van CyanogenMod, de populairste custom rom voor Android-telefoons. Ook OmniRom heeft een patch uitgebracht in nieuwe builds.

De ontwikkelaars kunnen die patch zo snel toepassen, doordat er commits zijn verschenen met een fix voor de kwetsbare wpa_supplicant-toepassing in Android 8.0. De ontwikkelaars hebben die code gebackport naar eerdere versies van Android. Google heeft de patch zelf nog niet verspreid.

Google zal zijn Pixel- en Nexus-telefoons komende maand voorzien van een fix, als onderdeel van de maandelijkse patchronde voor Android, meldt Android Police. De fix zal dan ook zijn weg vinden naar andere smartphones. Fabrikanten sturen de beveiligingsupdate elke maand of eens in de paar maanden op naar veel verschillende modellen, waardoor veel smartphones vermoedelijk nog enkele maanden kwetsbaar zullen blijven.

Bij de aanval gaat het om een key reinstallation attack. Zodra een client, bijvoorbeeld een smartphone, verbinding wil maken met een wpa2-netwerk, krijgt hij een encryptiesleutel nadat de derde stap van de 4-way handshake is afgerond. Deze sleutel gebruikt de client om informatie te versleutelen. Als het accesspoint, bijvoorbeeld een router, geen bevestiging ontvangt dat de client de sleutel heeft gekregen, stuurt hij hem opnieuw.

Elke keer dat de client een dergelijk bericht ontvangt, installeert hij dezelfde sleutel opnieuw. Daarbij worden een pakketnummer of 'nonce' en de receive replay counter steeds opnieuw ingesteld. De versleuteling van de verbinding is aan te vallen door het derde bericht van de 4-way handshake te onderscheppen en opnieuw te verzenden. Hierdoor kan een aanvaller het hergebruik van een nonce afdwingen. Daarvoor is wel een man-in-the-middle-positie vereist, waarbij de aanvaller een kopie van een accesspoint op een ander kanaal opzet, die hetzelfde mac-adres heeft. Tweakers publiceerde maandag een achtergrondartikel over de oorzaak en gevolgen van de Krack-aanval.

fpa krack Airodump-ng scanning, door Christiaan Colen, CC BY-SA 2.0

Door Arnoud Wokke

Redacteur

Feedback • 18-10-2017 19:5357

18-10-2017 • 19:53

57 Linkedin Whatsapp

Lees meer

LineageOS 15.1 op basis van Android 8.1 verschijnt
LineageOS 15.1 op basis van Android 8.1 verschijnt Nieuws van 26 februari 2018
LineageOS claimt 1,7 miljoen actieve gebruikers te hebben
LineageOS claimt 1,7 miljoen actieve gebruikers te hebben Nieuws van 26 december 2017
Apple brengt firmware-update voor AirPort-routers uit met fix tegen Krack-aanval
Apple brengt firmware-update voor AirPort-routers uit met fix tegen Krack-aanval Nieuws van 13 december 2017
Modems en routers Custom rom Firmware Wifi

Reacties (57)

-Moderatie-faq
57
56
42
6
0
12
Wijzig sortering
Cyb
18 oktober 2017 20:32
Om te zien of er een LineageOS update is voor je toestel, ga naar:
https://download.lineageos.org/
Kies je toestel, let daarbij op de juiste "variant" (sprint, lte, etc).
Kijk naar de datum van de laatste update. Als deze van gisteren, vandaag of nog recenter is, is het waarschijnlijk Krack bestendig. Check dit voor de zekerheid bij "Show all merged changes for" en kijk of "android_external_wpa_supplicant_8" valt onder "Changes included in ".
iceheart
@Cyb18 oktober 2017 21:00
En omdat er hier een behoorlijk groot aantal gebruikers zal zitten maar alvast: Alle Oneplus toestellen vallen vandaag allicht nog buiten de boot. voor de 2,3/3T en X zal het morgen/overmorgen beschikbaar zijn, voor de one maandag/dinsdag pas (helaas).
Aikon
@iceheart19 oktober 2017 08:11
Helaas? Ik weet dat 1+ vaak traag is of was met updates maar nu zijn ze nota bene de eerste fabrikant en zelfs hun eerste toestel wordt meegenomen en dan nog een helaas...
iceheart
@Aikon19 oktober 2017 08:25
Dit is niet 1+ maar lineage die inderdaad heel vlot updaten.
Helaas omdat, hoe netjes vlot dit ook is, ik toch echt wel een beetje om deze patch zit te springen ;)
Aikon
@iceheart19 oktober 2017 09:30
Lineage is eerder met updaten dan 1+ ja, maar das geen fabrikant waar ik het over heb. Vziw is 1+ de eerste fabrikant met de update, blijkbaar hebben ze de klachten ter harte genomen.
Cerberus_tm
@Cyb18 oktober 2017 22:39
Zijn al die ROMs van Lineage allemaal dezelfde versie van Android? Of hoe check je dat? Ik zie dat er een recente nightly staat voor mijn oude LG G2, maar vraag me dat dan af.
arjan1995
@Cerberus_tm18 oktober 2017 23:27
Momenteel is je Android versie als volgt the bepalen:

- Lineage 13.0: Android 6.0.1
- Lineage 14.1: Android 7.1.x
- Lineage 15.0: Android 8.0.0
Cerberus_tm
@arjan199519 oktober 2017 01:18
Dank! Goed om te weten dat ze 7.1 hebben voor mijn G2. (Alleen vraag ik me af hoe stabiel zo'n nightly is, natuurlijk.)
iceheart
@Cerberus_tm19 oktober 2017 04:12
Als ze een tijdje met die versie bezig zijn doorgaans zeer stabiel.

Je G2 heeft een zeer goed ondersteunde chipset dus ik durf je bijna wel te beloven dat je goed zit :)
RobinKuijp
@iceheart19 oktober 2017 07:10
Ja ik heb ook 14.1 op m'n oude Samsung S2 staan.
De eerste building was nog heel erg buggy. Nu is het echt best wel stabiel :)
Cerberus_tm
@iceheart19 oktober 2017 11:19
Dank voor de tip!
GoldenBE
@Cerberus_tm19 oktober 2017 17:37
Dat kan je alleen teweten komen door hem te flashen. Ik heb ondertussen 4 toestellen waar ik een custom rom op draai(de). Ik draai nu Lineage OS 14.1 op mijn Xiaomi Redmi Note 4 (SD global versie) en deze ROM is 99,99% stabiel. Het is echt een verademing t.o.v mijn oude toestellen welke wel bug en random crashes hadden.
Cerberus_tm
@GoldenBE19 oktober 2017 18:12
Goed om te weten. Maar het gaat hier wel om nightly.
Anoniem: 531558
@Cyb19 oktober 2017 08:36
Ikzelf heb een samsung galaxy S4 GT-i9505. Op de lijst staan er 3 types (ik weet dat ik niet de LTE moet nemen. Hoe kan ik dan zien welke van de andere 2 ik moet nemen ? (bij mijn device staan deze namen niet vermeld). Ik had al eens een versie op mijn gsm geïnstalleerd (Optimized-LineageOS-14.1-20170906-jflt-AROMA.zip), maar ben terug gegaan naar 'n stock rom omdat clash of clans het na de recente update niet meer deed. Ben echter wel 'n voorstander van de custom roms.
gbw
@Anoniem: 53155819 oktober 2017 15:36
Je zult dan hoogst waarschijnlijk de Intl variant moeten hebben.

Er zijn inderdaad 3 opties
1. Intl: International
2. LTE-A: Dit is de S4 Active
3. VZW: De Verizon variant.

Zolang je de S4 Active, of de Verizon variant, niet hebt, zit je goed met de Intl variant :)

Link: https://download.lineageos.org/jfltexx

[Reactie gewijzigd door gbw op 19 oktober 2017 15:39]

Anoniem: 531558
@gbw21 oktober 2017 18:22
Thx
gepebril
@Anoniem: 53155820 oktober 2017 07:58
Installeer de app 'Phone info * SAMSUNG *
Dan weet je precies welk type je hebt
l99030607l
18 oktober 2017 19:59
zijn de custom rom makers nou sneller als de OEM's zelf ? ik bedoel als het goed is heb je een team met developers klaar staan die je os doorontwikkelen nadat dit jaar de omslag gemaakt is in het leveren van beveilging updates ??

geeft mij alleen maar meer motivatie om mijn toekomstige toestellen te rooten en die OEM meuk eraf te gooien.
Anoniem: 946815
@l99030607l18 oktober 2017 20:20
Ik vermoed dat OEM's veel uitgebreider testen voordat ze iets vrijgeven. Die hebben immers te maken met miljoenen gebruikers, het gros niet of nauwelijks technisch onderlegd. LineageOS daarentegen heeft hooguit enkele tienduizenden gebruikers, veelal van een hoger technisch caliber, en kan daardoor iets meer risico nemen.
asing
@Anoniem: 94681518 oktober 2017 20:44
Ook @l99030607l

De fout zit in een door Linux gebruikte library genaamd "wpa-supplicant". Dat wordt door iemand of een groep onderhouden dus de source is zo gepatched. Ik heb Fedora en de library was maandag al gepatched, dinsdagavond kwam deze mee met de updates.

Android is deels op linux gebaseerd en gebruikt diezelfde library. Google heeft die nu opgenomen is zijn Android Open Source Program (AOSP). LineageOS gebruikt die AOSP als basis voor zijn ROMs dus nu Google AOSP gepatched heeft is de source voor Android beschikbaar. Daarna gaat het heel snel!

Google zelf update zijn toestellen eens per maand, en die van oktober is net geweest. Dat wordt november. LineageOS developers maken wekelijks een nightly, dus die zijn veel sneller beschikbaar. Daarnaast zit er niet een hele schil van de telefoonfabrikant omheen dus er hoeft weinig getest te worden.

Zie daar de slagkracht van Open Source. Het enige wat ik hoef te doen is wachten op de nightly voor mijn toestel.

De reden dat er nu pas gepatched wordt is ook Open Source. OpenBSD "klapte uit de school" door de commits die iedereen kan lezen te vroeg uit te brengen. Het nieuws van het lek mocht maandag pas bekend worden dus de sources mochten ook pas maandag hun commits krijgen.

[Reactie gewijzigd door asing op 18 oktober 2017 20:47]

l99030607l
@asing18 oktober 2017 20:58
nee dat begrijp ik maar hoe zit het met de telefoons met kale androids dan ? die hebben net zoals andere OEM'S geen schil eroverheen (Android one bijvoorbeeld). ik begrijp ook wel dat ze het eens per maand doen, maar misschien moeten ze maar beginnen met iets zoals om de 2 weken en minimaal 3 jaar security updates (net zoals je voor sommige producten mag verwachten dat als ze na 2 jaar kapot gaan en het is iets wat 5 jaar mee kan je toch nog in Nederland recht hebt op garantie) dat zou fabrikanten dwingen om zich aan het beleid aan te passen.
3x3
@asing18 oktober 2017 21:15
Zie daar de slagkracht van Open Source.
Toevallig bij dit veiligheidsprobleem zijn nu de community's van Lineage en Omnirom sneller. Mede doordat het veiligheidsprobleem in een stukje open source code zit. Heel veel van veiligheidsgerelateerde zaken zitten al een tijdje niet in de open-source bronnen op Android. Dus het is ook wel eens andersom, dat telefoonfabrikanten veel sneller een patch leveren dan de Open Source community, of zelfs dan Google zelf. .
Laloeka
@Anoniem: 94681518 oktober 2017 20:58
LineageOS zit momenteel op ruim 1.7 miljoen gebruikers, waarschijnlijk meer aangezien niet alle gebruikers de installatiegegevens delen (opt-out).

LineageOS wordt voornamelijk uitgebracht in de vorm van 'nightlies', dat zijn builds die in principe goed zouden moeten werken, maar waarbij geen garantie gegeven wordt dat ze daadwerkelijk 'stable' zijn. Daarvoor moet je de 'stable' builds hebben.

Persoonlijk heb ik geen problemen met deze 'nightlies', die elke week uitgebracht worden. Soms zit er een update tussen waardoor een app af en toe crasht of de telefoon soms uitvalt, maar vaak worden deze bugs binnen een week verholpen. En helpt het niet, kun je altijd een versie terugstappen, zolang je maar een backup maakt van je oorspronkelijke systeem. Daarbij helpt het ook als je niet super afhankelijk bent van je smartphone en je het niet erg vind om een middag uit te trekken om je telefoon opnieuw in te stellen wanneer een clean install nodig is.

LineageOS is niet voor iedereen, maar updaten is zeker niet (elke week) nodig. Als je een werkende build hebt geïnstalleerd, kun je die ook prima maanden lang laten staan.

[Reactie gewijzigd door Laloeka op 18 oktober 2017 21:00]

iceheart
@Laloeka19 oktober 2017 07:33
Maanden zou ik tegenwoordig niet meer aanraden. Maandelijks met het Android Patch Level meegaan is IMO toch wel het minimum, als je een beetje om security geeft.
sieem
@Anoniem: 94681518 oktober 2017 20:54
LineageOS draait naar hun eigen zeggen op 1,7 miljoen toestellen. Ook geen kattenpis. Daarbij wordt alle nieuwe programmatie voor LineageOS ook nagekeken voor het in een build komt. Maar ze hebben vooral een snellere release cycle met hun nightlies en weeklies, waardoor ze zo snel hierbij zijn. Google zal gewoon bij volgende patchronde een update rondsturen en vermoedelijk zullen Nokia en Wileyfox ook snel aan de beurt zijn. Voor security patches zal het niet liggen aan het feit dat er zoveel meer getest moet worden, maar vooral dat er weinig wil is van de fabrikanten omdat weinig klanten een aankoop doen op basis van security.
Loggedinasroot
@Anoniem: 94681518 oktober 2017 20:46
Plus zal een OEM een groot probleem hebben als er inderdaad iets stuk gaat.
Terwijl het bij een nightly oid flashen het "je eigen schuld" gaat zijn.
Cerberus_tm
@Loggedinasroot18 oktober 2017 22:40
Toch gaan er ook bij officiële patches / nieuwe versies vaak dingen mis, b.v. bij elke nieuwe versie van het besturingssysteem voor oudere Iphones (en ook nieuwe, waarbij zelf je wekker niet afgaat).
l99030607l
@Anoniem: 94681518 oktober 2017 20:53
nee maar om maar een voorbeeld te noemen: google pixel is een android toestel wat een "kale"android versie heeft, en zo zijn er nog wat fabrikanten met kale android toestellen. hoe moeilijk is het patchen van een security update ? er word niks in android fysiek aangepast behalve de mappen die vatbaar zijn. hoe groot is de kans dat het daar mis kan gaan ? het is niet dat we te maken hebben met het switchen van de kernel.

als custom rom makers het kunnen (wat misschien iemand is die het voor een hobby doet of een kleine developers team) waarom OEM's niet ?

als het ging om het updaten van de android versie okee dan begrijp ik je, maar genoeg apps worden via de playstore ge-update (soms zelf's systeem apps) waarom dan niet met beveiliging ?

niet iedereen hoeft tegelijk de update te krijgen maar in waves is al genoeg
Ventieldopje
@l99030607l19 oktober 2017 01:12
Omdat ze er met Android voor gekozen hebben om systeem programma's als één pakket aan te bieden, namelijk als image. In tegen stelling tot Linux waar ook alle losse pakketten aangeboden worden. Zo kun je snel een update uitbrengen en hoef je bovendien niet een heel nieuw image te flashen.

Android bestaat alweer een aardige tijd en begint op dit soort vlakken toch steeds meer barsten en scheuren te vertonen. Het kan geen kwaad om dat soort dingen eens goed op de schop te gooien, iets waar ze nu volgens mij al mee bezig zijn gelukkig.
oef!
@l99030607l18 oktober 2017 20:39
Rooten is niet nodig om custom ROMs te installeren. Het unlocken van de bootloader wel.
Soldaatje
18 oktober 2017 20:03
LineageOS is echt top, gebruik het zelf op mijn oude Sony Xperia Z2.
De update zelf is er nog niet, maar zal wel snel komen dan.
3x3
@Soldaatje18 oktober 2017 20:06
Werken die updates ook over 4G?
Of gaan die alleen over je risicovolle Wifi verbinding :Y)
Soldaatje
@3x318 oktober 2017 20:10
Nou ja, het is niet helemaal OTA bij mij want de link opent een browser met download van sourceforge via https, dus dat zou wel veilig moeten zijn tegen KRACK.
En dan ook nog handmatig toepassen in recovery mode, maar het is een kleine moeite als je weet wat je doet.
194673
@Soldaatje18 oktober 2017 20:26
Voor mijn Nexus 5x zit gewoon OTA updates ingebakken voor LineageOS. Ik was eigenlijk onder de indruk dat dit voor alle officieel supported devices zo was?
Soldaatje
@19467318 oktober 2017 20:47
Klopt, daarom draai ik een port van de officiële rom omdat het toestel te oud is en niet officieel ondersteund wordt. Hij krijgt wel de updates, meeste andere custom rom's krijgen nooit updates laat staan OTA.
Ventieldopje
@Soldaatje19 oktober 2017 00:58
Je kunt toch de checksum controleren (hence, "checksum") bij het patchen, in ieder geval wel als je TWRP gebruikt ;)
FlemishDroid
18 oktober 2017 20:20
Jammer dat de camera en het geluid (super stil) zo slecht is op Lineage os.
Sanderp
@FlemishDroid18 oktober 2017 21:24
Welk toestel gebruik je? Heb er namelijk totaal geen last van met mijn Redmi Note 4X van Xiaomi.
trompr
18 oktober 2017 20:50
Heb net de OmniRom fix binnen gekregen en vroeg mij al af waarom er 2 dagen na de vorige update weer iets klaar stond. Super dat een custom rom zo snel een fix uitbrengt, mijn semi-antieke Oppo Find 7a draait probleemloos op versie 7.1.2
Luinwethion
18 oktober 2017 20:52
Google is hier ook relatief laat.

Het zou niet gek zijn als een OEM met goede update reputatie ook met een patch komt voor Google, als Google wacht tot de volgende security patch release, dat is nog anderhalf week.

Maar goed, na dat Google het gedaan heeft, had ik graag over een maand of 6 een lijst gezien van elke mobiel (high en mid range) vanaf 2014 om te kijken welke wel en welke niet gepacht zijn.
Sanderp
18 oktober 2017 21:26
En dit is dus een van de redenen waarom ik lineage os gebruik. Iedere week een update op donderdag, loopt als een zonnetje en is ook nog een stuk mooier dan welke andere skin dan ook.
Titan_Fox
18 oktober 2017 22:47
Mijn Note 4 draait Resurrection Remix. Zover ik weet baseert deze op LineageOS. Zal de patches binnenkort wel ontvangen; momenteel staat ze nog op 5-9-2017.
Titan_Fox
@Titan_Fox24 oktober 2017 09:45
-aanvulling-

Gisteren ontving ik de nieuwe RR 5.8.5 met als build-date 23-10-2017 en met 5-9-2017 als beveiligingspatch. In de changelog zijn diverse vermeldingen te vinden dat de beveiligingsproblemen met het WPA2 protocol zijn opgelost.
N8w8
19 oktober 2017 00:16
Voor LineageOS 13 patches zie hier.
Sommige toestellen zoals de Moto X1, krijgen ws geen 14.1, dus fijn dat ze die nog onderhouden.
Tim1999
19 oktober 2017 00:55
Vandaag all update gehad over OTA! Van OnePlus voor mijn OnePlus 3! Goede zaak OnePlus!
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee