News Sicherheitslücke: Schwachstelle in 95 von 100 Smartphones mit Android

Grantig · 28. Juli 2015

An alle die hier versuchen diese Lücke runterzuspielen:

Zimperium Mobile Security schrieb:
Android and derivative devices after and including version 2.2 are vulnerable. Devices running Android versions prior to Jelly Bean (roughly 11% of devices) are at the worst risk due to inadequate exploit mitigations. If ‘Heartbleed’ from the PC era sends chill down your spine, this is much worse.

Quelle

Das ist ziemlich übel wenn man sich mal anschaut was alles von der Stagefright Engine abhängt:

Quasi alles was auf die Android Media Playback Engine zurückgreift um Medien (Audio/Video/Bilder) zu decodieren ist potentiell von diesen Sicherheitslücken betroffen.
Selbst beim erstellen von Video- oder Picture-Thumbnails wird auf Stagefright gesetzt. Alles was Thumbnails/Previews anzeigt, ohne dass der Nutzer dazu eingreifen muss (MMS/Messenger/Mail usw.) kann also evtl. dazu missbraucht werden Schadcode ohne zutun des Nutzers auszuführen.

Es ist also schon ein ziemlich großes Problem, vor allem da es Exploits sind die das System betreffen, also nicht einfach über den Playstore gepatcht werden können.

Das größte Problem ist allerdings die miserable Updateverteilung bei Android-Geräten. Es sind alle Android Geräte ab 2.2 betroffen. Die meisten betroffenen Geräte werden wohl nie ein Update bekommen.

Hito · 28. Juli 2015

Der Bericht ist mir zu vage - keine Liste von betroffenen Geräten/Versionen.

Ob jemand betroffen läßt sich nicht feststellen?

EmViO · 28. Juli 2015

exoterrist schrieb:
Das große Problem mit Android ist die oftmals schlechte Versorgung mit Updates. Wer kein Nexus-Gerät hat, muss ewig auf Updates warten, falls sie überhaupt kommen.

Öh nein? Ich hab z.b. das LG G3 und habe mit als erstes Android 5 bekommen und auch folgende Updates schnell

nille02 · 28. Juli 2015

Mäuschen schrieb:
Woran scheitern eigentlich die Provider-Updates?

Es sind nicht unbedingt die Provider sondern Hardwarehersteller. Damit das ganze läuft müssen Oft umfangreiche Anpassungen an dem Kernel und Android selbst vorgenommen werden.

Da Google die alten Versionen ungern pflegt, muss man upgraden oder selber einen Patch schreiben und verteilen. Darauf haben die Hersteller aber auch keinen Bock daher sind die pragmatisch und ignorieren einfach solche Fehler. Soll der Kunde halt ein neues Gerät kaufen.

Rmb3 · 28. Juli 2015

Alles richtig gemacht mit dem Umstieg auf WP. Hatte mich schon immer gestört das ein Handy auch einen Virus bekommen kann oder von Fremden ausspioniert werden kann + die Updatepolitik

Auch wenn WP eine einfache Oberfläche hat und nicht gleich seit Anfang alle Einstellmöglichkeiten hatte.So läuft es ohne Highend auch flüssig und sicher.

HaZweiOh · 28. Juli 2015

Der Punkt ist, die Diskussion zu versachlichen. Ich weiß, wir sind hier im Internet. Da regen sich alle gerne auf, und eine reißerische Überschrift bringt reißerisch viele Klicks. Am Ende muss man aber gucken, was wirklich übrig bleibt. In vielen Fällen war das nicht gerade viel.

Falls die Lücke wirklich gefährlich ist, wird es auch Updates geben. Das hat man bei Heartbleed gesehen. Die Lücke war gefährlich, und wenn Geräte betroffen waren, wurden sie auch dann noch gepatcht, wenn sie alt waren: Motorola RAZR, Defy, Defy+, Defy Mini & HTC Desire X zum Beispiel. Das Defy kam 2010 auf den Markt.

Ganz blöd sind die Hersteller ja auch nicht, auf Schadenersatz-Klagen in den USA haben die wohl eher keine Lust.

Grantig · 28. Juli 2015

Hito schrieb:
Der Bericht ist mir zu vage - keine Liste von betroffenen Geräten/Versionen.

Alle Android Geräte ab Android 2.2.
Sicher ist afaik momentan nur der aktuellste CM Nightly Build.

HaZweiOh schrieb:
Das hat man bei Heartbleed geehen. Diese Lücke war gefährlich, und betroffene Geräte wurden auch dann gepatcht, wenn sie schon älter waren: Motorola RAZR, Defy, Defy+, Defy Mini & HTC Desire X zum Beispiel

Das ist nur ne Hand voll Geräte. Es gibt immernoch genügend ungepatchte Geräte die von Heartbleed betroffen sind.

HaZweiOh · 28. Juli 2015

Grantig schrieb:
Das ist nur ne Hand voll Geräte. Es gibt immernoch genügend ungepatchte Geräte die von Heartbleed betroffen sind.

Welche denn? Von Markenherstellern? Von Heartbleed war nur Android 4.1.1 betroffen, nicht 4.1.2, und auch nicht 4.0.4 oder so.
Ich wüsste jetzt kein Gerät, was betroffen war und kein Update bekommen hat. Stattdessen hat man gesehen, dass Updates auch noch an 2010er Geräte verteilt werden, eben weil die Lücke tatsächlich mal relevant war.

Hito · 28. Juli 2015

Grantig schrieb:
Alle Android Geräte ab Android 2.2.
Sicher ist afaik momentan nur der aktuellste CM Nightly Build.

Ich lese was anderes:
Hauptsächlich Geräte unter v4.0, aber auch Geräte mit v5.1. Deshalb wäre eine Geräte-Liste+Version vonnöten.
Panikmache bringt ja bekanntlich viele Klicks, aber wenn deswegen der Journalismus leiden muss, ist das keine Lösung.

Grantig · 28. Juli 2015

@HaZweiOh
> 10% aller noch benutzten Geräte. Evtl. mehr, Google fasst alle 4.1.x Versionen zusammen (da werden aber mit Sicherheit auch noch einige 4.1.1 Geräte dabei sein).

@Hito
Lies mal das vom Entdecker der Lücken:

Android and derivative devices after and including version 2.2 are vulnerable. Devices running Android versions prior to Jelly Bean (roughly 11% of devices) are at the worst risk due to inadequate exploit mitigations.

Quellenangebe steht in einem Post von mir weiter oben.

Es sind alle Geräte betroffen. Bei Geräten mit Android <= 4.0 lassen sich die Lücken besonders leicht ausnutzen, da der Schutz vor Exploits in diesen Versionen nicht wirklich brauchbar ist.

HaZweiOh · 28. Juli 2015

Nein, von Heartbleed war nur die Version 4.1.1 war betroffen, keine anderen Versionen, auch keine älteren.

Grantig · 28. Juli 2015

Ah sorry das hatte ich dann falsch im Kopf.

Heartbleed ist damit bezüglich Android nichtmal annähernd mit den Stagefright Exploits vergleichbar, da diesmal viel mehr und vor allem auch ältere Geräte betroffen sind für die die Hersteller wohl eher keinen Finger krumm machen werden.

Magellan · 28. Juli 2015

Mäuschen schrieb:
Woran scheitern eigentlich die Provider-Updates?
Warum erzwingt Google nicht, dass Hersteller nicht an Android herumpfuschen sondern Launcher nutzen wie es sich gehört? Müsste mit einem Stock Android das Patchen nicht ganz einfach sein? So wie bei Windwos Desktops? Die Treiber werden doch da gar nicht angelangt??

Android (AOSP) ist OpenSource, Google kann gar niemanden zwingen nichts zu ändern und die Hersteller auf der anderen Seite wollen austauschbare Software auf keinen Fall, Kundenbindung, Abhebung von der Konkurrenz und so.

Aber selbst wenn jedes Gerät Stock Android nutzen würde könnte man Updates nicht einfach ausrollen weil die Treiber und Anpassungen an die Hardware viel tiefer im System integriert sind als zb bei Windows. Man muss ja nur mal das ROM vom Nexus 5 mit dem vom Nexus 6 vergleichen oder so...

Um sowas zu ermöglichen müsste man die Android Architektur grundlegend ändern und das hat dann eben nicht nur Vorteile wenn die Hardwareschicht weiter abstrahiert wird.

Wenn es da so ne einfache goldene Lösung gäbe hätte die Google längst rausgehauen, denen wäre es auch lieber wenn dieser "Negativpunkt" mal wegfallen würde.

HaZweiOh · 28. Juli 2015

@Grantig: Das wissen wir nicht, das bleibt abzuwarten. Was wir wissen: bei Heartbleed haben sie gepatcht, auch bei alten Geräten. Darauf wollte ich hinaus.

Andere Lücken laufen trotz reißerisch gemachter Artikel am Ende darauf hinaus: "Bitte installieren Sie von Hand diesen Trojaner aus diesem chinesischen Store, unter Aushebelung der Sicherheitsmechanismen!" Wenn für sowas kein Patch mehr auf alte Geräte kommt, ist das verständlich.

Grantig · 28. Juli 2015

Diesmal sind halt auch wirklich uralte Geräte betroffen, deswegen bezweifle ich stark, dass da noch was kommt von den Herstellern.

HaZweiOh schrieb:
Andere Lücken laufen trotz reißerisch gemachter Artikel am Ende darauf hinaus: "Bitte installieren Sie von Hand diesen Trojaner aus diesem chinesischen Store, unter Aushebelung der Sicherheitsmechanismen!"

Ist wohl bei diesen Exploits wesentlich schlimmer als bei den üblichen FUD Meldungen irgendwelcher Antiviren-Schlangenöl-Hersteller.

Nochmal ein Auszug aus der Quelle die ich weiter oben gepostet habe:

Zimperium schrieb:
Attackers only need your mobile number, using which they can remotely execute code via a specially crafted media file delivered via MMS. A fully weaponized successful attack could even delete the message before you see it. You will only see the notification. These vulnerabilities are extremely dangerous because they do not require that the victim take any action to be exploited. Unlike spear-phishing, where the victim needs to open a PDF file or a link sent by the attacker, this vulnerability can be triggered while you sleep. Before you wake up, the attacker will remove any signs of the device being compromised and you will continue your day as usual – with a trojaned phone.

JamesFunk · 28. Juli 2015

VollgasPilot schrieb:
Falsch. Android ist de facto die mit Abstand unsicherste Plattform!

Bei samsung etc. können die androider lange auf ein Update warten, da muss man die alle 3 Wochen neu erscheinenden Geräte kaufen, um eine halbwegs aktuelle Version zu kaufen. Lächerlich.

Android ist was die Sicherheit angeht eine einzige Katastrophe und deshalb für Privatleute absolut nicht zu empfehlen, darüber wird viel zu wenig berichtet.

Bekannter hatte letztens auch das Problem, hat sich im Mediamarkt so einen android-Klumpen aufschwatzen lassen, für die es natürlich nie Sicherheitsupdates gibt, und hat sich dann im offiziellen google store irgendwas eingefangen und musste eine saftige Rechnung bezahlen !

Der Witz ist dass ich als ITler ihm im Voraus deutlich von android abgeraten habe!

Ebenso die Beschwerden meiner Bekannten dass android nach einigen Monaten unbenutzbar langsam und träge wird - tja, warum wohl? Alles zugemüllt mit Spyware und Malware.

In der Zeit wo ich mein iPhone benutze und locker 5 Jahre mit Updates versorgt werde, brauchen die androider mindestens zwei Geräte, also sogar noch draufgezahlt!

Hier ist das Problem offensichtlich nicht das Betriebssystem, sondern der User.

HaZweiOh · 28. Juli 2015

Bei uralten Geräten kommen von Apple auch keine Updates mehr. Davon abgesehen macht deren Nutzung aus heutiger Sicht auch keinen Spaß.

@JamesFunk: Bei Stories von extremen Fanboys wäre ich sowieso vorsichtig.
"nach einigen Monaten unbenutzbar langsam und träge" sagt doch schon alles, oder?

Otsy · 28. Juli 2015

@ JamesFunk

Das entspricht auch meiner Einschätzung. Ohne Herumgespiele (oder jegliche Ahnung von der Materie) ist es auch unter Android außerordentlich schwer sich wirkliche Probleme einzufangen.

Krautmaster · 28. Juli 2015

soviel zum Thema Zwangsupdate. Damit wäre das binnen weniger Tagen gegessen oder zumindest bei 95% der Geräte fixed.

sweert · 28. Juli 2015

Angenommen bei einem Nutzer wird die Lücke ausgenutzt und der Angreifer lässt die MMS direkt löschen, man bemerkt also nichts - müsste dies nicht zumindest an einer (deutlich) höheren Datennutzung durch Senden der abgegriffenen Daten erkennbar sein? So könnte man das immerhin erkennen, wenn auch erst nach Befall.

News Sicherheitslücke: Schwachstelle in 95 von 100 Smartphones mit Android

Captain

Banned

Lt. Commander

Commander

Lt. Junior Grade

Banned

Captain

Banned

Banned

Captain

Banned

Captain

Fleet Admiral

Banned

Captain

Commodore

Banned

Commodore

Fleet Admiral

Cadet 2nd Year

Ähnliche Themen

Passend zum Thema