News Sicherheitslücke: Schwachstelle in 95 von 100 Smartphones mit Android

HaZweiOh · 28. Juli 2015

Da kann man nur abwarten, bis Details bekannt werden, am besten von einer neutralen Quelle. Leicht ausnutzen lässt die Lücke sich ja nur mit den sehr alten Versionen 2.3 + 4.0

MountWalker · 28. Juli 2015

Krautmaster schrieb:
... Damit wäre das binnen weniger Tagen gegessen oder zumindest bei 95% der Geräte fixed.

Dafür brauchts aber mehr als nur die Hersterlleränderungen (Samsung, HTC usw.) außer Kraft zu setzen, weil man zusätzlich noch die Carrier-Veränderungen (AT&T, Verizon, T-Mobile, Vodafone uvm.) verbieten müsste. Bei Heartbleed wurde beispielsweise auch nicht jedes Gerät, für das es ein Update gab, tatsächlich aktuelisiert, nicht weil da irgendwelche Anwender sich irgendwa verweigert hätten, sondern schlicht weil der Betriebssystemherster in letzter Instanz immer der Carrier, also der Mobilfunknetzanbieter(!), ist. Das Update gibts OTA, wenn der Carrier freundelich ist, oder es gibt eben kein Update und sowieso erst, wenn der Carrier mit seinen umfangreichen Tests durch ist, die erst ansetzen, nachdem der Gerätehersteller mit seinen Tests fertig ist. Bei 1&1 und O2 dauern die Tests im Schnitt nochmal einen Monat, bei T-Mobile sinds drei bis sechs Monate. Da mein Gerätehersteller (HTC) auch drei bis sechs Monate testet, bevor er ein Update durchreicht, kann ich als Besitzer das Update, wenn überhaupt (Gerät hat die Supportzeit eh längst verlassen, HTC One S), sechs bis zwölf Montae, nachem es von Google veröffentlicht wurde, in Empfang nehmen. Was würde jetzt ein Update-Zwang für mich als Kunden verändern, wenbn ich schlicht aufgrund der Sysdtembedinfgungen mitunter ein Jahr angreifbar aufs Update warten muss? Kurzum: Deine Themenbrücke funktioniert nicht.

Hito · 28. Juli 2015

Lass den Krautmaster quatschen. Ist nicht umsonst auf den meisten Ignorier-Listen der User.
"Zuviel Kraut schadet nicht"they said...

Die Einzigen, die mit einem schnellen offiziellen Fix rechnen dürfen, sind wahrscheinlich Nexus 4/5/6 Nutzer(tablets ignorier ich der unvollständigkeit halber).

HaZweiOh · 28. Juli 2015

Es wäre auch denkbar, dass ein Hangouts-Update eventuell vorhandenen Schrott aus der MMS (btw: hat die jemals wer benutzt?) entfernt und danach den sauberen Inhalt an die Multimedia-Bibliothek weiterreicht.

Jesterfox · 28. Juli 2015

Und dann? Dann schiebt man den Leuten den Exploit halt nicht über Hangouts sondern anderweitig unter. Ich weiß nicht wieso sich die Leute so an "MMS" und "Hangouts" aufhängen, das sind nur Beispiele wie ein Angriff erfolgen könnte. Das Problem sitzt viel tiefer in der Multimediabibliothek.

olmo · 28. Juli 2015

Luccabrasi schrieb:
Der Grund warum ich im Herbst auf WP wechseln werde, ich habe keine Lust nach zwei Jahren ein Smarty wegzuwerfen nur weil es keine Sicherheitsupdates mehr vom Hersteller bekommt.

kann dir aber mit einem jolla, ubuntu, blackberry, iOS, firefox, tizen genauso passieren?
Nicht mal das "Fairphone" hat ein brauchbares OS, weil es genauso mit 5.x.x funktioniert

habe mir gerade ein Jolla bestellt. Kommt die nächsten Tage. Mal anschauen und testen.

Telefonie, Kontakte, mailClient, Taschenrechner, Musik, Video, Fotografie, Wecker, tethering, pdf-Reader muss es können -
mehr aber auch nicht.
Good bye android...( schade, dass es im blackberry-Lager nix mehr Gescheites gibt. Wirklich schade )
dropbox, youtube, fazebook, twitter, whatsApp...hat man alles gelöscht

Fischk0pp · 28. Juli 2015

Bärenmarke schrieb:
Wieso soll Windowsphone tot sein? Gibt genug User, halt nicht so viele Mainstream Lemminge ;-)

Dass es bei Android mehr Sicherheitslücken als bei den anderen Systemen gibt ist doch kein offenes Geheimnis, auch wenn die Fans das nicht so gerne hören.
Das Problem ist teilweise hausgemacht, eventuell fixed google Fehler xy, jedoch müssten dann die Hersteller den fix auch einspielen und da ist doch das große Problem von Android!
Bei BlackBerry, Apple und Microsoft kommen halt die Updates von ihnen, manchmal etwas später, aber sie kommen.
Von daher ist der Flickenteppich sicherheitstechnisch schon ein Problem und adroid als OS eig eher was für Nerds, wie hier im Forum :-P

Ja, ja, troll nur weiter. Aber auch mit deinen pseudo-subtilen Beleidigungen wird deine Unlogik nicht besser.
Dass du dich abseits des Mainstreams fühlst, nur weil du Windows Phone benutzt, aber die vermeintlichen Android-Lemminge als Nerds bezeichnest, schießt natürlich den Unlogik-Vogel ab.
Unter Windows Phone gibt es genug Sicherheitsprobleme. Deckt nur kaum einer auf, weil kaum einer die Plattform benutzt.
Und nein, ich mag Android auch nicht, aber du machst dich lächerlich.

HaZweiOh · 28. Juli 2015

Eine "kleine Minderheit" umzudrehen, und die große Mehrheit als "Mainstream Lemminge" zu betiteln ist schon bemerkenswert.

Es gab woanders schon bezahlte Agentur-Werber, die Windows Phone 7 als "Edel-OS" betitelt haben. Darauf muss man erstmal kommen, zu edel für Apps

Pr0gramm · 28. Juli 2015

Das Problem ist ja weniger die Lücke, solche Lücken wird man immer wieder finden. Das Problem ist, dass solche Lücken im Android Lager nicht oder nur sehr sehr langsam gefixt werden.

domainhost · 28. Juli 2015

ich gehe jede wette ein.... unter cyanogen mod hat man diese sicherheitslücke nicht..... das war schonmal so

Jesterfox · 28. Juli 2015

@domainhost: wenn du nicht die ganz aktuelle Version von CM hast, hast du die Lücke genauso. Die Patches dafür wurden erst vor kurzem eingepflegt.

bohannon · 28. Juli 2015

wie lange wird es circa dauern bis für "cm 11 stable" ein update verfügbar ist?
Wo finde ich die option in CM 11 "Textnachrichten von unbekannten Absendern unterbinden"?

tek9 · 28. Juli 2015

Apooo schrieb:
Hier wird aber viel Halbwissen verbreitet. Auch bei WP muss der Hersteller das Update rausbringen. Da geht gar nichts schnell.

Wenn ihr natürlich ein Lumia kauft, dann ist das natürlich anders, weil Microsoft die selber herstellt/vermarktet. Dann ist es aber nichts anderes als das Nexus bei Android... Da gehen die Updates ja auch schnell.

Also insgesamt kein großer Unterschied zu Android. Wenn man noch bedenkt, wie lange damals WP7 gehalten hat, dann werden die meisten Androids viel länger mit Updates versorgt.

Microsoft haben angekündigt das mit Windows 10 Mobile die Updates direkt von Microsoft ausgerollt werden.

Schnitz schrieb:
Android an sich hat ja keine Schuld - eher Google, da sie die Verantwortung auf die verantwortungslosen Hersteller abschieben.

NoD.sunrise schrieb:
Android (AOSP) ist OpenSource, Google kann gar niemanden zwingen nichts zu ändern und die Hersteller auf der anderen Seite wollen austauschbare Software auf keinen Fall, Kundenbindung, Abhebung von der Konkurrenz und so.

Aber selbst wenn jedes Gerät Stock Android nutzen würde könnte man Updates nicht einfach ausrollen weil die Treiber und Anpassungen an die Hardware viel tiefer im System integriert sind als zb bei Windows. Man muss ja nur mal das ROM vom Nexus 5 mit dem vom Nexus 6 vergleichen oder so...

Um sowas zu ermöglichen müsste man die Android Architektur grundlegend ändern und das hat dann eben nicht nur Vorteile wenn die Hardwareschicht weiter abstrahiert wird.

Wenn es da so ne einfache goldene Lösung gäbe hätte die Google längst rausgehauen, denen wäre es auch lieber wenn dieser "Negativpunkt" mal wegfallen würde.

Die Lösung des Problems ist eine noch stärkere Verzahnung der Playservices mit dem OS. Mit Android 5.x haben Google den ersten Schritt gemacht, siehe Updates für das Webview Framework.

Das AOSP open source ist mag ja sein aber Google können die Hersteller dazu zwingen das sie weniger tiefgehende Modifikationen implementieren indem Google eine homogene Plattform als Vorraussetzung für den Playstore durchsetzen.

Dann wären die Hersteller gezwungen, weniger Modifikationen in ihre Handys einzubauen. Kein Hersteller außerhalb von China würde es sich erlauben ein Android Handy ohne Playstore auf den Markt zu bringen. Das dieses Druckmittel funktioniert, kann man daran erkennen das jeder Hersteller mittlerweile die 20! Obligatorischen Google Apps vorinstalliert. Ansonsten gibt es keinen Playstore und das Handy wäre für 95 Prozent aller Kunden nutzlos.

Mac_Leod · 28. Juli 2015

Hi,

jetzt mal mit der "Brille" IT Sicherheit in Firmen wo S4 und S5 Minis mit nicht ganz aktuellem Andriod eingesetzt werden.
Gibt es eine andere Variante als zum Provider zu gehen und den MMS Dienst sperren zu lassen?
Hat sich da schon wer Gedanken dazu gemacht?

Grüße
Mac

Ragna-Dracaena · 28. Juli 2015

Natürlich sind updated wichtig. Wo sind denn die ganzen Leute, die sonst immer sagen, dass man das Smartphone eben so gekauft habe und das erhalten hat, wofür man gezahlt hat?

Ich halte Updated, besonders jene welche Sicherheitslücken schliessen für unabdingbar. Ein weiteres Armutszeugnis dafür, Leute dazu zu bringen, spätetens alle zwei Jahre ein neues Phone zu kaufen.

icetom · 28. Juli 2015

"Das Unternehmen hat die Sicherheitslücken bestätigt und arbeitet aktuell daran, den Smartphone-Herstellern entsprechende Updates zur Verfügung zu stellen."

das ist das Android Problem - Sicherheitspatches können nicht selbstständig von Google ausgerollt werden. Bei Windows Phone und IOS kann man das schon.

Sukrim · 29. Juli 2015

Also mein Nexus bekommt die Updates immer relativ flott - direkt von Google...

Wenn Samsung iOS Smartphones herstellen dürfte, gäbe es dort genauso Probleme. Apple ist da einfach nur verschlossener Drittanbietern gegenüber.

begin_prog · 29. Juli 2015

Sukrim schrieb:
Also mein Nexus bekommt die Updates immer relativ flott - direkt von Google...
Wenn Samsung iOS Smartphones herstellen dürfte, gäbe es dort genauso Probleme. Apple ist da einfach nur verschlossener Drittanbietern gegenüber.

Volle Zustimmung: Nexus ist da genauso gut wie Apple (+kann mehr).
Und bei Windows Phone von Huawei und Samsung gabs auch Probleme mit den Updates, als diese Hersteller noch Interesse an dem System hatten.

Bei Android kann man auch die Komponenten einzeln aktualisieren, woanders nicht.

McGybrush · 29. Juli 2015

zeromaster schrieb:
Der Unterschied ist, Microsoft und ich meine auch Apple haben die Möglichkeit entsprechende Patches auszurollen...

iPhone 4s kam 2011 mit iOS 5 raus
das iPad Anfang 2011 mit iOS 4

Demnächst kommt mit iOS 9 die 4te Hauptversion auf das iPhone 4s und die 5te auf das iPad 2... Damit hat Apple den ohnehin schon langen Update Support von 3½ Jahren auf jetzt über mind. 4 Jahren verlängert. Wenn auch nicht mit allen Features werden aber so alle bekannten Sicherheitslücken bei einem 4 Jahre alten Smartphone geschlossen.

Schnitz · 29. Juli 2015

bohannon schrieb:
wie lange wird es circa dauern bis für "cm 11 stable" ein update verfügbar ist?

Stables wird es nicht mehr geben - nur noch Snapshots, der nächste wird aber wohl so bald nicht kommen. Die Nightlies für CM11 bekommen dieses Wochenende die Patches. Wobei die Nightlies ja praktisch stable sind

Jesterfox schrieb:
@domainhost: wenn du nicht die ganz aktuelle Version von CM hast, hast du die Lücke genauso. Die Patches dafür wurden erst vor kurzem eingepflegt.

Naja, bei CM12 und 12.1 sind sie schon mehrere Wochen drin:

https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8 schrieb:
The following CVE's have been patched in CM12.0 and 12.1 nightlies for a couple weeks.

(...)

CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829

News Sicherheitslücke: Schwachstelle in 95 von 100 Smartphones mit Android

Banned

Fleet Admiral

Banned

Banned

Legende

Banned

Ensign

Banned

Pr0gramm

Gast

Lt. Junior Grade

Legende

Cadet 4th Year

tek9

Gast

Captain

Lt. Junior Grade

Commander

Lieutenant

Banned

Lieutenant

Admiral

Ähnliche Themen

Passend zum Thema