News Zahlreiche Android-Apps ermöglichen unbefugten Datenzugriff
- Ersteller przszy
- Erstellt am
- Zur News: Zahlreiche Android-Apps ermöglichen unbefugten Datenzugriff
Auf meinem Smartphone habe ich ganz sicher nicht meine Kreditkarteninformationen. Aber mit dem Notebook kaufe ich öfters ein.
Da stellt sich mir die Frage: Eine fehlerhafte Implementierung von Protokollen, könnte es das auch bei Apps auf anderen Systemen geben und bei "normalen" Windowsprogrammen, die auf meinem Notebook laufen?
edit
Da stellt sich mir die Frage: Eine fehlerhafte Implementierung von Protokollen, könnte es das auch bei Apps auf anderen Systemen geben und bei "normalen" Windowsprogrammen, die auf meinem Notebook laufen?
All praise to MS and Apple! Halleluja!Lostinpast schrieb:
edit
Warum sollten sich Wissenschaftler die Mühe machen, das für ein System zu prüfen, das kaum einer benutzt und das ausgelaufen ist (WP7.x) oder das sie noch gar nicht prüfen können, weil es noch nicht mal verkauft wird (WP8)? Android ist der absolute Marktführer, daher interessiert dieses System die meisten Menschen. Und da es auch so einfach zu rooten ist und alle gängigen Standards unterstützt, ist entsprechende Forschung auch recht einfach.voodoo_child schrieb:
Zuletzt bearbeitet:
Vivster
Commodore
- Registriert
- Juli 2011
- Beiträge
- 4.233
Gott was für eine behinderte Studie.
Als ob die Herren zum ersten Mal ein Smartphone in der Hand gehabt haben.
1. Downloadzahlen geben wohl kaum an wie viele Nutzer eine App nutzen
2. MITM Angriffe müssen wenn dann gezielt ausgeführt werden was die Anzahl der Angreifer und opfer schonmal extrem reduziert
3. Das sagt rein garnichts über Android als System aus.
4. Wer "kritische" Daten hat (wahrscheinlich so ziemlich niemand) wird wohl kaum unsichere APPs nutzen um sie zu übertragen
Als ob die Herren zum ersten Mal ein Smartphone in der Hand gehabt haben.
1. Downloadzahlen geben wohl kaum an wie viele Nutzer eine App nutzen
2. MITM Angriffe müssen wenn dann gezielt ausgeführt werden was die Anzahl der Angreifer und opfer schonmal extrem reduziert
3. Das sagt rein garnichts über Android als System aus.
4. Wer "kritische" Daten hat (wahrscheinlich so ziemlich niemand) wird wohl kaum unsichere APPs nutzen um sie zu übertragen
SR89
Lt. Junior Grade
- Registriert
- Apr. 2004
- Beiträge
- 422
Lostinpast schrieb:
Not sure if... troll or just stupid
Ich wage jetzt einfach mal die These, dass die App-Entwickler selbst für die Implementierung einer funktionierenden Verschlüsselung verantwortlich sind. Man könnte die akzeptierten Zertifikate, die ja scheinbar das Sicherheitsrisiko darstellen, sicher auch entsprechend einschränken. Das Problem müsste also theoretisch auch bei anderen OS mit gleichen Apps auftreten.
Und zusätzlich sind ja nur ca. 1000 von 15000 untersuchten Apps betroffen, nicht einmal 10%. Scheinbar war bei den anderen also alles in Ordnung. Google ist also der falsche Adressat für Vorwürfe. Man könnte höchstens ankreiden, dass es keine "Sicherheitskontrolle" der Apps beim Einstellen in den Market (Play Store) gibt. Das der "offene" Market ist wieder ein anderes Thema mit Für und Wider.
Ich hoffe, hilfreiche Denkansätze gegeben zu haben.
P.S.: Ich will Google nicht in Schutz nehmen, aber bisher wurde meiner Meinung nach viel für die Android-Sicherheit getan und neue Mechanismen kommen ja bekanntlich mit 4.2...
Zuletzt bearbeitet:
Lostinpast
Banned
- Registriert
- März 2012
- Beiträge
- 474
Paypal oder Amazon über das Smartphone? Schon mal davon gehört? Da gibt man die Daten ein.......
Mein lieber "funhuji".
Du bist schon sehr naiv.
Mein lieber "SR89".
Das Betriebssystem soll derartige Missstände bereits abblocken. Tut es aber nicht.... nennt sich Google Android. Natürlich ist MS oder Apple auch angreifbar. Aber dort müssen erst Türen überwunden werden. Bei Google sind die Scheunentore weit geöffnet.
Die einzige App, die da untersucht werden muss ist Android. Ob 5 oder 15000 Apps..... das ist egal!
Da ist das Google-Betriebssystem, das Apps Tür und Tor für Missbrauch öffnet. Das ist der wunde Punkt.
Mein lieber "funhuji".
Du bist schon sehr naiv.
Mein lieber "SR89".
Das Betriebssystem soll derartige Missstände bereits abblocken. Tut es aber nicht.... nennt sich Google Android. Natürlich ist MS oder Apple auch angreifbar. Aber dort müssen erst Türen überwunden werden. Bei Google sind die Scheunentore weit geöffnet.
Die einzige App, die da untersucht werden muss ist Android. Ob 5 oder 15000 Apps..... das ist egal!
Da ist das Google-Betriebssystem, das Apps Tür und Tor für Missbrauch öffnet. Das ist der wunde Punkt.
Zuletzt bearbeitet:
Und wo soll das jetzt ein Android Problem sein?
Das Problem sind die App Entwickler bzw deren Apps. Das Problem ist die SSL Verschlüsselung, welche fehlerhaft implementiert wurde. Ergo betrifft das alle Plattformen, die diese Apps anbieten.
Sei es nun Android, Windows Phone, iOS, webOS, Symbian oder weiß der Teufel was.
Aber schön das hier wieder einige stumpf ohne nachzudenken herumbashen, nur weil sie glauben ihr bevorzugtes OS wäre automatisch die Referenz und die Welt müsste sich im sie drehen.
Das Problem sind die App Entwickler bzw deren Apps. Das Problem ist die SSL Verschlüsselung, welche fehlerhaft implementiert wurde. Ergo betrifft das alle Plattformen, die diese Apps anbieten.
Sei es nun Android, Windows Phone, iOS, webOS, Symbian oder weiß der Teufel was.
Aber schön das hier wieder einige stumpf ohne nachzudenken herumbashen, nur weil sie glauben ihr bevorzugtes OS wäre automatisch die Referenz und die Welt müsste sich im sie drehen.
mensch183
Captain
- Registriert
- Jan. 2008
- Beiträge
- 3.666
voodoo_child schrieb:
Primär mit den App-Shops meine ich.
Wenn man sich irgendwo aus den Tiefen des Webs ein Programm runterlädt, ist den meisten Internetnutzern mittlerweile kar, dass es sich um Malware oder total verbuggten Mist handeln kann, den man nicht einsetzen sollte.
Die App-Shops tun Endnutzern gegenüber jedoch oft so, als seien die dort angebotenen Programme geprüft und ungefährlich. Deshalb wird wild runtergeladen und installiert, ohne an mögliche negative Folgen zu denken. Das Vertrauen der Endnutzer gegenüber Software aus App-Shops ist unbegründeterweise leider viel höher als gegenüber durch andere Kanäle verbreitete Software.
DJMadMax
Fleet Admiral
- Registriert
- Mai 2007
- Beiträge
- 14.083
Und WO muss ich deiner Meinung nach nun das Geld hinbringen, um diese Probleme NICHT zu haben? Denk mal scharf drüber nach...B3ttWuR5tNapAlm schrieb:
Mal als Beispiel:
Linux ist auch umsonst... böses Linux! Dass es einfach ermöglicht, MÜLLIGE Software darauf auszuführen... natürlich muss man dafür Linux an den Pranger stellen!
Gib dem Menschen Macht und er missbraucht sie zweifellos!
voodoo_child schrieb:
*sign*
Cya, Mäxl
thes33k
Lt. Commander
- Registriert
- Apr. 2008
- Beiträge
- 1.258
Naja, die einfache Antwort ist nur einen Schuldigen für einen Fehler zu suchen. Aber Fehler sind meistens Prozessketten, in denen mehrere Dinge schief gehen.
Das Problem ist: Die Implementation von SSL schützt nicht ausreichend vor Man-In-The-Middle-Attacken, da sie nicht prüft, ob neben der Verschlüsselung auch der Endpunkt der Verbindung stimmt.
Das ist vorrangig ein Problem verursacht von demjenigen, der so etwas programmiert. Aber ganz aus der Schussbahn nimmt Google das nicht. Android selbst ist hier wahrscheinlich nicht schuld (da es ja offensichtlich durch das SDK generell möglich ist). Google als Repository-Hoster steht aber sehr wohl in der Verantwortung seine Distribution zu prüfen. Deren Bouncer-System ist ja schon mehrfach bei technischen Prüfungen durchgefallen (App-Update lässt Code-Einschleusung am Bouncer vorbei zu, etc.).
Bei den Linux-Distris werden auch Maintainer zur Rechenschaft gezogen, wenn sie nicht vernünftig maintainen. Wo wir schon bei Vergleichen sind: Nein, zumindest bei MS dürfte so etwas deutlich seltener passieren. Ich hatte bereits das Vergnügen in Kooperation mit MS Software so umgestalten zu müssen, damit es deren Sicherheits-Validatoren übersteht. Da ist auch nichts mit "für Tests umbasteln", da die Prüfungen nicht vorhersehbar sind.
Das Problem ist: Die Implementation von SSL schützt nicht ausreichend vor Man-In-The-Middle-Attacken, da sie nicht prüft, ob neben der Verschlüsselung auch der Endpunkt der Verbindung stimmt.
Das ist vorrangig ein Problem verursacht von demjenigen, der so etwas programmiert. Aber ganz aus der Schussbahn nimmt Google das nicht. Android selbst ist hier wahrscheinlich nicht schuld (da es ja offensichtlich durch das SDK generell möglich ist). Google als Repository-Hoster steht aber sehr wohl in der Verantwortung seine Distribution zu prüfen. Deren Bouncer-System ist ja schon mehrfach bei technischen Prüfungen durchgefallen (App-Update lässt Code-Einschleusung am Bouncer vorbei zu, etc.).
Bei den Linux-Distris werden auch Maintainer zur Rechenschaft gezogen, wenn sie nicht vernünftig maintainen. Wo wir schon bei Vergleichen sind: Nein, zumindest bei MS dürfte so etwas deutlich seltener passieren. Ich hatte bereits das Vergnügen in Kooperation mit MS Software so umgestalten zu müssen, damit es deren Sicherheits-Validatoren übersteht. Da ist auch nichts mit "für Tests umbasteln", da die Prüfungen nicht vorhersehbar sind.
Zum einen ist Android gemessen am Marktanteil nicht eines der beliebtesten Smartphone-OS, sondern es ist das beliebteste.
Zum anderen nutzen auch iOS und Windows ganz sicher SSL zur Übertragungsverschlüsselung. Weiterhin ist nicht anzunehmen, dass die Entwickler für diese Systeme durchschnittlich besser sind, als die für Android. Deshalb ist die logische Schlussfolgerung, dass der Zustand bei iOS und Windows vergleichbar ist.
Aber egal. Einen reißerischen Artikel war's wert.... rofl.
Zum anderen nutzen auch iOS und Windows ganz sicher SSL zur Übertragungsverschlüsselung. Weiterhin ist nicht anzunehmen, dass die Entwickler für diese Systeme durchschnittlich besser sind, als die für Android. Deshalb ist die logische Schlussfolgerung, dass der Zustand bei iOS und Windows vergleichbar ist.
Aber egal. Einen reißerischen Artikel war's wert.... rofl.
SR89
Lt. Junior Grade
- Registriert
- Apr. 2004
- Beiträge
- 422
Lostinpast schrieb:
Ich glaube nicht, dass - selbst nach meiner Erklärung - der Kern des Problems auch nur ansatzweise verstanden wurde. Das macht eine weitere Diskussion nicht wirklich sinnvoll.
Aber ich lasse mich gerne eines Besseren belehren und höre mir einen Vorschlag an. Dazu müsste man aber vorher differenzieren, was Android so grundlegend von iOS und W7/8 Phone unterscheidet, dass es nur dort dieses Problem gibt.
PiPaPa schrieb:
FULL ACK
Ist mal wieder typisch dieses erst schreiben und dann denken (wenn es überhaupt zum denken kommt). Vielleicht auch nur der "Angriff der Fanboys" =P
Bei Apple und M$ gibt es bestimmt auch einen Stall voll Applikationen die lückenhaft sind. Da muss man sich keine sorgen machen.
Außerdem ist mir Android immernoch lieber als ein "Apfel-Käfig" oder "klicki bunti" =)
funhuji schrieb:
Klar kann es das geben. Aber es handelt sich hierbei nicht um fehlerhaft implementierte Protokolle. Es geht hier um die Verwendung eines Protokolls in den Anwendungen. Im ersten Fall fehlt z.B. einfach ein Benutzerfeedback in der Anwendung, was im Falle eines abweichenden SSL- Zertifikats gemacht werden soll. Wobei ich nicht davon ausgehe, dass die meisten Benutzer etwas mit diesen Begrifflichkeiten anfangen könnten und dementsprechend zu allem ja sagen würden.
voodoo_child
Lieutenant
- Registriert
- Sep. 2011
- Beiträge
- 659
Tidus2007 schrieb:
Und wo steht, dass dieser SSL Fehler nicht auch in iOS oder Windows Phone 8 eingebaut werden kann/eingebaut wird?
Außerdem habe ich nirgends gegen Apple/MS gebasht, aber der Artikel liest sich nun mal so, dass diese Fehler nur bei Android vorkommen (können) - zumal sich diese Studie eben ausschließlich auf dieses eine OS beschränkt. Deshalb würde ich gerne wissen, wie es denn bei der Konkurrenz aussieht - wird da besser programmiert, ist es dort einfacher SSL richtig zum implementieren?
Komm also runter von deinem hohen Ross und leg mir nicht Worte in den Mund.
SR89 schrieb:
Das Gefühl habe ich auch. Die meisten reden hier irgendwas von falsch implementiertem SSL- Protokoll. Was sie nicht verstehen, ist, dass das Problem nicht in auf der Protokollebene zu suchen ist, sondern auf der Anwendungsebene. Somit ist es auch kein exklusives Androidproblem, da man SSL ebenso unsicher in iOS-, MacOS-, Windows- und Linuxanwendungen benutzen kann.
Zuletzt bearbeitet:
Die Frage die sich mir stellt ist, wenn das Ganze Sache der App Entwickler war: Wie viele der betroffenen Apps sind überhaupt dazu in der Lage, kritische Daten zu übermitteln. Wenn das bei der Paypal App passiert, dann ist es tragisch, aber bei 99,9% der Apps ist es komplett egal.
Abgesehen davon halte ich nicht besonders viel davon, Paypal am Handy zu betreiben, vielleicht noch mit gespeichertem Passwort, dass man noch weniger zu tippen hat. Das ist am PC schon unsicher genug.
Abgesehen davon halte ich nicht besonders viel davon, Paypal am Handy zu betreiben, vielleicht noch mit gespeichertem Passwort, dass man noch weniger zu tippen hat. Das ist am PC schon unsicher genug.
B
bigg
Gast
Es ist schon beeindruckend wieviel Gülle jemand schreiben kann ohne überhaupt den Sachverhalt verstanden zu haben. Grunzen, grollen, trollen. 
Statt dummes Zeug zu labbern, schaut euch die Thematik praktisch an.
Statt dummes Zeug zu labbern, schaut euch die Thematik praktisch an.
Der Landvogt
Banned
- Registriert
- März 2010
- Beiträge
- 4.401
Das ist doch bei Apple nicht wesentlich anders. Neue iOS-Versionen laufen auf den alten Geräten immer träger damit man zu neuen Geräten greifen muss. So kann man das auch provozieren und ist somit kein reines Android-Problem.C00k1e schrieb:
Bei WP7 ist es aufgrund der miserablen Hardware auch so, dass man ein modernes Gerät mit WP8 haben will.
Klassikfan
Banned
- Registriert
- Aug. 2009
- Beiträge
- 5.677
HammerFall4ever schrieb:
Und erst bei einem Ziegelstein! Da kann man weder etwas installieren, noch ins Internet gehen... Keine Gefahr!
Ähnliche Themen
