News QualPwn: Lücke in Snapdragon-SoCs erlaubt Angriff auf Android

Kleiner69

Lt. Commander
Dabei seit
Mai 2008
Beiträge
1.080
Stimmt, denn 90% der Android-Nutzer haben auch keinen SD835/845. :D
 

nille02

Lt. Commander
Dabei seit
Okt. 2009
Beiträge
1.585
@konkretor dem würde ich mal widersprechen, der 835 und 845 waren viel in Topmodellen verbaut für die es auch noch Updates gibt. Ob sie dann installiert werden ist aber eine andere Frage.
Das Z2 Force von Motorola/Lenovo hängt noch beim 1. Februar Update. Das Android 9 Upgrade ist versprochen, aber bisher noch nichts in Sicht. Ich glaube auch nicht mehr daran das es kommen wird.
 
Dabei seit
Jan. 2011
Beiträge
193
Habe vorher davon erfahren und glücklicherweise, als Besitzer eines Pixel 2, war der August Sicherheitspatch schon verfügbar.. auch ein Grund warum es damals dieses Smartphone geworden ist..
 

teufelernie

Lt. Commander
Dabei seit
Sep. 2004
Beiträge
1.437
90% der Android Benutzer werden das Update nie sehen
Jo und das ist daran sehr tragisch. Fragmentation killt dieses Ökosystem irgendwann.

Begreifen 90% der User aber erst, wenn ihre Nacktfotos etc. im Netz auftauchen, dann ist das Geheule groß. Mein Mitleid wird sich aber in Grenzen halten.

Sowas gab es doch aber schonmal mit modifizierten Packetdaten im Wifi? Ich weiß noch das ich irgendwas von meinem Note3 ziemlich krank mit Speicheradressabgabe geflasht hatte, nachdem ich mir ein Stück Firmware aus dem Netz besorgt hatte...
Ergänzung ()

Ziemlich spezielle Lücke. Die Chance, den Hauptgewinn im Lotto zu knacken, dürfte höher liegen als das jemand die Lücke erfolgreich ausnutzt. Mache mir auf meinem SDM845 Smartphone keine Sorgen.
Optimismus ist ein Datensicherheitskonzept, für das du für ein Handy Geld ausgegeben hast? Cool!
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.917
@Frank
https://thehackernews.com/2019/08/android-qualcomm-vulnerability.html
Nicht nur die 800er sind betroffen. Das betrifft nahezu alle neueren Qualcom SoCs / Modems
edit: thehackernews verlinkt auch direkt auf Qualcom wo noch mehr Informationen zu holen sind ;)

@Ati_gangster
Wieso speziell? Bisher sind keine Details bekannt (soweit ich weiß kommt die Veröffentlichung erst in 2 Tagen: https://www.blackhat.com/us-19/briefings/schedule/index.html#exploiting-qualcomm-wlan-and-modem-over-the-air-15481). Die Kurzbeschreibung klingt aber so, dass ohne größere Hürden Angreifer vollen Systemzugriff bekommen können. Das klingt eher so, als wäre das in spätestens einem Jahr in jeder Exploitsammlung enthalten.
 
Zuletzt bearbeitet:

grossernagus

Lt. Commander
Dabei seit
Okt. 2013
Beiträge
1.743

(-_-)

Lt. Commander
Dabei seit
Feb. 2013
Beiträge
1.400

Termy

Lieutenant
Dabei seit
Mai 2007
Beiträge
966
Echt bittere Lücke, absolut unverantwortlich von Tencent, dass sowas veröffentlicht wird bevor die Hersteller breiter die Updates ausgerollt haben :freak: (ich bezweifle jetzt einfach mal, dass die Hersteller benachrichtigt wurden und sich gegen ein Update geweigert haben und die Lücke deswegen veröffentlich wird)
 

nille02

Lt. Commander
Dabei seit
Okt. 2009
Beiträge
1.585
Echt bittere Lücke, absolut unverantwortlich von Tencent, dass sowas veröffentlicht wird bevor die Hersteller breiter die Updates ausgerollt haben :freak: (ich bezweifle jetzt einfach mal, dass die Hersteller benachrichtigt wurden und sich gegen ein Update geweigert haben und die Lücke deswegen veröffentlich wird)
Es ist doch im August Update von Google enthalten. Darauf haben die Hersteller doch auch schon eher Zugriff. Und wenn du auf die Hersteller warten willst, werden wir niemals was von den Lücken hören. Das die Lücken letztlich veröffentlicht werden, baut doch erst den Druck auf.
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.917
@Termy
Die Fehler wurden im März / April bei Qualcomm (dem betroffenem Hersteller) eingereicht. Entsprechende Fixes stehen zur Verfügung, Qualcoms Advisories gingen an alle Kunden und die Öffentlichkeit und die branchenüblichen 90Tage Schutzfrist sind rum.
Das ist sauer umgesetzter Branchanstandard!
Details zum Hack die Angreifern helfen gibt es zur Blackhat am 8. diesen Monats veröffentlicht.[1]

Wer es (wie üblich) verkackt sind die Smartphonehersteller, deren propritäres Gefrickel und Profitorientierung Updates verhindern.


[1] Mag wir fix wer ein BlackHat Ticket überhelfen inkl. Flug, Übernachtung und Taschengeld? Ich werde brav berichten :)
 

Sebastian_12

Lieutenant
Dabei seit
Jan. 2009
Beiträge
836

Ati_gangster

Ensign
Dabei seit
Okt. 2007
Beiträge
223
Optimismus ist ein Datensicherheitskonzept, für das du für ein Handy Geld ausgegeben hast? Cool!
Mein Datensicherheitskonzept:
brain.apk, nicht jede "ich-verrate-dir-wie-alt-du-wirst" App installieren, keine öffentlichen Wlans benutzen usw.


Also ich finde das ist schon eine ziemlich krasse Lücke, die auch nicht nur irgendwie in der Theorie gefährlich ist.
Erstmal muss sich jemand die Mühe machen.
Wie groß ist der Anteil an Smartphones mit betroffenen SOC's. (Neben Apple, Exynos, Kirin, Mediatek)
Wie viele von denen nutzen öffentliche WLAN zur richtigen Zeit am richtigen Ort?
 
Zuletzt bearbeitet:

EasyRick

Lt. Junior Grade
Dabei seit
Jan. 2015
Beiträge
317
Andererseits ist jeder der in öffentlichen Wlans ohne Client Isolation unterwegs ist, selber Schuld.
Ich hätte mit diesen Leuten, im Falle eines Angriffs, genauso wenig Mitleid, wie mit Leuten ohne Backup, die einen Datenverlust beklagen.
 
Top