News Schwere Sicherheitslücke in allen Android-Versionen

[zorrkvonhui]

war das nicht von beginn an das prob aller smartphons, dass sie eben nie auf dem aktuellsten stand sind und immer solche lücken bieten,
vorallem wie hier ja auch schon so oft erwähnt wurde: wer sein system rootet hat das doch selbst proviziert ^.^

 

[Haldi]

Wer keinen Patch von seinem Hersteller erwartet, der sollte die Installation einer alternativen Android-Firmware wie CyanogenMod in Betracht ziehen

Soweit ich weiß noch nicht, allerdings gehe ich stark davon aus, dass das in den nächsten Tagen passieren wird.

Also es ist noch nicht gefixt, und Samsung mit dem einzig verfügbaren fix veröffentlicht ihn nicht, aber wir sollen CM installieren?



also so wie ich das verstanden habe können Apps sich die rechte von anderen Apps stehlen? also wenn ich keine telefon app (skype) installiert habe, kann er trotzdem die rechte der system telefon app klauen?
wie sieht denn das bei Root rechten aus? eig. sollte der SuperUser doch die neue App einzeln verifizieren auch wenn sie die erlaubnis zum systemdateien ändern zbsp vom rootExplorer klaut! oder?

 

[Grantig]

@Haldi
Es können auch System Apps kompromittiert werden.
Die brauchen keine Erlaubnis um irgendwas zu ändern, da sie vom Hersteller signiert sind.

Ich habs zwar schonmal gepostet, aber egal:

The vulnerability can also be exploited to gain full system access if the attacker modifies and distributes an app originally developed by the device manufacturer that's signed with the platform key -- the key that manufacturers use to sign the device firmware.

"You can update system components if the update has the same signature as the platform," Forristal said. The malicious code would then gain access to everything -- all applications, data, accounts, passwords and networks. It would basically control the whole device, he said.

Quelle

 

[wazzup]

Das sind nunmal die Nachteile eines 100% offenen Systems. Man wird sowas immer erleben, denn wenn der user alle freiheiten hat nutzt er sie auch. Nur nicht jeder kann damit umgehen. Wofür eigentlich APKs nehmen wenn nicht für Raubkopien?
Meine Android Firmengurke kann diese Sicherheitslücke haben oder auch nicht, ist mir völlig wurscht. Da ist 4.1.1 drauf und ich habe auch keine Lust mehr mich mit Updates rumzuschlagen. Beim Vorgängermodell von LG gabs mit den Updates auch immer nur Probleme die nie gefixt wurden, echt nervig. Dieses Smartphone bleibt jetzt so wie es ist, Updates werden keine mehr gemacht.

 

[minustaurusrex]

Was für ein bescheuerter Hinweis, das wenn man sich eine App aus dubiosen Quellen installiert schadsoftware aufs Smartphone bekommt!?
Die Beitäge auf CB waren auch schon mal anspruchsvoller !! :-( und alle Geräte stimmt auch nicht!das S4 in die überschrift aufzunehmen war wohl zu anspruchsvoll für den verfasser!?

 

[Jonaldo]

generell, wer "Apps aus alternativen App Stores oder aus unbekannter Herkunft" installiert ist selber schuld oder einfach nur "dumm" und Dummheit muss bestraft werden

Amazon. de hat auch ein Android-Apps Store. Um das nutzen zu können, muss man die Android Default-Einstellung ändern und die Installation von Apps von anderen Quellen als Play Store erlauben.

 

[Steffen]

Also es ist noch nicht gefixt, und Samsung mit dem einzig verfügbaren fix veröffentlicht ihn nicht, aber wir sollen CM installieren?

Zitat aus der News: "Wer keinen Patch von seinem Hersteller erwartet, der sollte die Installation einer alternativen Android-Firmware wie CyanogenMod in Betracht ziehen." CyanogenMod baut solche Patches erfahrungsgemäß schnell ein, die offizielle Firmware vieler Geräte dürfte den Patch aber nie sehen.

Ich habe den Titel der News gerade geändert "Schwere Sicherheitslücke in allen Android-Versionen", weil "alle Geräte" aufgrund des immunen SGS4 in der Tat nicht ganz stimmt.

Edit: Um die Problematik zu verdeutlichen habe ich die News um den folgenden Satz ergänzt: "Auch wenn eine solche App bei der Installation nur unkritische Berechtigungen anfordert, kann sie sich anhand der Sicherheitslücke die einer anderen App erteilten Berechtigungen erschleichen."

Ich nutze übrigens selbst Android, manche unterstellen einem ja pauschal eine Voreingenommenheit.

 

[Haldi]

Würde es dann nicht besser klingen wenn man schreibt: Sollte in der Zukunft die Installation einer Alternativen Android firmware wie CM in Betracht ziehen?

Momentan hat man ja gar keinen Vorteil davon. (im Bezug zu diesem fix, natürlich bietet CM viele andere Vorteile).
Kann man zwar nun als Korrintenkackerei bezeichnen aber irgendwie sticht es mir beim lesen einfach unangenehm ins Auge.



Btw. APKs aus anderen Quellen.... Ich installiere regelmässig apks die ich von xda runterlade.... Meistens Betas. Aber Hei! Dafür bietet Google ja nun seine Beta Kreise an. Einfach mit Google+ dem Kreis breittreten und via Playstore runter laden. Hooray -.-

 

[live@1]

Grundsätzlich - Wer rootet und oder Apps aus dubiosen Quellen installiert läuft immer Gefahr.
Wenn eine App die Signatur einer Systemapp klaut um Zugriff zu bekommen ... Puuh
Die Info war gut - aber der Artikel nicht gut geschrieben.

Was anderes -
Wie währe es wenn ihr bei CB endlich mal über Threema berichtet.
Für WhatsApp jede Pipinews, und gleichzeitig über Sicherheit bei Android.
Hier steht eine Ende zu Ende Verschlüsselung zur Verfügung. Server in der Schweiz.

 

[serval]

So ein Smartphone ist halt ein kleiner Computer - mit allen möglichen Folgen, eben auch den schlechten.

Ich finde die Android-Lösung gut: Für die allermeisten Anwender Fremdinstallationen sperren, Bootloader sperren usw. - für ein Nanny-Erlebnis wie bei WP und iOS. Und versierte Anwender können sich trotzdem alle Freiheiten nehmen. Und wie immer im Leben: Mehr Freiheit = mehr Risiko.

Jedenfalls sind Meldungen wie diese wichtig: Holzauge sei wachsam!

 

[Steffen]

Wie währe es wenn ihr bei CB endlich mal über Threema berichtet.

Vorschläge per E-Mail sind immer willkommen (news@computerbase.de).

Auf den ersten Blick würde ich sagen, dass Ende-zu-Ende-Verschlüsselung zwar gut ist, aber mangels frei verfügbarem Quelltext ist die Existenz einer Hintertür leider nicht auszuschließen. Das möchte ich den Entwicklern nicht unterstellen, aber nehmen wir mal an die App würde große Verbreitung finden: dann würden doch eher früher als später NSA & Co. sanften Druck auf den Hersteller ausüben. Oder die Software wird von einem Unternehmen gekauft, das andere Maßstäbe anlegt. Echte Sicherheit kann nur Open-Source-Software bieten. Aber gerade das könnte auch Thema der Berichterstattung sein.

 

[Krautmaster]

das Problem ist ja weniger die Lücke selbst, als die Art wie sie gefixed wird. Nämlich in großer Zahl wohl gar nicht (da schlicht keine Updates).

Undja, es gibt bei iOS und WP und Android und Blackberry etc etc Viren und Sicherheitslücken - aber ein zentrales Updatesystem bietet hier Abhilfe. Bei iOS mag der Fix men Monat dauern, bei WP gehts über Miniupdate vom Store etwa genauso schnell, bei Android ist das Gebilde komplexer, würde mich wundern wenn mein SGS 2 offiziell jemals nen Fix erhalten wird.

 

[Lost_Byte]

@Krautmaster: Wenn ich es richtig mitbekommen habe will Google mit Android 5 das Updatesystem in so fern verbessern, dass auch updates aufgespielt werden können ohne die komplette Rom neu anzupassen. Das würde die Problematik ja schon um einiges entschärfen.

 

[empaty]

Butter bei den Fischen welche mobilen Endgeräte die jetzt im Umlauf sind erhalten davon bitte das Android 5 Update ?Wohl kaum eines bzw nur ganz wenige ,also liegt es auch mit an die Mobile Geräte Hersteller da was zu tun.

 

[Sgt.4dr14n]

welche mobilen Endgeräte die jetzt im Umlauf sind erhalten davon bitte das Android 5 Update ?

Offiziell wohl wie du schon meintest die wenigsten. (Nexus und die Highend Geräte der jeweiligen Hersteller scheinen realistisch)

Allerdings wird es wohl auch nur einen ganz geringen Teil der nicht Technikaffinen interessieren. Ich hoffe jedenfalls dass mein 2,5 Jahre altes Optimus Speed/2X/P990 per Cyanogenmod eventuell noch etwas länger Support bekommt, wobei das aktuelle 4.2.2 sowieso schon sehr gut läuft.

 

[r00ter]

uiuiui der user muss eine böse app laden und sie ausführen! das ist ja mal eine kritische lücke, ein glück das das bei windows nicht so ist ... ich hau mich weg

 

[GrinderFX]

@r00ter

Zum Glück hast du Troll es immer noch nicht verstanden.
Richtg wäre:

uiuiui der user muss eine böse app aus dem google Play Store kaufen oder laden und sie ausführen! das ist ja mal eine kritische Lücke.
Zum Glück ist das bei Windows Kaufsoftware nicht so, da diese vorher überprüft wird!

 

[Lost_Byte]

@GrunderFX: Und leider kannst du offensichtlich nicht lesen.

Wer Apps ausschließlich aus dem Google Play Store bezieht, ist auf der sicheren Seite

Außerdem sind die meisten Schadapps kostenlos, da sie so eine höhere Verbreitung erzielen können.
Also ist es wirklich so, dass es eher vergleichbar ist mit "Ich lade mir aus irgendeiner dubiosen Quelle ein kostenloses Programm runter, dass normalerweise etwas kostet, installiere dieses und habe anschließend einen Virus auf dem PC"

 

[Yuuri]

Und leider kannst du offensichtlich nicht lesen.

Du aber auch nur das, was du willst:

Wer Apps ausschließlich aus dem Google Play Store bezieht, ist auf der sicheren Seite, da Google dort diejenigen Apps gesperrt hat, welche die Sicherheitslücke ausnutzen.

Ohne dass Google dort nichts deaktiviert, wird es quasi immer ausnutzbar sein.

 

[M24o]

Ich mag diese Sicherheitslücke. Die Idioten, die es nötig haben, Apps zu cracken (da die einzigen Apps, die sinnvoll sind und nicht im Play Store verfügbar sind, von xda-developers sind und denen man normalerweise glauben kann), bekommen somit die verdiente Maulschelle.