News Schwere Sicherheitslücke in allen Android-Versionen

[LeX23]

schön das windows phone und das iphone diese probleme nicht haben*

bitte aufwachen!!

und CB, bitte beginnt mal endlich wieder wie früher, möglichst neutral zu berichten. das hier ist nur noch peinlich.

greez

Es geht hier um eine entdeckte Lücke in Android. Wenn du die gleiche Lücke für Windows Phone nachweisen kannst, bekommst du bestimmt auch eine News.

Tut mir leid für dich das du solche News nicht gerne liest, aber Android ist eben nicht so perfekt und hat desöfteren diverse Sicherheitsprobleme.

 

[Popey900]

Nur das Galaxy S4 ist von dem Fehler befreit.

TOP Samsung.

 

[S.a.M.]

@Popey900:
würde Samsung für die meissten ihrer Android Handys einen Patch in kurzer Zeit anbieten das wäre dann wirklich Top

 

[Grantig]

Ich mag diese Sicherheitslücke. Die Idioten, die es nötig haben, Apps zu cracken (da die einzigen Apps, die sinnvoll sind und nicht im Play Store verfügbar sind, von xda-developers sind und denen man normalerweise glauben kann)

Auf xda treiben sich durchaus auch Vollidioten rum, die nix gutes im Schilde führen. Sie werden nur meist von den anderen Devs schnell entlarvt. Zu sicher sein sollte man sich da aber nicht unbedingt.

Außerdem gibts noch andere Gründe externe Stores zu nutzen, z.B:
- AndroidPIT (und vergleichbare alternative Appstores) --> man kann per Paypal zahlen
- Amazon Appstore --> für Leute mit Kindle (by default) die einzige Möglichkeit Apps zu laden

TOP Samsung.

Top wäre, wenn sie auch noch für ihre anderen zig tausend Modelle den Fix bereitstellen würden.
So ist es aber nur Kundenverarsche. Ist halt scho a bisserl lächerlich, wenn man das derzeitige Topmodell kaufen muss um Sicherheitspatches zu bekommen.

 

[GrinderFX]

Traurig ist, dass einige immer noch nicht verstanden haben, dass auch Apps im google Playstore betroffen sein können.

Super traurig ist, dass auch Computerbase es nicht verstanden hat und sogar noch den falschen Müll schreibt.
Fixt die falsche Aussage endlich!!

 

[txcLOL]

So ist es aber nur Kundenverarsche. Ist halt scho a bisserl lächerlich, wenn man das derzeitige Topmodell kaufen muss um Sicherheitspatches zu bekommen.

Ich nehme an, du bist auch ein Freund von Verschwörungstheorien, oder? Egal was, immer erstmal schön drauf auf die Unternehmen und sich irgendwas dazu spinnen. Das scheint aber die neue Mode zu sein, sich über alles aufzuregen.

Mich freuts aber generell, da werden dumme Menschen wieder was dazu lernen.

 

[GrinderFX]

Das scheint aber die neue Mode zu sein, sich über alles aufzuregen.

Während es für dich normal zu sein scheint jeden Müll zu fressen und mit sich alles machen zu lassen.

 

[tarrabas]

Es geht hier um eine entdeckte Lücke in Android. Wenn du die gleiche Lücke für Windows Phone nachweisen kannst, bekommst du bestimmt auch eine News.

Tut mir leid für dich das du solche News nicht gerne liest, aber Android ist eben nicht so perfekt und hat desöfteren diverse Sicherheitsprobleme.

knapp vorbei ist auch daneben. es gibt niemals genau dieselbe lücke in zwei verschiedenen systemen. also ist es extrem unwahrscheinlich, das android und windows phone dieselben löcher haben. aber meine aussage griff etwas weiter.

tatsache 1 : es gibt kein total sicheres system.
tatsache 2 : windows war noch nie sicherer als irgend ein anderes os. ob nun aufm telefon, oder sonstwo. begann mit win 1.1 und ist heute mit win8.1 genauso. problem ist immer der user*sfg

mir ist klar, das wir hier von win-phone sprechen. dennoch bleibt eine firma ihrer(in dem falle desolaten) geschäfts-strategie treu. desolat für den kunden, versteht sich. ms verdient damit ja ordentlich. n update auf win8 für 30 euro war schon ne wucht. bedenkt man, das es eigentlich nur n servicepack von win7 war. siehe ms-zahl in der cmd(win8=6.2 buildnr.). leider ist das fact, nicht das, womit der mist beworben wird. fairer weise muss man sagen, das war schon von vista zu win7 nur n marginales update.

es ist also ziemlich krass, hier android anzuprangern für etwas, das ms niemals besser lösen würde. ich erinnere zu gerne an das uefi-bios-lücke. zeigt sehr gut, wie sicher windows zertifiziert. natürlich ist das ganze unschön. war aber klar das ab einer gewissen verbreitung das interesse etwas krummes zu machen damit steigt. wie bei jedem anderen os. das sollten manche endlich mal begreifen. es ist unsinnig etwas für 1% der nutzer zu programmieren. die ausbeute ist einfach zu klein. das risiko erwischt zu werden zu gross.

greez

 

[Grantig]

Ich nehme an, du bist auch ein Freund von Verschwörungstheorien, oder? Egal was, immer erstmal schön drauf auf die Unternehmen und sich irgendwas dazu spinnen. Das scheint aber die neue Mode zu sein, sich über alles aufzuregen.

Was hat meine Aussage mit Verschwörungstheorien zu tun?
Es stimmt doch dass Samsung (wie auch alle Anderen Android Hersteller außer Google selbst) sich einen Scheißdreck um Updates/Patches kümmern.
Nur die Top Modelle werden noch halbwegs gepflegt, um das Image etwas aufzupolieren, aber auch nur so lange bis der Nachfolger in den Regalen steht.

Du kannst dich ja gerne verarschen lassen.

Mich freuts aber generell, da werden dumme Menschen wieder was dazu lernen.

Na viel scheinst du ja nicht gelernt zu haben.

es ist also ziemlich krass, hier android anzuprangern für etwas, das ms niemals besser lösen würde.

MS hats schon besser gelöst.
Bei denen funktioniert nämlich die Verteilung von Updates/Sicherheitspatches unabhängig vom Hardwarehersteller.
Und selbst wenn MS es auch nicht besser machen würde wäre das vollkommen irrelevant, denn der Bug in Android wird dadurch nicht weniger gefährlich.

Es ist klar, dass wohl keine Software komplett frei von Bugs/Lücken ist. Genau deswegen ist es ja so wichtig, dass gefundene Sicherheitslücken zeitnah gefixt und die Patches verteilt werden können.

 

[tarrabas]

@Grantig

Es ist klar, dass wohl keine Software komplett frei von Bugs/Lücken ist. Genau deswegen ist es ja so wichtig, dass gefundene Sicherheitslücken zeitnah gefixt und die Patches verteilt werden können.

sehe ich genauso. darum ist eine fixung notwendig und die frage stellt sich, warum android das nicht tut. diese frage bleibt offen, wobei sie zentral ist. bis das nicht geklärt ist, wird es schwer bis unmöglich, das ganz nachzuvollziehen.

übrigens, bin ich der einzige der sich nicht sicher ist, ob windows so eine lücke zugeben würde. resp. ob diese herausfindbar wäre für den normalo. die geschichte zeigt, das ms ziemlich gerne vertuscht. was bei einem offenen os schwer bis unmöglich wird.

greez

 

[Torty]

Das schräge an der Sache ist, dass Android auf Linux basiert und Linux als ziemlich Virensicher gilt
Ich habe auch davon gehört, dass sich selbst im Google Play Store virenverschmutzte Software befindet.
Selbst schon runtergeladen und soetwas vermutet. Genau beweisen kann ich es aber nicht.

 

[tarrabas]

@Torty

Das schräge an der Sache ist, dass Android auf Linux basiert und Linux als ziemlich Virensicher gilt

kleiner tipp. jedes system ist nur so sicher wie der anwender.

jedes system, also auch linux ist genauso wie windows den gesetzen(jeder software) unterworfen. das bedeutet, je mehr verbreitung etwas findet, umso eher wird es ziel eines angriffes. je mehr man etwas angreift, umso mehr findet man die schwächen eines systems. die alle systeme haben.

der grundsätzliche unterschied ist jedoch, bei linux, da es quelloffen ist, kann man fehler in der gemeinschaft ausmerzen. bei windows ist das nicht möglich, da man den quellcode nicht kennt(ausser nat. ms). darum kann auch fast nur ms fehler finden und fixen. bei linux macht das die gesamte community sozusagen. also entwickler und hacker, mit programmierern zusammen. beides hat vor und nachteile. und zu letzt, linux ist nicht windows.

greez

 

[Torty]

Der User "Grantig" hat Recht.
Ich habe in einem anderen Thread das Thema Marktsättigung angeschnitten.
Solange die Smartphones nicht auf diese Weise freigegeben werden, wie es bei einem PC der Fall ist (Auf einem PC kann man verschiedene Betriebssysteme benutzen, solange die Hardware ausreichend ist, meine ich damit) gurkt man mit guten Smartphones noch mit Gingerbread rum. Natürlich alle Fehler und Sicherheitslücken inbegriffen, die in einer neuen Android-Version vielleicht schon behoben wurden.
Die Hersteller sollten endlich umdenken, damit sich jeder ein neuestes, nacktes Android von Google aufspielen kann, natürlich sind individuelle Anpassungen nötig in Sachen Treiber. Demnach, was die Entwickler drauf haben, sollte das aber kein Problem sein. Treiber lassen sich flashen. All das wollen die Android-Smartphonehersteller nicht. Sie könnten befürchten, dass man mit einem 2011 gekauften Gerät JellyBean nutzt und alle möglichen Vorteile nutzt. Läuft dann gut und schneller als je zuvor, dann wartet man mit dem Kauf eines neuen Smartphones nämlich ab.
Das ist es, was ich meine, und darum geht es.

 

[empaty]

Ich denke man geht auch,wenn man vernünftig handelt ein bisschen auf die Preispolitik ein und lässt etwas Zeit verstreichen bis es einige Smartphones doch deutlich billiger zu haben gibt und kauft es sich dann .

Also ich bin jedenfalls so,ich muss nun nicht weil jetzt ein S4 mini erschienen ist für 400Euro ,dieses Android 4.2.2 drauf hat auch gleich haben wollen .
Warum auch die einzigen die ich damit einen Gefallen tun würde wäre Samsung ,oder sonstige Anbieter .

Ich gebe mich auch mit einen etwas Preisklassigen Handy zufrieden,auch wenn es nur einen Dual Core verbaut hat und auch nur 4GB Speicher enthalten hat und das ganze mit Android 4.1.1läuft.

 

[Keniji]

An sich ist es natürlich doof mit der Lücke, aber wer sein Handy/Tablet quasi nur als Telefon/Gaming/Uni Tablet benutzt ohne sensible Daten in irgendeiner Form eingegeben zu haben, der kann wohl auch weiterhin Drittanbieter Aps installieren. Ausser dass das Gerät selber laggy wird, weil irgendne Spyapp sich gleich beim Start ausführt und ständig im Hintergrund läuft=Akku. Dann wird man aber bestimmt die "App" herausfinden und das Ganze neu aufsetzen und besagte "App" nicht mehr installieren.

z.B.:
Nie Online Banking übers Phone/Tablet gemacht und in ne App/Browser die Login Daten eingeben.
Keine Kreditkarte im Play Store angegeben
Keine Sparkasse (x-beliebige andere) Bank app installiert
Kein google+ Account & keine App
Keine Facebook App
Kein WhatsApp
Falls Kalender App nur Termine mit Abkürzungen (Zeit/Ort/..)
Natürlich auch keine Spiel oder Zeichen oder sonstige Apps mit Social Network Accounts (FB..verknüpft)
Keine Browser Bookmark Synchronisation
Kein Root

 

[Lost_Byte]

@***Susa***: Und die Kontaktdaten zu anderen und die Möglichkeit kostenpflichtige SMS zu verschicken sind egal? Also wäre ein reines Gamingtablet, welches keine Logindaten von irgendwas hat und wirklich nur ein paar Spiele installiert die einzige Variante, in der ein Virus abgesehen von geringerer Geschwindigkeit keinen Schaden einrichten kann.

 

[riDDi]

Die Malware App muss keine 20 Berechtigungen haben. Sie kann völlig normal aussehen, keine ungewöhnlichen Rechte anfordern. Irgendein Einheiten Konverter, Wallpaper downloader, free music oder sowas. Ist ja schnell geschrieben, dem User fällt nix auf, und im Hintergrund holt sich die App alle Rechte die sie benötigt indirekt, ohne dass der User oder das System es bemerkt.

Durch diese Lücke ist es möglich, in bereits vorhandene Apps mit vielen Berechtigungen (z.B. Facebook oder Google+ sind ja oft vorinstalliert, oder sogar System Apps können manipuliert werden) Schadcode einzuschleusen.
Der Schadcode kann dann auf alles zugreifen, auf das auch die App mit vielen Rechten zugreifen kann und somit evtl. Daten abgreifen, SMS senden, kostenpflichtige Nummern anrufen, Spam verschicken usw.

Wie genau soll das vonstatten gehen? Du kannst nicht einfach installierte Apps manipulieren. Dazu musst du in den internen Speicher oder sogar die Systempartition schreiben und das geht nur mit Root.
Was man tun kann: Man kann ein existierendes APK manipulieren und die Signatur wird trotzdem erkannt. Dieses APK kann dann, weil die Signatur identisch ist, über Sideloading ein bereits installiertes APK ersetzen. Solange die Berechtigungen die selben sind wird nicht weiter gefragt.
Das ist ein sehr theoretisches Konstrukt, über das hier Systemrechte erlangt werden sollen. Du kannst kein so manipuliertes APK in den PlayStore laden. Deine Entwickler-Signatur würde nicht mit dem Paket übereinstimmen. Wenn Schadcode es am Bouncer vorbei schafft hat das nichts mit dieser Lücke zu tun.
Sehr, sehr viel wahrscheinlicher ist es, dass so auf Warez-Seiten gehackte Apps angeboten werden, die angeblich "garantiert 100% sicher" sind, weil die Signatur "stimmt". Oder wirklich schlimm: Auf XDA-Developers und co. werden gehackte Apps in ROMs eingebacken.

 

[0711]

tatsache 1 : es gibt kein total sicheres system.
tatsache 2 : windows war noch nie sicherer als irgend ein anderes os. ob nun aufm telefon, oder sonstwo. begann mit win 1.1 und ist heute mit win8.1 genauso. problem ist immer der user*sfg.

Tatsache 1 ja
Tatsache 2, naja...Windows gilt durchaus als recht robust (nein nicht Version 1.x)...und gerade auf dem Telefon ist wp mit Sicherheit eines der robustesten Systeme am markt auch aufgrund diverser Mechanismen wie der Isolation von Prozessen, Isolation des speichers etc pp.

dennoch bleibt eine firma ihrer(in dem falle desolaten) geschäfts-strategie treu. desolat für den kunden, versteht sich. ms verdient damit ja ordentlich. n update auf win8 für 30 euro war schon ne wucht. bedenkt man, das es eigentlich nur n servicepack von win7 war. siehe ms-zahl in der cmd(win8=6.2 buildnr.). leider ist das fact, nicht das, womit der mist beworben wird. fairer weise muss man sagen, das war schon von vista zu win7 nur n marginales update.

erst mal wieso verdient MS mit dieser "desolaten" geschäftsstrategie damit? Mit einem neuen win release werden die alten versionen trotzdem weiter unterstützt....
und zweitens...wieso ist es denn wiede rein servicepack? Es gibt in win8 deutliche Neuerungen und die build nummer oder kernelversion sagt wohl wenig über ein komplettes os aus. Auch hat ein sp nicht das 2 octet bei Windows angehoben wenn du schon die buildnummer oder kernelversion als "Referenz" nehmen willst

es ist also ziemlich krass, hier android anzuprangern für etwas, das ms niemals besser lösen würde.

das Problem ist nicht dass es solche Probleme gibt sondern dass die eben nicht breitflächig gefixt werden...

 

[Grantig]

Wie genau soll das vonstatten gehen? Du kannst nicht einfach installierte Apps manipulieren. Dazu musst du in den internen Speicher oder sogar die Systempartition schreiben und das geht nur mit Root.

Man hat aber Leserechte auf der Systempartition --> Apk in einen Speicherbereich kopieren für den man Schreibrechte besitzt, Schadcode einschleusen und die Installation der manipulierten App anstoßen. Da die Signatur erhalten bleibt wird das Original überschrieben da das System denkt es wäre einfach nur ein Update.

 

[riDDi]

Dazu muss aber immer noch Sideloading aktiviert sein und man muss die Installation manuell bestätigen.