News Android: Dezember-Update schließt 40 Sicherheitslücken

[vander]

Der Punkt ist doch, dass Windows In der Praxis deutlich unsicherer ist als Android.

Nochmal die Frage, warum vergleichst du ein Desktop und ein mobile System und was denkst du über einen Vergleich Android / Windows Mobile? Kann es sein das dir die Antwort auf diese Frage nicht gefällt?

Natürlich weiß man das, die Play Services (die u. A. Schadsoftware-Erkennung enthalten) gehören zum System und werden auf allen Geräten von Android 2.3 aufwärts (das sind 99,9 %) aktuell gehalten.
Die "Sicherheits-Forscher", die immer mächtig viel Marketing-Wirbel um jede Lücke machen wollen (egal ob praktisch ausnutzbar oder nicht) wissen es auch.
Der Anwender wird Windows und Android vergleichen, was in Ordnung ist, auch wenn das Ergebnis nicht allen gefällt. Auf beiden Systemen kann man potenziell unsichere Software einspielen. Android hat diverse Sicherheitsmechanismen, die Infektionen effektiv verhindert haben.

"Natürlich" weiß ich nicht was die Play Services für eine Malware Erkennung enthalten, auch Google hat keine Erklärung für deine Behauptung gefunden. Wenn, dann müsste das was neues sein, was nach erscheinen von Android 5 releast wurde und da würde ich ein entsprechendes Werbe Tam-Tam von Google erwarten. Zu finden war aber nix, rein gar nix. Kannst du hier mal mit ner Quelle kommen? Ich warte übrigens immer noch auf die Quelle zu deiner letzten Behauptung (Anzahl Infektionen).
Etwas mehr Infos zu den eingebauten Sicherheitsfunktionen, die Infektionen effektiv verhindern, würden mich auch interessieren.
Was du vermutlich mal irgendwo aufgeschnappt hast ist Bouncer.

Google Play Bouncer
What is Google doing about this issue? In February 2012, Google launched an Android security feature called Bouncer. Bouncer scans Google Play for malware and eliminates malicious apps before they reach our Android devices. Sounds good, right? But just how effective is this security feature?

Es wird der Playstore überwacht, nicht dein Smartphone! Es macht auch mehr Sinn die Verteilungszentrale zu überwachen und ist auch eine sehr gute und dringend nötige Maßnahme von Google, gar keine Frage.
Ein Allheilmittel ist es hingegen nicht, da nur automatisierte Tests möglich sind.
Seit der Einführung von Bouncer haben sich die Malware und Trojaner Programmierer längst darauf eingestellt.
Quelle1, Quelle2, Quelle3, ... weitere kannst du gerne selber suchen.

Da du deine Quellen so ungern teilst, hier noch ein älterer Artikel über Android der ziemlich genau das widergibt wovon ich auch überzeugt bin. Nur das es inzwischen diverse Root Exploits gibt, so das die Malware inzwischen nicht mehr auf 'Mithilfe' des Anwender angewiesen ist.

Quelle

"Ohne Root-Berechtigungen können Exploits Betriebssystem-Anweisungen nicht verändern. Wenn sie dies könnten, hätten sie die Macht, sich rasend zu vergrößern. Dass keine App Root-Rechte bekommt, ist etwas absolut Gutes." Das sei auch der Hauptgrund dafür, warum wir nicht eine Schwemme an Mobile Malware sehen wie bei Windows am PC. Dort reicht die Schwachstelle eines einzelnen Programms wie des Flash-Players aus, um weitere Malware-Komponenten nachzuladen und mit geerbten Admin-Rechten auszuführen.

Der Einwand "aber man könnte beim PC auch ein Java-Plugin im Browser..." ist wenig überzeugend. Es stimmt zwar, dass man das machen könnte, aber 1) braucht das so gut wie niemand und 2) bleibt Windows am Ende weiterhin das unsicherere System.

Falls das die Antwort auf mein Post war, dann habe ich nur Bahnhof verstanden bzw. "Android ist besser MiMiMi, Windows Scheiße MiMiMi".

 

[Gargamehl]

@Vander
Google-Play Services checkt schon seit vielen Jahren die Apps auf den Android Telefonen, nennt sich Google-"verify-apps" oder auch "Apps überprüfen":

https://support.google.com/accounts/answer/2812853?hl=de
Es werden auch Apps aus anderen Quellen als dem Play-Store geprüft, aus obigem Link:
"Apps überprüfen" prüft Apps, wenn diese aus anderen Quellen als Google Play stammen. Darüber hinaus sucht die Funktion in regelmäßigen Abständen nach schädlichen Apps.

Das nächste mal ein paar Minuten in Recherche investieren und weniger in persönlicher Anfeindung.

Noch als Ergänzung:
http://www.zdnet.de/88276616/google...s-fuer-android-kann-vor-quadrooter-schuetzen/
Android-Smartphones und -Tablets mit aktivem Verify Apps müssen theoretisch als anfällig für Quadrooter gelten, weil die Schwachstelle existiert. Sie lässt sich aber nur nutzen, wenn der Anwender den Sicherheitsmechanismus von Hand abschaltet. Ansonsten blockiert Verify Apps eine solche bösartige App, ohne dem Anwender auch nur die Wahl zu lassen, ob er sie trotz Gefahr nutzen möchte.

Android Central schließt daraus, dass von theoretisch 900 Millionen für Quadrooter anfälligen Geräten mit Qualcomm-Chips etwa 90 Prozent eine Malware blockieren würden, die auf die Schwachstelle abzielt. Außerdem könne man auf Android-Geräten mit der OS-Version Gingerbread von 2010 (Android 2.3.X) Verify Apps von Hand aktivieren und sei dann ebenfalls sicher.

 

[cunhell]

https://www.heise.de/security/meldu...-von-HummingBad-Malware-befallen-3254664.html

Zitat daraus:
"Ob ein Gerät infiziert ist, könne man nicht ohne Weiteres erkennen. "

Und soviel zum thema Playstore ist sicher
https://www.inside-handy.de/news/41195-malware-hummingbad-android-playstore

Zitat daraus:
... doch nun warnen Experten vor rund 200 PlayStore-Apps, die die Malware ebenfalls übertragen sollen.

Und das ist wohl das prominenteste Beispiel.

Jeder der ein Gerät benutzt, das mit dem Internet verbunden ist und Sicherheitslücken aufweist ist potentiell Ziel von Schadsoftware.

So zu tun, als ob Android davor gefeit wäre und deshalb Sicherheitsupdates zu bekannten Lücken nicht ZEITNAH auszurollen, zeigt nur dass Gewinn über die Interessen der Nutzer gestellt wird.

Aber Hauptsache die Features und das Design sind toll, nicht wahr

Cunhell

 

[Gargamehl]

Bei Google gibt es zumindest ein mehrstufiges Sicherheitskonzept welches viele Probleme vermeidet. Bei anderen Betriebssystemanbietern wie z.B. Apple ist ein Gerät welches kein IOS Update mehr bekommt schutzlos gegen aufkommende Sicherheitslücken. Bei Google wird zumindest noch das Gerät auf BEKANNTE Apps und lücken gescannt und die meisten Komponenten welche mit dem "Netz" kommunizieren über die Playservices aktualisiert.
Klar, dort ist es aber auch aufgrund des oft fehlenden Hersteller-Patchsupports auch besonders notwendig. Diesen fehlende Herstellersupport muss man kritisieren, und zwar bei den entsprechenden Hardware-Herstellern und nicht "blind" auf Android schimpfen.

Natürlich rutschen immer wieder mal Apps durch, sowohl bei den Stores von Google, Apple und Microsoft.
Wenn es erkannt wird dann wird die App gesperrt und bei den betroffenen Geräten automatisch gelöscht, zumindest bei Google wenn der Playstore verwendet wird.

 

[vander]

@Vander
Google-Play Services checkt schon seit vielen Jahren die Apps auf den Android Telefonen, nennt sich Google-"verify-apps" oder auch "Apps überprüfen":
...
Das nächste mal ein paar Minuten in Recherche investieren und weniger in persönlicher Anfeindung.

Jetzt wo du es schreibst kann ich mich trübe an eine News zu Verify Apps erinnern, bin wohl schon zu lange weg von Android. Übrigens hatte ich nach "Google Play Services Malware Schutz" gesucht, es gab nur kein Ergebniss. Offenbar bin ich nicht der Einzige der auf Anhieb keine Verbindung zwischen den PlayServices und Schutzfunktionen herstellen kann.
Nach der Beschreibung hat Google in die PlayServices sowas wie den Windows Defender eingebaut. Nach dem was ich jetzt gelesen habe ist der Nutzen ähnlich. Besser als nichts, aber weit entfernt von perfekt.
Mal gewinnt der Scanner, mal der Virus.

Sicherheit kann nicht durch die Zusatzsoftware XY hergestellt werden, wenn das darunter liegende System bereits kompromittiert ist. Die PlayServices scannen (laut einem der Artikel) ca. 1 mal die Woche. Mehr als genug Zeit, für einen Schädling mit Root Rechten, das gesamte System umzukrempeln.
Der Knackpunkt bei der Android Sicherheit bleibt IMO, das fehlen eines Update Konzepts für alle Geräte, kombiniert mit den Exploits für ältere Android Versionen, die per Software Root ermöglichen.
Dadurch habe ich als Android Anwender mit einem nicht mehr aktualisierten Smartphone, die A-Karteund muss neu kaufen oder mit dem Risiko leben.
Ja, da sehe ich Google in der Pflicht. Sie schaffen es doch auch den OEMs vorzuschreiben welche Apps vorinstalliert sein müssen, warum also nicht auch einen funktionierenden Update Mechanismus?

Zum Thema Playstores schrieb ich bereits das sich Google und Microsoft da IMO nichts nehmen. Beide lassen jeden Mist in den Store und prüfen bestenfalls halbherzig, wenn es mal schlechte Presse wegen Viren und Trojanern gibt.
Soweit ich gelesen habe soll Apple da einen besseren Job machen.

 

[HaZweiOh]

Nochmal die Frage, warum vergleichst du ein Desktop und ein mobile System

Warum sollte man das aus Anwendersicht nicht vergleichen? Es sind zwei verbreitete Betriebssysteme, die für den normalen Anwender das Gleiche leisten.

einen Vergleich Android / Windows Mobile? Kann es sein das dir die Antwort auf diese Frage nicht gefällt?

Windows Mobile hat 0,1 % Marktanteil und ist damit tot. Ob ein totes System sicher ist oder nicht, ist eine eher "akademische" Frage.

"Natürlich" weiß ich nicht was die Play Services für eine Malware Erkennung enthalten

Nunja, da du Sicherheit von Android in Zweifel ziehst und mir unterstellst, ich hätte nur irgendwas "aufgeschnappt", ging ich davon aus, dass du das weißt.

Es wird der Playstore überwacht, nicht dein Smartphone!

Das Smartphone wird auch gescannt.


... Und dann kommst du auch noch mit HummingBad, darunter gibt's als Topping einen Link auf einen Heise(!)-Artikel, der einfach nur Trash ist! (wobei Kaspersky und Eric Hermann nicht gerade besser sind, aber egal).

Sorry ..... befass dich doch erstmal mit den Grundlagen, danach kann man drüber reden. Vielleicht wirst du jetzt von mir "fordern", dass ich dir jede Zeile dieses Artikels einzeln auseinander pflücke und die Fehler aufzeige.

Aber für jemanden, der mir Unwissenheit vorwirft, und "Windows Scheiße MiMiMi", selbst aber nicht mal weiß, dass Android-Smartphones auf Malware gescannt werden, ist mir das zu blöd, lohnt sich nicht. Schnell mal googlen und losgelöste Zitate rausgreifen reicht nicht.

Sie schaffen es doch auch den OEMs vorzuschreiben welche Apps vorinstalliert sein müssen

Der Punkt wurde schon oft durchgekaut. Google kann den Herstellern nichts vorschreiben, was die ernsthaft stören würde. Dann würden sie einfach "andere Lösungen" finden. Ein paar Apps sind nicht das Problem, viele davon werden ohnehin erwartet. Übrigens hat Google genau das auf den Markt gebracht, was du dir vorstellst: Android One
Die Hersteller wollen es nicht.

 

[Breitseite]

gibt es eigentlich eine feste zeit wann die Sicherheitsupdates erscheinen oder kommen die von google generell unterschiedlich am anfang des monats?

 

[vander]

Warum sollte man das aus Anwendersicht nicht vergleichen? Es sind zwei verbreitete Betriebssysteme, die für den normalen Anwender das Gleiche leisten.

Wenn Android auch nur annähernd das gleiche leisten könnte wie ein Windows Desktop, dann frage ich mich warum nicht jeder seinen PC/Notebook mit Android betreibt? Du scheinst da ein recht 'spezielles' Nutzungsprofil zu haben.

Windows Mobile hat 0,1 % Marktanteil und ist damit tot. Ob ein totes System sicher ist oder nicht, ist eine eher "akademische" Frage.

Ich hatte über mehrere Jahre hinweg drei verschiedene Androiden und bekam für alle zusammen nicht halb so viele Updates, wie für mein aktuelles W10m. Was man als tot bezeichnet ist wohl eher Ansichtssache.

Nunja, da du Sicherheit von Android in Zweifel ziehst und mir unterstellst, ich hätte nur irgendwas "aufgeschnappt", ging ich davon aus, dass du das weißt.
Das Smartphone wird auch gescannt.

Ich höre zwar ab und an das ich Allwissend sein soll, kann dir aber versichern das das nicht stimmt. Besonders bei Themen mit denen ich mich nur am Rande beschäftige. Daher stelle ich ja auch so viele Fragen.
In meinem vorherigen Post kannst du ja auch lesen, das ich hier wieder was gelernt habe.

... Und dann kommst du auch noch mit HummingBad, darunter gibt's als Topping einen Link auf einen Heise(!)-Artikel, der einfach nur Trash ist! (wobei Kaspersky und Eric Hermann nicht gerade besser sind, aber egal).

Und was genau ist an dem Beispiel 'HummingBad' schlecht, was hat das ganze mit heise oder Kaspersky zu tun?
Es ging mir mit den 3 Artikeln darum, zu zeigen das die Überwachung in Android Playstore/PlayService keinen Schutz gegen die Anfälligkeiten des Systems bietet. Jede App die es schafft das Sytem zu rooten hat das Potential sämtliche Software Schutzmechanismen auszuhebeln.
Da hilft auch dein lamentieren ala "alles Trash, heise schlecht, Kaspersky sowieso schlecht" nicht. Komm doch zur Abwechslung auch mal mit einem Argument rüber, warum diese Beispiele so schlecht sind.

Sorry ..... befass dich doch erstmal mit den Grundlagen, danach kann man drüber reden. Vielleicht wirst du jetzt von mir "fordern", dass ich dir jede Zeile dieses Artikels einzeln auseinander pflücke und die Fehler aufzeige.

Ditto und nein, danke.

Aber für jemanden, der mir Unwissenheit vorwirft, und "Windows Scheiße MiMiMi", selbst aber nicht mal weiß, dass Android-Smartphones auf Malware gescannt werden, ist mir das zu blöd, lohnt sich nicht. Schnell mal googlen und losgelöste Zitate rausgreifen reicht nicht.

Siehe oben.

Der Punkt wurde schon oft durchgekaut. Google kann den Herstellern nichts vorschreiben, was die ernsthaft stören würde. Dann würden sie einfach "andere Lösungen" finden. Ein paar Apps sind nicht das Problem, viele davon werden ohnehin erwartet. Übrigens hat Google genau das auf den Markt gebracht, was du dir vorstellst: Android One
Die Hersteller wollen es nicht.

Vom Android One habe ich mal gelesen, wusste gar nicht das es einen Update Mechanismus bekommen sollte, ist das so? Wäre wirklich schade wenn ein besseres System sich wiedermal nicht am Markt durchsetzt (das beziehe ich nicht auf WM, sondern auf das normale Android!).
Ich dachte das One wäre in die weitere Entwicklung der aktuellen Android Versionen eingeflossen, hab das Mangels Interesse aber nicht wirklich verfolgt.

IMO kann Google die Hersteller genauso einfach zwingen, wie Microsoft das kann. Nur den Update Mechanismus müssten sie schon selber entwickeln und pflegen, Updates stellen sie ja ohnehin schon bereit.

 

[vander]

gibt es eigentlich eine feste zeit wann die Sicherheitsupdates erscheinen oder kommen die von google generell unterschiedlich am anfang des monats?

Dein Smartie läuft mit Cyanogen? Kommen die Updates da nicht von Cyanogen bzw. verbreiten die nicht die Google Patches sobald sie an Cyanogen angepasst wurden?
Gab es nicht vor einiger Zeit eine News das Cyanogen Inc. aufgehört hat? Dann kommen neue Releases nur noch aus der Community, so wie früher.

http://www.chip.de/news/Android-6-o...yanogenMod-13-ist-endlich-final_91155787.html

 

[Breitseite]

das ist mir alles klar, mein zuk lief ca eine woche mit cos bis ich auf cm gewechselt bin, aktuell ein inoffizielles cm 14.1.
allerdings ist aus den changelogs bei xda nicht direkt rauszulesen ob ein sicherheitsupdate dabei ist daher frage ich ob google ein bestimmtes system hat wie einen wochentag oder so oder ob diese generell irgendwann anfang jeden monats erscheinen

 

[vander]

Hab ich mich nie gefragt, da meine verschlissenen Androiden weder in den Genuss der Google Updates (keine Nexus) noch Updates vom Hersteller kamen. Cyanogen gab es nie offiziell (die unterstützen nur eine Hand voll Modelle) und die inoffiziellen CM waren grottenschlecht, sogar schlechter als Vanilla Android.

Warum interessiert dich das Release Datum der Google Fixes? Es ist nicht sicher das sie im CM enthalten sind (sowohl das Exploit als auch der Fix). Um das zu verifizieren müsstest du einen Bezug zwischen Google und CM Patches herstellen können, z.B. über Bug Nummern, wie willst du das machen? Da du schreibst, das CM keine ausführlichen Changelogs veröffentlicht, dürfte das eine Menge Arbeit machen.

Die Changelogs geben wirklich nicht viel her, besonders da du eine inoffizielle Version verwendest die nicht aufgeführt ist. Hat der Uploader kein Changelog beigefügt?
Man kann übrigens jeden Bugeintrag einzeln anklicken um Details zu erfahren. Wie gesagt, eine Menge Arbeit.

EDIT
Gerade gefunden. Schließ dich der Gruppe Android Security Updates an, dann bekommst du eine Info an jedem Patchday.
EDIT2
Ich vermute es ging dir um den Dezember Fix für DirtyCow. Dann müsstest du in den CM Changelogs nach 'Elevation of privilege vulnerability in kernel memory subsystem' (CVE-2016-5195) suchen. Den Patch gab es auch schon im November.

 

[teufelernie]

Folgende Mail bekam Samsung am 26.10.2016 nach der pöhsen dirty-cow Lücke.
Keinerlei Reaktion übrigens. Habe es bereits an meine Rechtsschutzversicherung gegeben. Ziel: Herbeiführung einer höcht Richterlichen Entscheidung.


Nach knapp 3000 Euro für Samsungeräte habe ich verstanden, dass ich da nicht mehr kaufen soll




Sehr geehrte Damen und Herren,


wie Sie wissen gibt es mit zunehmender schnellerer Entwicklung im Bereich Hochtechnologie und dessen Softwarekomponenten häufig die Notwendigkeit Nachbesserungen vorzunehmen.

Nachdem ich für mein am 04.11.2014 bestelltes Smartphone Note3 (SM-N9005) - das sich damit noch in der Garantiezeit befindet! - bereits für die letzten bekanntgewordenen Sicherheitslücken KEINE Softwareupdates erhalten habe, möchte ich diese nun hiermit einfordern.

Der Aufwand seitdem das Gerät und sämtlicher darauf befindlicher schutzwürder, persönlicher Daten bei simpler Benutzung wie das lesen von E-Mails oder surfen im Internet gegen den ungewollten Zugriff dritter zu schützen steht zu keinem Verhältnis, sofern das Betriebssystem als solches angreifbar ist.

Schaut man hier auf Mitbewerber wie Apple oder HTC/google nexus die laufend und sehr langwierig Updates bereitstellen, so muss ich meine bisherigen Kaufentscheidungen für Samsung leider in Frage stellen.

Am 20.10 ist der sog. Linux-Kernel Bug "dirty cow" - inklusive eines Bugfixes bekannt geworden. Bei dieser Sicherheitslücke handelt es sich um die schwerste innerhalb von 11 Jahren, da dritte ohne entsprechende Previligen im Android-Betriebssystem des Smartphones besitzen zu müssen beliebigen Code mit Administratorrechten auf dem Gerät ausführen können.
Dies bedeutet Vollzugriff auf alle meine (intimsten) Daten, sowie mögliche Überwachung durch Mikrofon und Kameras, mithören von Telefonaten, Versachung finanzieller Schäden durch anwählen von kostenpflichten Sonderrufnummern, etc.

Während bereits ein Großteil aller Hersteller reagiert hat und Updates seit Mo/Di dieser Woche bereitstellt, ist von der weltweiten Nummer zwei für Smartphones, der Samsung Mobile nichts zu sehen.
Ferner liest man bei verschiedenen Quellen im Netz (Informationen dritter), dass das Note3 generell kein Update mehr erhalten soll.
Ihr Support-Chat hat zudem bestätigt, dass für das Note3 keine Updates in Sicht sind, insofern scheinen diese Informationen akurat.

(...)

An der Stelle möchte ich - sofern das für Sie als verantwortungsbewusster Hersteller nötig ist - noch einmal die rechtliche Notwendigkeit der sachmangelfreien Benutzung und die besondere Brisanz dieser Verwundbarkeit erwähnen.

Ich bitte Sie hiermit zeitnah ein Software-Update bereitzustellen, mit dem sich dieses gravierende Problem beheben lässt.
Das Mobiltelefon ist aktuell nicht gefahrlos verwendbar, daher entsteht mir ein Nachteil in der Nutzung.
Oder eher im Klartext: Es ist garnicht mehr benutzbar.

Das Bereitstellen eines Softwareupdates ist hierbei durch die "Begrenzte Herstellergarantie von Samsung (europaweite Garantie)" ein Bestandteil des initialen Kaufversprechens für Geräte der Samsung Mobile.

Ich wünsche mir von Ihnen daher eine Aussage zum Thema Nacherfüllung (Eigentlich bin ich mit dem Gerät recht zufrieden, wäre es nicht für dritte nun offen wie ein Scheunentor), Austausch oder Rückabwicklung.


Mit der Bitte um eine Antwort bis spätestens zum 02.11.2016.


Mit freundlichen Grüßen
Jan (...)

 

[vander]

Hat deine Rechstschutz das angenommen? AFAIK ist aktuell angedacht Hersteller oder Anwender für Sicherheitslücken bzw. schlecht konfigurierte Systeme in die Pflicht zu nehmen. Mir ist aber keine aktuelle gültige verpflichtende Regelung bekannt.
Kurz gesagt, wenn sie nicht kulant sein wollen, dann werden sie dich einfach ignorieren, was sie ja auch tun.

Irgendwie wundert mich trotzdem, das du nicht wenigstens den 08/15 Textbaustein bekommen hast.